Oracle Cloud Infrastructureドキュメント

ユーザー資格証明の管理

このトピックでは、Oracle Cloud Infrastructure Identity and Access Management (IAM)ユーザー資格証明の操作の基本について説明します。使用可能な資格証明をよく知らない場合は、ユーザー資格証明を参照してください。

コンソール・パスワードとAPIキーの使用

各ユーザーには、自分のコンソール・パスワードを変更またはリセットしたり、自分のAPIキーを管理したりする権限が自動的に与えられます。管理者は、ユーザーにこれらの機能を提供するためにポリシーを作成する必要はありません。
ノート

フェデレーテッド・ユーザーは、APIキーを変更するポリシーの作成が必要になる場合があります。たとえば、SCIMを介してプロビジョニングされたユーザーです。

自分以外のユーザーの資格証明を管理するには、管理者グループ、またはテナンシの操作権限を持つ他のグループに属している必要があります。テナンシ内のコンパートメントを操作する権限は十分でありません。詳細は、管理者グループおよびポリシーを参照してください。

IAM管理者(またはテナンシの権限を持つユーザー)は、コンソールまたはAPIを使用して、自身および他のすべてのユーザーの両方のタイプの資格証明のすべての側面を管理できます。これには、新規ユーザーの初期のワンタイム・パスワードの作成、パスワードのリセット、APIキーのアップロード、APIキーの削除が含まれます。

管理者ではないユーザーは自分の資格証明を管理できます。コンソールでユーザーは次のことができます。

  • 自分のパスワードを変更またはリセットします。
  • コンソールで独自の用途のAPIキーをアップロードします(また、独自のAPIキーを削除します)。

さらに、APIを使用するとユーザーは次のことができます。

  • CreateOrResetUIPasswordで自分のパスワードをリセットします。
  • UploadApiKeyで独自に使用するために、IAMサービスに追加のAPIキーをアップロードします(また、DeleteApiKeyで独自のAPIキーを削除します)。ユーザー自身がコンソールでキーをアップロードするまで、または管理者がコンソールまたはAPIでそのユーザーのキーをアップロードするまで、ユーザーはAPIを使用して自分の資格証明を変更または削除できないことに注意してください。

ユーザーは一度に最大3つのAPIキーを使用できます。

認証トークンの操作

ノート

「認証トークン」は以前に「Swiftパスワード」と呼ばれていました。作成したSwiftパスワードは、コンソールに認証トークンとしてリストされます。既存のパスワードは引き続き使用できます。

認証トークンは、Oracleで生成されるトークン文字列で、Oracle Cloud Infrastructureの署名ベース認証をサポートしないサードパーティAPIで認証するために使用できます。IAMサービスで作成される各ユーザーには、コンソールまたはAPIでそれぞれ独自の認証トークンを作成、更新および削除する権限が自動的に付与されます。管理者は、ユーザーにこれらの機能を提供するためにポリシーを作成する必要はありません。管理者(またはテナンシに対する権限を持つユーザー)には、他のユーザーの認証トークンを管理する権限もあります。

認証トークンをユーザー独自の選択した文字列に変更することはできません。トークンは、常にOracleによって生成された文字列です。

認証トークンは失効しません。各ユーザーは同時に最大2つの認証トークンを持つことができます。コンソールで認証トークンを取得するには、認証トークンを作成するにはを参照してください。

Swiftでの認証トークンの使用

Swiftは、OpenStackオブジェクト・ストア・サービスです。Swiftクライアントがすでに存在する場合は、これをRecovery Manager (RMAN)と組み合せて使用し、Oracle Database System (DBシステム)データベースをオブジェクト・ストレージにバックアップできます。Swiftパスワードとして使用するための認証トークンを取得する必要があります。Swiftクライアントにサインインする際には、次の項目を指定します。

  • Oracle Cloud Infrastructureコンソールのユーザー・ログイン
  • Oracleによって提供される、Swift固有の認証トークン
  • 組織のOracleテナント名

オブジェクト・ストレージと統合するSwiftクライアントのユーザーには、サービスを操作する権限が必要です。権限があるかわからない場合は、管理者に連絡してください。ポリシーの詳細は、ポリシーの仕組みを参照してください。オブジェクト・ストレージの使用を可能にする基本ポリシーについては、共通ポリシーを参照してください。

顧客秘密キーの操作

ノート

「顧客秘密キー」は以前、「Amazon S3互換APIキー」と呼ばれていました。作成したすべてのキーは、コンソールに顧客秘密キーとしてリストされます。既存のキーを引き続き使用できます。

オブジェクト・ストレージは、Amazon S3との相互運用性を有効にするAPIを提供します。このAmazon S3互換APIを使用するには、Amazon S3を使用した認証に必要な署名キーを生成する必要があります。この特別な署名キーは、アクセス・キー/秘密キーのペアです。Oracleでは、コンソール・ユーザー・ログインに関連付けられているアクセス・キーが提供されます。ユーザーまたは管理者は、アクセス・キーとペアにする顧客秘密キーを生成します。

自動的に、IAMサービスで作成される各ユーザーは、コンソールまたはAPIでそれぞれ独自の顧客秘密キーを作成、更新および削除できます。管理者は、ユーザーにこれらの機能を提供するためにポリシーを作成する必要はありません。管理者(またはテナンシの権限を持つユーザー)は、他のユーザーの顧客秘密キーも管理できます。

オブジェクト・ストレージを使用するAmazon S3互換APIのユーザーには、サービスの操作権限が必要です。権限があるかわからない場合は、管理者に連絡してください。ポリシーの詳細は、ポリシーの仕組みを参照してください。オブジェクト・ストレージの使用を可能にする基本ポリシーについては、共通ポリシーを参照してください。

