必要なキーとOCID

Oracleクライアントを使用しているか(ソフトウェア開発キットとコマンドライン・インタフェースを参照)、または自ら構築したクライアントを使用しているかにかかわらず、次の手順を実行する必要があります:

  1. APIをコールする個人またはシステムのためにIAMにユーザーを作成し、必要な権限を含む少なくとも1つのIAMグループに配置します。ユーザーの追加を参照してください。ユーザーがすでに存在する場合は、これをスキップできます。
  2. 次の項目を取得します:

  3. コンソールでキー・ペアから公開キーをアップロードします。公開キーのアップロード方法を参照してください。
    ノート

    各秘密キーにタグを追加することをお薦めします。
  4. OracleのSDKまたはツールのいずれかを使用している場合は、前述した必須資格証明を構成ファイルまたはコードの構成オブジェクトに指定します。SDKおよびCLIの構成ファイルを参照してください。かわりに独自のクライアントを構築している場合は、署名の要求を参照してください。
重要

このキー・ペアは、コンピュート・インスタンスへのアクセスに使用するSSHキーではありませんセキュリティ資格証明を参照してください。

秘密キーと公開キーはどちらもPEMフォーマットである必要があります(SSH-RSAフォーマットではありません)。PEMフォーマットの公開キーは次のようになります:

-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQE...
...
-----END PUBLIC KEY-----
APIキーのセキュリティを強化するために、秘密キーの最後にOCI_API_KEYを含む行を追加することをお薦めします。自分または組織内のユーザーが誤って公開GitHubリポジトリに秘密キーをコミットした場合、OCIによって修正アクションの実行が通知されます。ラベル付きの PEM形式の非公開鍵は次のようになります。
-----BEGIN PRIVATE KEY-----
MIIBIjANBgkqhkiG9w0BAQE...
...
-----END PRIVATE KEY-----
OCI_API_KEY

API署名キーの生成方法

ノート

Linux、Mac OSまたはWindowsで使用可能なコンソールまたはコマンドライン・ツールを使用して、API署名キーを生成できます。

API署名キーの生成(コンソール)

コンソールを使用して秘密キーと公開キーのペアを生成できます。すでにキー・ペアがある場合は、公開キーのアップロードを選択できます。コンソールを使用してキー・ペアを追加すると、コンソールによって構成ファイルのプレビュー・スニペットも生成されます。

次の手順は、通常のユーザーまたは管理者に対して有効です。管理者は、別のユーザーまたは自分自身のAPIキーを管理できます。

構成ファイル・スニペットについて

コンソールを使用してAPI署名キー・ペアを追加すると、次の情報を含む構成ファイルのプレビュー・スニペットが生成されます:

  • user - キー・ペアが追加されるユーザーのOCID。
  • fingerprint - 追加されたキーのフィンガープリント。
  • tenancy - テナンシのOCID。
  • region - コンソールで現在選択されているリージョン。
  • key_file - ダウンロードした秘密キー・ファイルへのパス。この値は、秘密キー・ファイルを保存したファイル・システム上のパスに更新する必要があります。

構成ファイルにすでにDEFAULTプロファイルがある場合は、次のいずれかを実行する必要があります:

  • 既存のプロファイルおよびその内容を置換します。
  • 既存のプロファイルの名前を変更します。
  • 構成ファイルに貼り付けた後、このプロファイルの名前を別の名前に変更します。

このスニペットを構成ファイルにコピーして、作業を開始できます。構成ファイルがまだない場合、その作成方法の詳細は、SDKおよびCLIの構成ファイルを参照してください。API署名キーの構成ファイル・スニペットは、必要に応じて後で取得することもできます。参照: API署名キーの構成ファイル・スニペットを取得するには。

API署名キー・ペアを生成するには

前提条件: キー・ペアを生成する前に、資格証明を格納する.ociディレクトリをホーム・ディレクトリに作成します。詳細は、SDKおよびCLIの構成ファイルを参照してください。

  1. ユーザーの詳細を表示します:
    • 自分のAPIキーを追加する場合:

