グループの管理
このトピックでは、グループの操作の基本について説明します。
テナンシがOracle Identity Cloud Serviceとフェデレートされている場合は、グループを管理するためにOracle Cloud InfrastructureコンソールでのOracle Identity Cloud Serviceユーザーおよびグループの管理を参照してください。
必須IAMポリシー
管理者グループに属している場合、グループの管理に必要なアクセス権があります。
ポリシーを初めて使用する場合は、ポリシーの開始と共通ポリシーを参照してください。グループまたは他のIAMコンポーネントのポリシーの書込みの詳細は、アイデンティティ・ドメインのないIAMの詳細を参照してください。
リソースのタグ付け
リソースにタグを適用すると、ビジネス・ニーズに応じてそれらを整理しやすくなります。リソースの作成時にタグを適用するか、後でリソースを必要なタグで更新します。タグ適用についての一般情報は、リソース・タグを参照してください。
グループの作業
グループを作成するときは、グループに一意で不変な名前を指定する必要があります。名前は、テナンシ内のすべてのグループで一意である必要があります。また、グループの説明(空の文字列でも可能)を指定する必要があります。これは、グループの一意で変更可能な説明です。また、Oracleでは、グループにOracle Cloud ID (OCID)と呼ばれる一意のIDを割り当てます。詳細は、リソース識別子を参照してください。
グループを削除してから同じ名前で新規グループを作成すると、別のOCIDがあるため、異なるグループとみなされます。
テナンシまたはコンパートメントのいずれかにそのグループ権限を付与するポリシーを少なくとも1つ書き込むまで、グループに権限はありません。ポリシーを記述するときに、一意の名前またはグループのOCIDを使用してグループを指定できます。前述のノートごとに、ポリシーにグループ名を指定した場合でも、IAMが内部でOCIDを使用してグループを特定します。ポリシーの書込みの詳細は、ポリシーの管理を参照してください。
グループを削除できますが、グループが空の場合のみ削除できます。
保有できるグループの数の詳細は、サービス制限を参照してください。
アイデンティティ・プロバイダとフェデレートしている場合は、アイデンティティ・プロバイダのグループとIAMグループ間のマッピングを作成します。詳細は、アイデンティティ・プロバイダによるフェデレートを参照してください。
コンソールの使用
- ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。テナンシのグループのリストが表示されます。
- 「グループの作成」をクリックします。
- 次を入力します:
- 名前:グループの一意の名前。名前は、テナンシ内のすべてのグループで一意である必要があります。これは後で変更できません。名前は1から100文字の長さにする必要があり、使用できる文字は小文字のaからz、大文字のAからZ、0から9、ピリオド(.)、ダッシュ(-)およびアンダースコア(_)です。スペースは使用できません。機密情報の入力は避けてください。
- 説明: わかりやすい説明。これは必要に応じて後で変更できます。
- タグ: リソースを作成する権限がある場合、そのリソースにフリーフォーム・タグを適用する権限もあります。定義済のタグを適用するには、タグ・ネームスペースを使用する権限が必要です。タグ付けの詳細は、リソース・タグを参照してください。タグを適用するかどうかがわからない場合は、このオプションをスキップするか、管理者に連絡してください。タグは後で適用できます。
- 「グループの作成」をクリックします。
グループにユーザーを追加したり、グループのポリシーを記述する場合があります。ポリシーを作成するにはを参照してください。
- ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。テナンシのグループのリストが表示されます。
- リストでグループを検索します。
- グループをクリックします。その詳細が表示されます
- 「ユーザーをグループに追加」をクリックします。
- ドロップダウン・リストからユーザーを選択して、「ユーザーの追加」をクリックします。
- ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。テナンシのグループのリストが表示されます。
- リストでグループを検索します。
- グループをクリックして、グループの詳細を表示します。グループ内のユーザーのリストが表示されます。
- リストでユーザーを検索します。
- 削除するユーザーに対して、「削除」をクリックします。
- プロンプトが表示されたら確認します。
前提条件:グループを削除するには、グループにユーザーが含まれていない必要があります。
- ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。テナンシのグループのリストが表示されます。
- リストでグループを検索します。
- 削除するグループの「削除」をクリックします。
- プロンプトが表示されたら確認します。
APIでのみ使用可能です。APIにアクセスできない場合に、グループの説明を更新する必要がある場合は、Oracle Supportに連絡してください。
APIの使用
APIの使用およびリクエストの署名の詳細は、REST APIのドキュメントおよびセキュリティ資格証明を参照してください。SDKの詳細は、SDKおよびCLIを参照してください。
すべてのリージョンで更新が即時ではない
IAMリソースはホーム・リージョンにあります。すべてのリージョンにわたってポリシーを施行するために、IAMサービスは各リージョンにリソースをレプリケートします。ポリシー、ユーザーまたはグループを作成または変更するたびに、変更はホーム・リージョンの最初に有効になり、その後他のリージョンに伝播されます。変更がすべてのリージョンで有効になるまでに、数分かかることがあります。たとえば、テナンシ内でインスタンスを起動する権限を持つグループがあるとします。このグループにUserAを追加すると、UserAでは1分以内にホーム・リージョンのインスタンスを起動できます。ただし、UserAは、レプリケーション・プロセスが完了するまで、他のリージョンでインスタンスを起動できません。このプロセスには最大で数分かかります。レプリケーションが完了する前にUserAがインスタンスを起動しようとすると、認可されていないエラーが発生します。
グループを管理するには、次のAPI操作を使用します。
- CreateGroup
- ListGroups
- GetGroup
- UpdateGroup:グループの説明だけを更新できます。
- DeleteGroup
- ListUserGroupMemberships:グループ内のユーザーやユーザーが所属するグループのリストを取得するために使用します。
- AddUserToGroup:この操作により、独自のOCIDを持つ
UserGroupMembershipオブジェクトが生成されます。 - GetUserGroupMembership
- RemoveUserFromGroup:この操作は、
UserGroupMembershipオブジェクトを削除します。
アイデンティティ・プロバイダのグループ・マッピングに関連するAPI操作については、アイデンティティ・プロバイダによるフェデレートを参照してください。