顧客秘密キーは失効しません。各ユーザーは、同時に最大2つの顧客秘密キーを使用できます。コンソールを使用してキーを作成するには、顧客秘密キーを作成するにはを参照してください。

OAuth 2.0クライアント資格証明の作業

ノート

OAuth 2.0クライアント資格証明は、United Kingdom Government Cloud (OC4)では使用できません。
OAuth 2.0クライアント資格証明は、OAuth 2.0認可プロトコルを使用するサービスとプログラムで対話するために必要です。資格証明を使用すると、サービスのREST APIエンドポイントにアクセスするためのセキュア・トークンを取得できます。トークンによって付与される使用可能なアクションおよびエンドポイントは、資格証明の生成時に選択するスコープ(権限)によって異なります。OAuth 2.0プロトコルを使用するサービスは:
  • Oracle Analytics Cloud
  • Oracle Integrationジェネレーション2

OAuth 2.0アクセス・トークンは3600秒(1時間)有効です。

資格証明を作成するには、サービスのリソースおよびスコープを知っている必要があります。通常、これらはドロップダウン・リストから選択できます。ただし、情報がリストにない場合は、リソースおよびスコープを手動で入力できます。スコープによってトークンに許可される権限が定義されるため、スコープは必要最小限のアクセス・レベルで設定してください。

ユーザーが自分の資格証明を作成することも、管理者が別のユーザーの資格証明を作成することもできます。使用可能なリソースおよびスコープのリストには、ユーザーにアクセス権が付与されているリソースおよび権限レベルのみが表示されます。

OAuth 2.0クライアント資格証明の制限

各ユーザーは、最大10個のOAuth 2.0クライアント資格証明を持つことができます。この制限は、サービス制限の引上げをリクエストすることで増やすことができます。

各OAuth 2.0クライアント資格証明には、最大10個のスコープを設定できます。

OAuth 2.0アクセス・トークンの取得

トークンを取得するには、次のように、OAuth2トークン・サービス・エンドポイントに対するリクエストで資格証明を使用します:

  1. OAuth 2.0クライアント資格証明を作成します。OAuth 2.0クライアント資格証明を作成するにはを参照してください。

    OAuth 2.0クライアント資格証明を作成した後、次の情報を書き留めます:

    • 生成されたシークレット
    • OAuth 2.0クライアント資格証明のOCID
    • スコープとオーディエンス(完全修飾スコープ)
  2. 前のステップの情報を使用して、次のように/oauth2/tokenエンドポイントに対してリクエストを行い、トークンを取得します:
    curl -k -X POST -H "Content-Type: application/x-www-form-urlencoded;charset=UTF-8" --user '<Oauth 2.0 client credential OCID>:<credential secret>'  https://auth.<oci_region>.oraclecloud.com/oauth2/token -d 'grant_type=client_credentials&scope=<audience>-<scope>'

説明:

  • <Oauth 2.0 client credential OCID>:<credential secret>は、作成したOAuth 2.0クライアント資格証明のOCIDを、資格証明に対して生成されたシークレットとコロン(:)で結合したものです。このシークレットは生成時にのみ表示され、すぐにコピーする必要があることに注意してください。OCIDは、資格証明の詳細からいつでも取得できます。
  • https://auth.<oci_region>.oraclecloud.com/oauth2/tokenは、Oracle Cloud Infrastructure OAuth 2.0認可エンドポイントで、<OCI_region>はテナンシがサブスクライブしているリージョンです。たとえば、us-ashburn-1です。
  • <scope>-<audience>は完全修飾スコープ、つまりハイフン(-)で結合されたスコープとオーディエンスです。スコープとオーディエンスは、資格証明の詳細ページから取得できます。

リクエストの例:

curl -k -X POST -H "Content-Type: application/x-www-form-urlencoded;charset=UTF-8" --user 'ocid1.credential.region1..aaaaaaexamplestringaapgpedxq:{SAMplESeCreta5y'  https://auth.us-ashburn-1.oraclecloud.com/oauth2/token -d 'grant_type=client_credentials&scope=https://2aexampley3uytc.analytics.ocp.oraclecloud.com-urn:opc:resource:consumer::all'

レスポンスにはトークンが含まれます。レスポンスの例:

{
"access_token" : "eyJraWQiOiJhcDVfwqKdi...8lTILrzc4cof2A",
"token_type" : "Bearer",
"expires_in" : "3600"
}

トークン文字列は、レスポンスの例では切り捨てられています。レスポンスに示されているように、access_token文字列全体(引用符で囲まれている部分)をコピーします。

リクエストでのOAuth 2.0トークンの使用

OAuth 2.0アクセス・トークンを取得した後、REST APIリクエストのBearerトークン・ヘッダーにトークンを指定します。

例:

curl -i -X GET -H "Authorization: Bearer <token-string>" "https://<audience>/<rest-endpoint-path>"

トークンが期限切れになった場合の対処方法

トークンは3600秒(1時間)後に期限切れになります。トークンが期限切れになったら、OAuth 2.0アクセス・トークンの取得の手順に従って新しいトークンをリクエストします。

スコープの追加

既存のOAuth 2.0クライアント資格証明にスコープを追加して、同じ資格証明を持つ他のサービスへのアクセス権を追加できます。スコープを追加した後、シークレットを再生成する必要はありません。

複数のスコープのトークンをリクエストするには、次を追加してトークン・リクエストに追加スコープを含めます 

&scope=<scope>-<<audience>

これをリクエストの最後の引数に追加し、スコープおよび追加するスコープのオーディエンスを指定します。

SMTP資格証明の操作

電子メール配信サービスを介して電子メールを送信するには、Simple Mail Transfer Protocol (SMTP)の資格証明が必要です。各ユーザーは、最大2つのSMTP資格証明に制限されます。3人以上が必要な場合は、他の既存のユーザーに対して生成するか、または追加のユーザーを作成する必要があります。