      「プロファイル」メニューを開き、「マイ・プロファイル」をクリックします。

    • 別のユーザーのAPIキーを追加する管理者である場合: ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ユーザー」をクリックします。リストでユーザーを見つけてから、ユーザーの名前をクリックして詳細を表示します。
  2. 左下にある「リソース」セクションで、「APIキー」をクリックします
  3. 「APIキー」リストの左上にある「APIキーの追加」をクリックします。「APIキーの追加」ダイアログが表示されます。
  4. 「秘密キーのダウンロード」をクリックし、キーを.ociディレクトリに保存します。ほとんどの場合、公開キーをダウンロードする必要はありません。

    ノート: ブラウザによって秘密キーが別のディレクトリにダウンロードされた場合、必ず.ociディレクトリに移動してください。

  5. 追加」をクリックします。

    キーが追加され、構成ファイルのプレビューが表示されます。ファイル・スニペットには、構成ファイルの作成に必要な必須パラメータおよび値が含まれています。構成ファイル・スニペットをテキスト・ボックスから~/.oci/config fileにコピーして貼り付けます。(このファイルをまだ作成していない場合、その作成方法の詳細は、SDKおよびCLIの構成ファイルを参照してください。)

    ファイルの内容を貼り付けた後、秘密キー・ファイルを保存した場所にkey_fileパラメータを更新する必要があります。

    構成ファイルにすでにDEFAULTプロファイルがある場合は、次のいずれかを実行する必要があります:
    • 既存のプロファイルおよびその内容を置換します。
    • 既存のプロファイルの名前を変更します。
    • 構成ファイルに貼り付けた後、このプロファイルの名前を別の名前に変更します。
  6. ダウンロードした秘密キー・ファイルに対する権限を更新して、自分のみが表示できるようにします:
    1. 秘密キー・ファイルを配置した.ociディレクトリに移動します。
    2. コマンドchmod go-rwx ~/.oci/<oci_api_keyfile>.pemを使用して、ファイルに対する権限を設定します。

APIキーをアップロードまたは貼り付けるには

前提条件: PEMフォーマットの公開RSAキー(最小2048ビット)を生成済です。PEMフォーマットは次のとおりです。

-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAoTFqF...
...
-----END PUBLIC KEY——
  1. ユーザーの詳細を表示します:
    • 自分のAPIキーを追加する場合:

      「プロファイル」メニューを開き、「マイ・プロファイル」をクリックします。

    • 別のユーザーのAPIキーを追加する管理者である場合: ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ユーザー」をクリックします。リストでユーザーを見つけてから、ユーザーの名前をクリックして詳細を表示します。
  2. 左下にある「リソース」セクションで、「APIキー」をクリックします
  3. 「APIキー」リストの左上にある「APIキーの追加」をクリックします。「APIキーの追加」ダイアログが表示されます。
  4. ダイアログで、「公開キー・ファイルの選択」を選択してファイルをアップロードするか、テキスト・ボックスに貼り付ける場合は「公開キーの貼付け」を選択します
  5. 追加」をクリックします。

    キーが追加され、構成ファイルのプレビューが表示されます。ファイル・スニペットには、構成ファイルの作成に必要な必須パラメータおよび値が含まれています。構成ファイル・スニペットをテキスト・ボックスから~/.oci/config fileにコピーして貼り付けます。(このファイルをまだ作成していない場合、その作成方法の詳細は、SDKおよびCLIの構成ファイルを参照してください。)

    ファイルの内容を貼り付けた後、秘密キー・ファイルを保存した場所にkey_fileパラメータを更新する必要があります。

    構成ファイルにすでにDEFAULTプロファイルがある場合は、次のいずれかを実行する必要があります:

    • 既存のプロファイルおよびその内容を置換します。
    • 既存のプロファイルの名前を変更します。
    • 構成ファイルに貼り付けた後、このプロファイルの名前を別の名前に変更します。
API署名キーの構成ファイル・スニペットを取得するには
次の手順は、通常のユーザーまたは管理者に対して有効です。
  1. ユーザーの詳細を表示します:
    • 自分のAPIキー構成ファイル・スニペットを取得する場合:

