インスタンスからのサービスのコール
このトピックでは、Oracle Cloud Infrastructureでサービスをコールするためにコンピュート・インスタンスを認可する方法について説明します。
概要
この手順では、Oracle Cloud InfrastructureサービスでAPIコールを実行するためにコンピュート・インスタンスを認可する方法について説明します。必要なリソースおよびポリシーの設定後、インスタンスで実行されているアプリケーションは、Oracle Cloud Infrastructureパブリック・サービスをコールでき、ユーザー資格証明または構成ファイルを構成する必要がなくなります。
概念
- 動的グループ
- 動的グループを使用すると、ユーザー・グループと同様に、Oracle Cloud Infrastructure Computeインスタンスをプリンシパルのアクターとしてグループ化できます。その後、これらのグループのインスタンスに対してOracle Cloud InfrastructureサービスへのAPIコールを許可するポリシーを作成できます。グループ内のメンバーシップは、一致ルールと呼ばれる、ユーザーが定義する基準のセットによって決定されます。
- 一致ルール
- 動的グループを設定するときは、グループのメンバーシップのルールも定義します。ルール基準に一致するリソースが動的グループのメンバーになります。一致ルールには特定の構文が使用されます。動的グループを定義するための一致ルールの記述を参照してください。
- インスタンス・プリンシパル
- コンピュート・インスタンスを認可者(またはプリンシパル)にでき、サービス・リソースに対するアクションを実行できるIAMサービス機能。各コンピュート・インスタンスは、自身のアイデンティティを持ち、追加された証明書を使用して認証を行います。これらの証明書は自動的に作成され、インスタンスに割り当てられてローテーションされ、ホストに資格証明を配布してローテーションする必要がなくなります。
セキュリティに関する考慮事項
コンピュート・インスタンスにアクセスできるユーザー(インスタンスへのSSHを実行できるユーザー)は、インスタンスに付与された権限を自動的に継承します。このトピックに記載されたプロセスを使用してインスタンスに権限を付与する前に、誰がそのインスタンスにアクセスできるか(SSHキーを持っているため、またはユーザーとしてインスタンスにそれらを追加したため)を認識し、インスタンスに付与する権限を付与する必要があります。
すべてのコンピュート・インスタンス・プリンシパルには、compartment_inspect
権限が付与されます。この権限は取り消せません。この権限により、テナンシ内のListCompartmentsへのインスタンスは、次の情報を取得できます:
- コンパートメント名
- コンパートメントの説明
- コンパートメントに適用されたフリーフォーム・タグ
- コンパートメントに適用された自動タグ・デフォルト。CreatedByやCreatedOnなどのこれらのタグは、Oracle-Tagネームスペースにあり、Oracleによって自動的に追加されます。