ノート

SMTPのユーザー名またはパスワードを、任意の文字列に変更できません。資格証明は常にOracleによって生成される文字列です。

IAMサービスで作成される各ユーザーは、自動的にコンソールまたはAPIで自分のSMTP資格証明を作成および削除できます。管理者は、ユーザーにこれらの機能を提供するためにポリシーを作成する必要はありません。管理者(またはテナンシの権限を持つユーザー)には、他のユーザーのSMTP資格証明を管理する権限もあります。

ヒント

各ユーザーは自分の資格証明を作成および削除できますが、すでに権限を割り当てられているコンソール・ユーザーに対してSMTP資格証明を生成するのではなく、新しいユーザーを作成してこのユーザーに対してSMTP資格証明を生成することがセキュリティのベスト・プラクティスです。

SMTP資格証明は失効しません。各ユーザーは同時に最大2つの資格証明を持つことができます。コンソールでSMTP資格証明を取得するには、SMTP資格証明を生成するにはを参照してください。

電子メール配信サービスの使用の詳細は、電子メール配信サービスの概要を参照してください。

IAMデータベース・ユーザー名およびパスワードの作業

使用が容易

データベース・エンド・ユーザーは、引き続き既知の認証メソッドを使用してデータベースにアクセスできるため、IAMデータベース・パスワードを簡単に使用できます。OCIプロファイルで管理するデータベース・パスワードにアクセスできるのは、OCIに対する認証に成功した後になります。

ユーザーがデータベース・パスワードにアクセスするか管理する前に、IAM管理者は、マルチファクタ認証の管理を使用してマルチファクタ認証を強制することで追加の保護レイヤーを作成できます。たとえば、FIDOオーセンティケータを使用したり、オーセンティケータ・アプリケーションを使用して通知をプッシュしたりできます。

IAMデータベース・パスワード・セキュリティ

IAMデータベース・ユーザー名およびIAMデータベース・パスワードを使用してデータベースにアクセスすると、IAM管理者は、各データベースでローカルに作業するかわりに、IAM内でユーザーおよびデータベース・パスワードへのユーザー・アクセスを一元的に管理できるため、セキュリティが向上します。ユーザーが組織を離れると、そのIAMアカウントは一時停止されるため、すべてのデータベースへのアクセスも自動的に一時停止されます。この方法により、ユーザーが離れた後で、データベース・サーバーに権限のないアカウントが残される可能性がなくなります。詳細は、IAMデータベース・パスワードを参照してください。IAMユーザーがOCIデータベースに対して認証および認可する方法の詳細は、Oracleセキュリティ・ガイドの第7章を参照してください。

IAMデータベース・ユーザー名

OCI IAMデータベース・ユーザー名が128バイトを超える場合は、128バイト未満の別のデータベース・ユーザー名およびデータベース・パスワードを設定する必要があります。IAMでは、テナンシ内のデータベース・ユーザー名の一意性が強制されます。データベース・ユーザー名は、大/小文字が区別されず、IAMユーザー名と同じ文字(ASCII文字、数字、ハイフン、ピリオド、アンダースコア、+、および@)を使用できます。これは、データベースの文字セットによって制御されるローカル・データベース・ユーザー名よりも制限的です。詳細は、データベース・オブジェクト名および修飾子を参照してください。

IAMデータベース・ユーザー名を作成、変更および削除するには、IAMデータベース・ユーザー名の作業を参照してください。

代替IAMデータベース・ユーザー名

文字と数字のみを含み、特殊文字を含まない代替IAMデータベース・ユーザー名を作成し、通常のIAMデータベース・ユーザー名より短くすることができます。

代替IAMデータベース・ユーザー名を作成できます:

  • ユーザー名が長すぎるか入力が困難な場合
  • 特殊文字を含まないユーザー名を使用してログインを簡単にするため

IAMデータベース・パスワードの仕様

IAMデータベース・パスワードの複雑さについては、コンソール・パスワード用にIAMでサポートされているものと同じルールが使用されます(IAMパスワードでは二重引用符["]は使用できません)。詳細は、IAMデータベース・パスワードの作成を参照してください。

失敗したログインのロックアウト

失敗したログインの詳細は、IAMデータベース・パスワードのロックアウトを参照してください。

パスワード・ロールオーバー

アプリケーションは、ウォレットなどのセキュアなメカニズムおよびデータベースにパスワードを保持します。データベース・パスワードを変更する場合は、アプリケーション・ウォレットのパスワードも変更する必要があります。通常、これはアプリケーションの停止時間中に実行します。ただし、2番目のパスワードを保持すると、アプリケーションの停止時間なしでパスワードを変更できます。両方のパスワードが使用可能であるため、アプリケーション管理者は、必要に応じてアプリケーション・ウォレット・ファイルのパスワードを交換して、後でIAMから古いパスワードを削除できます。これは、データベースの段階的なパスワード・ロールオーバー・ステータスとは関係ありません。データベースは、引き続きオープン・ステータスを反映します(つまり、「オープンおよびロールオーバー中」ではありません)。

コンソールの使用

コンソールのパスワードを変更するには

コンソールに初めてサインインするときに、初回のワンタイム・パスワードを変更するよう求められます。次の手順は、パスワードを後で変更するためです。

ノート

フェデレーテッド・ユーザー用

会社がアイデンティティ・プロバイダ(Oracle Identity Cloud Service以外)を使用してユーザー・ログインとパスワードを管理している場合、コンソールを使用してパスワードを更新することはできません。これはアイデンティティ・プロバイダを使用して行います。