      「プロファイル」メニューを開き、「マイ・プロファイル」をクリックします。

    • 別のユーザーのAPIキー構成ファイル・スニペットを取得する管理者である場合: ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ユーザー」をクリックします。リストでユーザーを見つけてから、ユーザーの名前をクリックして詳細を表示します。
  2. 左下にある「リソース」セクションで、「APIキー」をクリックします
  3. ページの左側の「APIキー」をクリックします。APIキー・フィンガープリントのリストが表示されます。
  4. 指紋の「Actions」メニュー(アクション・メニュー)をクリックし、「View configuration file」を選択します。

    構成ファイルのプレビューが表示されます。ファイル・スニペットには、構成ファイルの作成に必要な必須パラメータおよび値が含まれています。構成ファイル・スニペットをテキスト・ボックスから~/.oci/config fileにコピーして貼り付けます。(このファイルをまだ作成していない場合、その作成方法の詳細は、SDKおよびCLIの構成ファイルを参照してください。)ファイルの内容を貼り付けた後、秘密キー・ファイルを保存した場所にkey_fileパラメータを更新する必要があります。

    構成ファイルにすでにDEFAULTプロファイルがある場合は、次のいずれかを実行する必要があります:
    • 既存のプロファイルおよびその内容を置換します。
    • 既存のプロファイルの名前を変更します。
    • 構成ファイルに貼り付けた後、このプロファイルの名前を別の名前に変更します。

API署名キーの生成(LinuxおよびMac OS X)

次のOpenSSLコマンドを使用して、必須のPEMフォーマットでキー・ペアを生成します。

  1. 資格証明を格納する.ociディレクトリをまだ作成していない場合は作成します:

    mkdir ~/.oci                
  2. 次のいずれかのコマンドを使用して、秘密キーを生成します。

    • プロンプトが表示されたときに指定するパスフレーズで暗号化されたキーを生成するには:
      ノート

      キーにはパスフレーズを使用することをお薦めします。
      openssl genrsa -out ~/.oci/oci_api_key.pem -aes128 2048                    
    • パスフレーズなしでキーを生成するには:

      openssl genrsa -out ~/.oci/oci_api_key.pem 2048                        
  3. ファイル権限を変更して、自分のみが秘密キー・ファイルを読み取れるようにします:

    chmod go-rwx ~/.oci/oci_api_key.pem               
  4. 新しい秘密キーから公開キーを生成します:

    openssl rsa -pubout -in ~/.oci/oci_api_key.pem -out ~/.oci/oci_api_key_public.pem             
  5. pbcopy、xclipまたは類似ツールを使用して、公開キーの内容をクリップボードにコピーします(後からこの値をコンソールに貼り付ける必要があります)。例:

    cat ~/.oci/oci_api_key_public.pem | pbcopy           

APIリクエストは秘密キーで署名され、Oracleは公開キーを使用してリクエストの信頼性を検証します。公開キーをIAMにアップロードする必要があります(次の手順)。

API署名キーの生成(Windows)

Windowsを使用している場合は、次のコマンドを実行する前に、Git Bash for Windowsをインストールする必要があります。
ノート

Windowsパスにopensslバイナリを必ず含めてください。デフォルトのインストールでは、openssl.exeファイルはC:\Program Files\Git\mingw64\binにあります。

次のOpenSSLコマンドを使用して、必須のPEMフォーマットでキー・ペアを生成します。

  1. 資格証明を格納する.ociディレクトリをまだ作成していない場合は作成します例:

    mkdir %HOMEDRIVE%%HOMEPATH%\.oci                
  2. 次のいずれかのコマンドを使用して、秘密キーを生成します:

    • プロンプトが表示されたときに指定するパスフレーズで暗号化されたキーを生成するには:
      ノート

      キーにはパスフレーズを使用することをお薦めします。
      openssl genrsa -out %HOMEDRIVE%%HOMEPATH%\.oci\oci_api_key.pem -aes128 -passout stdin 2048                 
    • パスフレーズなしでキーを生成するには:

      openssl genrsa -out %HOMEDRIVE%%HOMEPATH%\.oci\oci_api_key.pem 2048                        
  3. 新しい秘密キーから公開キーを生成します:

    openssl rsa -pubout -in %HOMEDRIVE%%HOMEPATH%\.oci\oci_api_key.pem -out %HOMEDRIVE%%HOMEPATH%\.oci\oci_api_key_public.pem             
  4. 公開キーの内容をクリップボードにコピーします(後でコンソールに値を貼り付ける必要があります)。例:

    type \.oci\oci_api_key_public.pem     

APIリクエストは秘密キーで署名され、Oracleは公開キーを使用してリクエストの信頼性を検証します。公開キーをIAMにアップロードする必要があります(次の手順)。