  1. Oracle Cloud Infrastructureユーザー名とパスワードを使用してコンソールにサインインします。

  2. サインインした後、ページ上部のナビゲーション・バーの右上にある「プロファイル」メニュー(「プロファイル」メニュー・アイコン)を選択し、「パスワードの変更」をクリックします。

  3. 「現在のパスワード」を入力します。
  4. New Password」および「Confirm New Password」フィールドに新しいパスワードを入力し、「Save New Password」をクリックします。
別のユーザーのコンソール・パスワードを作成またはリセットするには

管理者は、次の手順を使用してユーザーのパスワードを作成またはリセットできます。この手順では、次回コンソールにサインインするときにユーザーが変更する必要がある新しいワンタイム・パスワードを生成します。

  1. ユーザーの詳細の表示: 作業するアイデンティティ・ドメインの名前をクリックします。必要なドメインを見つけるには、コンパートメントの変更が必要になる場合があります。次に、「ユーザー」をクリックします。リストでユーザーを見つけてから、ユーザーの名前をクリックして詳細を表示します。

  2. 「パスワードの作成/リセット」をクリックします。

    新しいワンタイム・パスワードが表示されます。別のユーザーのタスクを実行する管理者の場合、新しいパスワードを安全にユーザーに提供する必要があります。次回コンソールにサインインするときに、ユーザーはパスワードを変更するよう求められます。パスワードの期限が7日以内に変更されない場合、パスワードは期限切れとなるため、そのユーザー用に新しいワンタイム・パスワードを作成する必要があります。

忘れた場合にパスワードをリセットするには

ユーザー・プロファイルに電子メール・アドレスがある場合、サインオン・ページの「パスワードを忘れた場合」リンクを使用して、一時パスワードを送信できます。ユーザー・プロファイルに電子メール・アドレスがない場合は、管理者にパスワードのリセットを依頼する必要があります。

ユーザーのブロックを解除するには

管理者は、コンソールへのサインインに連続して10回試行して失敗したユーザーをブロック解除できます。ユーザーのブロックを解除するにはを参照してください。

API署名キーを追加するには

コンソールを使用して秘密キーと公開キーのペアを生成できます。すでにキー・ペアがある場合は、公開キーのアップロードを選択できます。コンソールを使用してキー・ペアを追加すると、コンソールによって構成ファイルのプレビュー・スニペットも生成されます。

次の手順は、通常のユーザーまたは管理者に対して有効です。管理者は、別のユーザーまたは自分自身のAPIキーを管理できます。

構成ファイル・スニペットについて

コンソールを使用してAPI署名キー・ペアを追加すると、次の情報を含む構成ファイルのプレビュー・スニペットが生成されます:

  • user - キー・ペアが追加されるユーザーのOCID。
  • fingerprint - 追加されたキーのフィンガープリント。
  • tenancy - テナンシのOCID。
  • region - コンソールで現在選択されているリージョン。
  • key_file - ダウンロードした秘密キー・ファイルへのパス。この値は、秘密キー・ファイルを保存したファイル・システム上のパスに更新する必要があります。

構成ファイルにすでにDEFAULTプロファイルがある場合は、次のいずれかを実行する必要があります:

  • 既存のプロファイルおよびその内容を置換します。
  • 既存のプロファイルの名前を変更します。
  • 構成ファイルに貼り付けた後、このプロファイルの名前を別の名前に変更します。

このスニペットを構成ファイルにコピーして、作業を開始できます。構成ファイルがまだない場合、その作成方法の詳細は、SDKおよびCLIの構成ファイルを参照してください。API署名キーの構成ファイル・スニペットは、必要に応じて後で取得することもできます。参照: API署名キーの構成ファイル・スニペットを取得するには。

API署名キー・ペアを生成するには

前提条件: キー・ペアを生成する前に、資格証明を格納する.ociディレクトリをホーム・ディレクトリに作成します。詳細は、SDKおよびCLIの構成ファイルを参照してください。

  1. ユーザーの詳細を表示します:
    • 自分のAPIキーを追加する場合: ページ上部のナビゲーション・バーの右上にある「プロファイル」メニュー(「プロファイル」メニュー・アイコン)を選択し、「ユーザー設定」またはアカウント名をクリックします。
    • 管理者が別のユーザーのAPIキーを追加する場合: ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ユーザー」をクリックします。リストでユーザーを見つけてから、ユーザーの名前をクリックして詳細を表示します。
  2. 「APIキーの追加」をクリックします。
  3. ダイアログで、「APIキー・ペアの生成」を選択します。

  4. 「秘密キーのダウンロード」をクリックし、キーを.ociディレクトリに保存します。ほとんどの場合、公開キーをダウンロードする必要はありません。

    ノート: ブラウザによって秘密キーが別のディレクトリにダウンロードされた場合、必ず.ociディレクトリに移動してください。

  5. 「追加」をクリックします。

    キーが追加され、構成ファイルのプレビューが表示されます。ファイル・スニペットには、構成ファイルの作成に必要な必須パラメータおよび値が含まれています。構成ファイル・スニペットをテキスト・ボックスから~/.oci/config fileにコピーして貼り付けます。(このファイルをまだ作成していない場合、その作成方法の詳細は、SDKおよびCLIの構成ファイルを参照してください。)

    ファイルの内容を貼り付けた後、秘密キー・ファイルを保存した場所にkey_fileパラメータを更新する必要があります。

    構成ファイルにすでにDEFAULTプロファイルがある場合は、次のいずれかを実行する必要があります:
    • 既存のプロファイルおよびその内容を置換します。
    • 既存のプロファイルの名前を変更します。
    • 構成ファイルに貼り付けた後、このプロファイルの名前を別の名前に変更します。
  6. ダウンロードした秘密キー・ファイルに対する権限を更新して、自分のみが表示できるようにします:
    1. 秘密キー・ファイルを配置した.ociディレクトリに移動します。
    2. コマンドchmod go-rwx ~/.oci/<oci_api_keyfile>.pemを使用して、ファイルに対する権限を設定します。
APIキーをアップロードまたは貼り付けるには

前提条件: PEMフォーマットの公開RSAキー(最小2048ビット)を生成済です。PEMフォーマットは次のとおりです。

-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAoTFqF...
...
-----END PUBLIC KEY——
 OCI_PRIVATE_KEY

キーの最後にラベルを含めることをお薦めします。たとえば、OCI_PRIVATE_KEYです。

  1. ユーザーの詳細を表示します:
    • 自分のAPIキーを追加する場合: ページ上部のナビゲーション・バーの右上にある「プロファイル」メニュー(「プロファイル」メニュー・アイコン)を選択し、「ユーザー設定」またはアカウント名をクリックします。
    • 管理者が別のユーザーのAPIキーを追加する場合: ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ユーザー」をクリックします。リストでユーザーを見つけてから、ユーザーの名前をクリックして詳細を表示します。
  2. 「APIキーの追加」をクリックします。
  3. ダイアログで、「公開キー・ファイルの選択」を選択してファイルをアップロードするか、テキスト・ボックスに貼り付ける場合は「公開キーの貼付け」を選択します
  4. 「追加」をクリックします。

    キーが追加され、構成ファイルのプレビューが表示されます。ファイル・スニペットには、構成ファイルの作成に必要な必須パラメータおよび値が含まれています。構成ファイル・スニペットをテキスト・ボックスから~/.oci/config fileにコピーして貼り付けます。(このファイルをまだ作成していない場合、その作成方法の詳細は、SDKおよびCLIの構成ファイルを参照してください。)

    ファイルの内容を貼り付けた後、秘密キー・ファイルを保存した場所にkey_fileパラメータを更新する必要があります。

    構成ファイルにすでにDEFAULTプロファイルがある場合は、次のいずれかを実行する必要があります:

    • 既存のプロファイルおよびその内容を置換します。
    • 既存のプロファイルの名前を変更します。
    • 構成ファイルに貼り付けた後、このプロファイルの名前を別の名前に変更します。
API署名キーの構成ファイル・スニペットを取得するには
次の手順は、通常のユーザーまたは管理者に対して有効です。
  1. ユーザーの詳細を表示します:
    • 自分のAPIキー構成ファイル・スニペットを取得する場合: ページ上部のナビゲーション・バーの右上にある「プロファイル」メニュー(「プロファイル」メニュー・アイコン)を選択し、「ユーザー設定」またはアカウント名をクリックします。
    • 管理者が別のユーザーのAPIキー構成ファイル・スニペットを取得する場合: ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ユーザー」をクリックします。リストでユーザーを見つけてから、ユーザーの名前をクリックして詳細を表示します。
  2. ページの左側の「APIキー」をクリックします。APIキー・フィンガープリントのリストが表示されます。
  3. 指紋の「Actions」メニュー(アクション・メニュー)をクリックし、「View configuration file」を選択します。

    構成ファイルのプレビューが表示されます。ファイル・スニペットには、構成ファイルの作成に必要な必須パラメータおよび値が含まれています。構成ファイル・スニペットをテキスト・ボックスから~/.oci/config fileにコピーして貼り付けます。(このファイルをまだ作成していない場合、その作成方法の詳細は、SDKおよびCLIの構成ファイルを参照してください。)ファイルの内容を貼り付けた後、秘密キー・ファイルを保存した場所にkey_fileパラメータを更新する必要があります。

    構成ファイルにすでにDEFAULTプロファイルがある場合は、次のいずれかを実行する必要があります:
    • 既存のプロファイルおよびその内容を置換します。
    • 既存のプロファイルの名前を変更します。
    • 構成ファイルに貼り付けた後、このプロファイルの名前を別の名前に変更します。
API署名キーを削除するには
次の手順は、通常のユーザーまたは管理者に対して有効です。管理者は、別のユーザーまたは自分自身のAPIキーを削除できます。
  1. ユーザーの詳細を表示します:
    • 自分のAPIキーを削除する場合: ページ上部のナビゲーション・バーの右上にある「プロファイル」メニュー(「プロファイル」メニュー・アイコン)を選択し、「ユーザー設定」またはアカウント名をクリックします。
    • 管理者として別のユーザーのAPIキーを削除するには: ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ユーザー」をクリックします。リストでユーザーを見つけてから、ユーザーの名前をクリックして詳細を表示します。
  2. 「APIキー」をクリックします。
  3. 削除するAPIキーの「アクション」メニュー(アクション・メニュー)をクリックし、「削除」を選択します。
  4. プロンプトが表示されたら確認します。
APIキーは、APIリクエストの送信に対して有効ではなくなります。
認証トークンを作成するには
  1. ユーザーの詳細を表示します:
    • 自分で認証トークンを作成している場合: ページ上部のナビゲーション・バーの右上にある「プロファイル」メニュー(「プロファイル」メニュー・アイコン)を選択し、「ユーザー設定」またはアカウント名をクリックします。
    • 管理者が別のユーザーの認証トークンを作成する場合: ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ユーザー」をクリックします。リストでユーザーを見つけてから、ユーザーの名前をクリックして詳細を表示します。
  2. ページの左側の「認証トークン」をクリックします。
  3. 「トークンの生成」をクリックします。
  4. このトークンの内容を示す説明を入力します(「Swiftパスワード・トークン」など)。