キーのフィンガープリントの取得方法

次のOpenSSLコマンドを使用して、キーのフィンガープリントを取得できます。

LinuxおよびMac OS Xの場合:

openssl rsa -pubout -outform DER -in ~/.oci/oci_api_key.pem | openssl md5 -c
Windowsの場合:
ノート

Windowsを使用している場合は、Git Bash for Windowsをインストールし、そのツールでコマンドを実行する必要があります。
openssl rsa -pubout -outform DER -in \.oci\oci_api_key.pem | openssl md5 -c

コンソールに公開キーをアップロードすると、フィンガープリントも自動的にそこに表示されます。このように表示されます: 12:34:56:78:90:ab:cd:ef:12:34:56:78:90:ab:cd:ef

テナンシのOCIDとユーザーのOCIDを取得する場所

どちらのOCIDもコンソールにあります。コンソールにアクセスするには、https://cloud.oracle.comにサインインします。コンソールのログインおよびパスワードがない場合は、管理者に連絡してください。OCIDをよく知らない場合は、リソース識別子を参照してください。

テナンシのOCID

テナンシOCIDは、Oracle Cloud InfrastructureConsoleの「テナンシ詳細」ページで確認します:

  1. ページ上部のナビゲーション・バーの右上にある「プロファイル」メニュー(「プロファイル」メニュー・アイコン)を選択し、「テナンシ: <your_tenancy_name>をクリックします。
  2. テナンシOCIDが「テナンシ情報」の下に表示されます。「コピー」をクリックすると、クリップボードにコピーできます。

ユーザーのOCID

ユーザーのOCIDをコンソールのユーザー詳細を表示するページで取得します。そのページに移動するには:

  • ユーザーとしてサインインしている場合:

    「プロファイル」メニューを開き、「マイ・プロファイル」をクリックします。

  • 別のユーザーのかわりに実行している管理者である場合: ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ユーザー」をクリックします。リストからユーザーを選択します。
  • ユーザーOCIDが「ユーザー情報」の下に表示されます。「コピー」をクリックすると、クリップボードにコピーできます。

公開キーのアップロード方法

コンソールでPEM公開キーをアップロードできます。コンソールにアクセスするには、https://cloud.oracle.comにサインインします。
ノート

コンソールのログインおよびパスワードがない場合、または「プロファイル」メニューが表示されない場合は、管理者に連絡してください。
  1. コンソールを開いてサインインします。
  2. キー・ペアを使用してAPIをコールするユーザーの詳細を表示します:

    • ユーザーとしてサインインしている場合:

      「プロファイル」メニューを開き、「マイ・プロファイル」をクリックします。

    • 別のユーザーのかわりに実行している管理者である場合: ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ユーザー」をクリックします。リストからユーザーを選択します。
  3. 左下にある「リソース」セクションで、「APIキー」をクリックします
  4. 「APIキー」リストの左上にある「APIキーの追加」をクリックします。「APIキーの追加」ダイアログが表示されます。
  5. 「公開キーの貼付け」ラジオ・ボタンを選択します。
  6. ダイアログ・ボックスにPEM公開キーの内容を貼り付けて、「追加」をクリックします。

キーのフィンガープリントが表示されます(たとえば、12:34:56:78:90:ab:cd:ef:12:34:56:78:90:ab:cd:ef)。

最初の公開キーをアップロードした後、UploadApiKey API操作を使用して追加のキーをアップロードすることもできます。ユーザーごとに最大3つのAPIキー・ペアを設定できます。APIリクエストでは、キーのフィンガープリントを指定して、リクエストの署名に使用するキーを示します。