  5. 「トークンの生成」をクリックします。

    新しいトークン文字列が表示されます。

  6. ダイアログ・ボックスを閉じてから再び取得できないため、トークン文字列を即時にコピーします。

別のユーザーの認証トークンを作成する管理者は、口頭による提供、印刷または安全な電子メール・サービスによる送信によって、安全にユーザーに提供する必要があります。

認証トークンを削除するには

次の手順は、通常のユーザーまたは管理者に対して有効です。管理者は、別のユーザーまたは自身の認証トークンを削除できます。

  1. ユーザーの詳細を表示します:
    • 自分の認証トークンを削除する場合: ページ上部のナビゲーション・バーの右上にある「プロファイル」メニュー(「プロファイル」メニュー・アイコン)を選択し、「ユーザー設定」またはアカウント名をクリックします。
    • 管理者が別のユーザーの認証トークンを削除する場合: ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ユーザー」をクリックします。リストでユーザーを見つけてから、ユーザーの名前をクリックして詳細を表示します。
  2. ページの左側の「認証トークン」をクリックします。
  3. 削除する認証トークンに対して、「削除」をクリックします。
  4. プロンプトが表示されたら確認します。

サード・パーティAPIのアクセスでは、認証トークンは有効ではなくなります。

顧客秘密キーを作成するには
  1. ユーザーの詳細を表示します:
    • カスタマ秘密キーを自分で作成する場合: ページ上部のナビゲーション・バーの右上にある「プロファイル」メニュー(「プロファイル」メニュー・アイコン)を選択し、「ユーザー設定」またはアカウント名をクリックします。
    • 管理者が別のユーザーの顧客秘密キーを作成する場合: ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ユーザー」をクリックします。リストでユーザーを見つけてから、ユーザーの名前をクリックして詳細を表示します。

  2. ページの左側の「顧客秘密キー」をクリックします。

    顧客秘密キーはアクセス・キー/秘密キーのペアで構成されます。Oracleでは、ユーザーまたは管理者が顧客秘密キーを作成するために秘密キーを生成する場合、アクセス・キーを自動的に生成します。

  3. 「秘密キーの生成」をクリックします。

  4. キーのわかりやすい説明を入力し、「秘密キーの生成」をクリックします。

    生成された秘密キー「秘密キーの生成」ダイアログ・ボックスに表示されます。同時に、Oracleは、秘密キーとペアのアクセス・キーを生成します。新しく生成された顧客秘密キーが顧客秘密キーのリストに追加されます。

  5. セキュリティ上の理由でダイアログ・ボックスを閉じた後、秘密キーを再度取得できないため、秘密キーをただちにコピーしてください。

    別のユーザーの秘密キーを作成する管理者は、口頭の提供、印刷またはセキュアな電子メール・サービスを介した送信によって、そのユーザーにセキュアに提供する必要があります。

  6. 「閉じる」をクリックします。
  7. アクセス・キーを表示またはコピーするには、特定の顧客秘密キーの名前の左にある「表示」または「コピー」アクションをクリックします。
顧客秘密キーを削除するには

次の手順は、通常のユーザーまたは管理者に対して有効です。管理者は、別のユーザーまたは自分の顧客秘密キーを削除できます。

  1. ユーザーの詳細を表示します:
    • 自分の顧客秘密キーを削除する場合: ページ上部のナビゲーション・バーの右上にある「プロファイル」メニュー(「プロファイル」メニュー・アイコン)を選択し、「ユーザー設定」またはアカウント名をクリックします。
    • 管理者が別のユーザーの顧客秘密キーを削除する場合: ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ユーザー」をクリックします。リストでユーザーを見つけてから、ユーザーの名前をクリックして詳細を表示します。
  2. ページの左側の「顧客秘密キー」をクリックします。
  3. 削除する顧客秘密キーについて、「削除」をクリックします。
  4. プロンプトが表示されたら確認します。

顧客秘密キーはAmazon S3互換APIで使用できなくなります。

OAuth 2.0クライアント資格証明を作成するには
ノート

OAuth 2.0クライアント資格証明は、次のレルムでは使用できません:
  • 商用レルム(OC1)
  • United Kingdom Government Cloud (OC4)
  1. ユーザーの詳細を表示します:
    • OAuth 2.0クライアント資格証明を自分で作成する場合: ページ上部のナビゲーション・バーの右上にある「プロファイル」メニュー(「プロファイル」メニュー・アイコン)を選択し、「ユーザー設定」またはアカウント名をクリックします。
    • 管理者が別のユーザーのOAuth 2.0クライアント資格証明を作成する場合: ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ユーザー」をクリックします。リストでユーザーを見つけてから、ユーザーの名前をクリックして詳細を表示します。

  2. ページの左側で、「OAuth 2.0クライアント資格証明」をクリックします。

  3. 「OAuth 2.0クライアント資格証明の生成」をクリックします。

  4. 「名前」をクリックし、この資格証明の名前を入力します。

  5. 「タイトル」をクリックし、この資格証明の説明を入力します。

  6. この資格証明がアクセスを提供するOAuth 2.0サービスのURIを追加します。

    オーディエンスとスコープのペアを選択するには:
    1. 「オーディエンス」に、OAuth 2.0サービスのURIを入力します。
    2. 次に、この資格証明のスコープを選択します。常に必要最小限の権限を選択してください。
  7. この資格証明にさらに権限を追加するには、「+ 別のスコープ」をクリックし、前のステップの指示に従います。
  8. 「生成」をクリックします。新しいシークレット文字列が生成されます。

    ダイアログ・ボックスを閉じてから再び取得できないため、トークン文字列を即時にコピーします。

    別のユーザーの秘密キーを作成する管理者の場合、その秘密キーをユーザーに安全に提供する必要があります。

トークン・リクエストの資格証明から次の情報が必要になります:

  • 生成されたシークレット
  • OAuth 2.0クライアント資格証明のOCID
  • スコープとオーディエンス(完全修飾スコープ)
既存のOAuth 2.0クライアント資格証明にスコープを追加するには
  1. ユーザーの詳細を表示します:
    • OAuth 2.0クライアント資格証明を自分で作成する場合: ページ上部のナビゲーション・バーの右上にある「プロファイル」メニュー(「プロファイル」メニュー・アイコン)を選択し、「ユーザー設定」またはアカウント名をクリックします。
    • 管理者が別のユーザーのOAuth 2.0クライアント資格証明を作成する場合: ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ユーザー」をクリックします。リストでユーザーを見つけてから、ユーザーの名前をクリックして詳細を表示します。

  2. ページの左側で、「OAuth 2.0クライアント資格証明」をクリックします。

  3. スコープを追加する資格証明の名前をクリックします。
  4. 「スコープの追加」をクリックします。

  5. アクセス権を追加するOAuth 2.0サービスのURIを追加します。

    リソースとスコープのペアを選択するには
    1. 「リソースとスコープのペアを選択」オプションを選択します。
    2. 「リソース」リストに、表示する権限のあるリソースが表示されます。資格証明を追加するリソースを選択します。リソースを選択すると、「オーディエンス」フィールドに値が自動的に移入されます。
    3. 次に、この資格証明のスコープを選択します。常に必要最小限の権限を選択してください。
    完全修飾スコープを入力するには:
    1. 「完全修飾スコープを入力」オプションを選択します。
    2. この資格証明のオーディエンススコープを入力します。
  6. この資格証明にさらに権限を追加するには、「+ 別のスコープ」をクリックし、前のステップの指示に従います。
  7. 「変更の保存」をクリックします
OAuth 2.0クライアント資格証明のシークレットを再生成するには

重要: 資格証明のシークレットを再生成すると、以前のシークレットを使用して行われたリクエストはターゲット・スコープへのアクセスを拒否されます。

  1. ユーザーの詳細を表示します:
    • OAuth 2.0クライアント資格証明を自分で作成する場合: ページ上部のナビゲーション・バーの右上にある「プロファイル」メニュー(「プロファイル」メニュー・アイコン)を選択し、「ユーザー設定」またはアカウント名をクリックします。
    • 管理者が別のユーザーのOAuth 2.0クライアント資格証明を作成する場合: ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ユーザー」をクリックします。リストでユーザーを見つけてから、ユーザーの名前をクリックして詳細を表示します。

  2. ページの左側で、「OAuth 2.0クライアント資格証明」をクリックします。

  3. シークレットを再生成する資格証明の名前をクリックします。
  4. 「スコープの追加」をクリックします。
  5. 「シークレットの再生成」をクリックします。
  6. 警告ダイアログを確認し、「シークレットの再生成」をクリックします。
  7. ダイアログ・ボックスを閉じてから再び取得できないため、トークン文字列を即時にコピーします。

必ず既存のトークン・リクエストを新しいシークレット文字列で更新してください。

OAuth 2.0クライアント資格証明を削除するには

次の手順は、通常のユーザーまたは管理者に対して有効です。管理者は、別のユーザーまたは自身の認証トークンを削除できます。

  1. ユーザーの詳細を表示します:
    • 自分のOAuth 2.0クライアント資格証明を削除する場合: ページ上部のナビゲーション・バーの右上にある「プロファイル」メニュー(「プロファイル」メニュー・アイコン)を選択し、「ユーザー設定」またはアカウント名をクリックします。
    • 管理者が別のユーザーの認証トークンを削除する場合: ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ユーザー」をクリックします。リストでユーザーを見つけてから、ユーザーの名前をクリックして詳細を表示します。
  2. ページの左側で、「OAuth 2.0クライアント資格証明」をクリックします。
  3. 削除するOAuth 2.0クライアント資格証明について、「削除」をクリックします。
  4. プロンプトが表示されたら確認します。

OAuth 2.0クライアント資格証明は使用できなくなりました。

SMTP資格証明を生成するには
  1. ユーザーの詳細を表示します:
    • 自分のSMTP資格証明を生成する場合: ページ上部のナビゲーション・バーの右上にある「プロファイル」メニュー(「プロファイル」メニュー・アイコン)を選択し、「ユーザー設定」またはアカウント名をクリックします。
    • 管理者が別のユーザーのSMTP資格証明を生成する場合: ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ユーザー」をクリックします。リストでユーザーを見つけてから、ユーザーの名前をクリックして詳細を表示します。
  2. 「SMTP資格証明」をクリックします。

  3. 「SMTP資格証明の生成」をクリックします。

  4. ダイアログ・ボックスにSMTP資格証明の説明を入力します。
  5. 「SMTP資格証明の生成」をクリックします。ユーザー名とパスワードが表示されます。

  6. レコードのユーザー名とパスワードをコピーし、「閉じる」をクリックします。セキュリティ上の理由でダイアログ・ボックスを閉じた後、パスワードを再度取得できないため、資格証明をすぐにコピーしてください。

    別のユーザー用に設定した資格証明を作成する管理者は、口頭の提供、印刷またはセキュアな電子メール・サービスを介した送信によって、その資格証明を安全にユーザーに提供する必要があります。

SMTP資格証明を削除するには

次の手順は、通常のユーザーまたは管理者に対して有効です。管理者は、別のユーザーまたは自分自身のSMTP資格証明を削除できます。

  1. ユーザーの詳細を表示します:
    • 自分のSMTP資格証明を削除する場合: ページ上部のナビゲーション・バーの右上にある「プロファイル」メニュー(「プロファイル」メニュー・アイコン)を選択し、「ユーザー設定」またはアカウント名をクリックします。
    • 管理者が別のユーザーのSMTP資格証明を削除する場合: ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ユーザー」をクリックします。リストでユーザーを見つけてから、ユーザーの名前をクリックして詳細を表示します。
  2. ページの左側の「SMTP資格証明」をクリックします。
  3. 削除するSMTP資格証明について、「削除」をクリックします。
  4. プロンプトが表示されたら確認します。

SMTP資格証明は電子メール配信サービスで使用できなくなります。

IAMデータベース・パスワードを作成するには

Oracle Databaseのパスワード作成ガイドラインを満たすようにIAMデータベース・パスワードを作成できます。IAMデータベース・パスワードの仕様については、IAMデータベース・パスワードの作成を参照してください。

  1. OCI IAMコンソールにログインします。
  2. ウィンドウの右上隅で、プロファイル・アイコンをクリックしてユーザー・プロファイル・ページを表示します。
  3. ユーザー・プロファイル・ページで、自分のユーザー名をクリックします。
  4. 「リソース」で、「データベース・パスワード」をクリックします。
  5. 「データベース・パスワード」セクションで、「データベース・パスワードの作成」をクリックします。

    「データベース・パスワードの作成」ダイアログ・ボックスが表示されます。

  6. パスワードの説明を入力します。
  7. ページにリストされているパスワードのガイドラインおよび制限に注意してください。パスワード・ルールの詳細は、IAMデータベース・パスワードの作成を参照してください。
  8. 「データベース・パスワードの作成」をクリックします。

    ダイアログ・ボックスが閉じて、パスワードの作成に関する説明が「データベース・パスワード」セクションに表示されます。

IAMデータベース・パスワードを変更するには

IAMデータベース・パスワードを変更するには、現在のパスワードを削除して新しいパスワードを作成します。IAMデータベース・パスワードを削除するにはおよびIAMデータベース・パスワードを作成するにはを参照してください。

IAMデータベース・パスワードを削除するには

独自のIAMデータベース・パスワードを削除できます。

  1. OCI IAMコンソールにログインします。
  2. ウィンドウの右上隅で、プロファイル・アイコンをクリックしてユーザー・プロファイル・ページを表示します。
  3. ユーザー・プロファイル・ページで、自分のユーザー名をクリックします。
  4. 「リソース」で、「データベース・パスワード」をクリックします。
  5. ユーザー名が「データベース・パスワード」セクションに表示されます。
  6. 自分のユーザー名がある行の右端で、3ドットのメニューをクリックし、「削除」をクリックします。
IAMデータベース・ユーザー名を作成するには

IAMデータベース・ユーザー名を変更するには:

  1. OCI IAMコンソールにログインします。
  2. 「アイデンティティとセキュリティ」をクリックします。
  3. 「アイデンティティ」で、「ユーザー」をクリックします。
  4. データベース・ユーザーの表で、「ユーザーの作成」をクリックします。
  5. 「名前」フィールドに、データベース・ユーザー名を入力します。文字、数字、ハイフン、ピリオド、アンダースコア、+、および@のみを入力します。名前にはスペースを使用できません。
  6. 「説明」フィールドに、オプションで、このユーザー名の対象となるデータベースの名前やその他の関連情報を入力します。
  7. オプションで、「拡張オプション」をクリックして、「タグ」ダイアログ・ボックスを表示します。
  8. 「タグ・ネームスペース」、「タグ・キー」および「値」フィールドに、タグ名を入力します
  9. 「変更の保存」をクリックします
IAMデータベース・ユーザー名を変更するには

IAMデータベース・ユーザー名を変更するには:

  1. OCI IAMコンソールにログインします。
  2. 「アイデンティティとセキュリティ」をクリックします。
  3. 「アイデンティティ」で、「ユーザー」をクリックします。
  4. データベース・ユーザーの表で、データベース・ユーザー名を見つけて左クリックします。

    ユーザー名のページが表示されます。

  5. 「ユーザーの編集」をクリックします。
  6. 「説明」フィールドで、データベース・ユーザー名を編集し、「変更の保存」をクリックします。
IAMデータベース・ユーザー名を削除するには

IAMデータベース・ユーザー名を変更するには:

  1. OCI IAMコンソールにログインします。
  2. 「アイデンティティとセキュリティ」をクリックします。
  3. 「アイデンティティ」で、「ユーザー」をクリックします。
  4. データベース・ユーザーの表で、データベース・ユーザー名を見つけて左クリックします。

    ユーザー名のページが表示されます。

  5. 自分のユーザー名を含む行の右端にある3ドットのメニューをクリックし、「削除」をクリックします。

APIの使用

APIの使用およびリクエストの署名の詳細は、REST APIのドキュメントおよびセキュリティ資格証明を参照してください。SDKの詳細は、SDKおよびCLIを参照してください。

このAPI操作を使用して、コンソールのパスワードとアクセスを管理します。

  • CreateOrResetUIPassword:ユーザーの新しいワンタイム・コンソール・パスワードを生成します。次回、ユーザーがコンソールにサインインすると、パスワードの変更を求められます。
  • UpdateUserState:連続して10回サインインに失敗したユーザーをブロック解除します。

API署名キーを管理するには、次のAPI操作を使用します。

次のAPI操作を使用して、認証トークンを管理します。

次のAPI操作を使用して、顧客秘密キーを管理します。

次のAPI操作を使用して、OAuth 2.0クライアント資格証明を管理します:

次のAPI操作を使用して、SMTP資格証明を管理します。