Oracle Cloud Infrastructureドキュメント

ユーザーとグループの作成

WebLogic管理で作業するには、組織のテナンシ管理者がグループを作成し、ユーザーをグループに追加し、サービスとそのリソースにアクセスできるユーザー、およびアクセス権のタイプを制御するポリシーを追加する必要があります。

重要

Pre-General Availability: 2024-10-11

The following legal notice applies to Oracle pre-GA releases.著作権およびその他の適用される法律に関する情報は、Oracleの法律上の注意点を参照してください。

Pre-General Availability Draft Documentation Notice

このドキュメントはPre-General Availability (一般提供前)版であり、デモおよび暫定使用のみを目的としたものです。このソフトウェアを使用するハードウェアに限定するものではありません。Oracle Corporationおよびその関連会社は、このドキュメントに関して一切の責任を負わず、いかなる保証もいたしません。また、このドキュメントを使用したことによって損失、費用、あるいは損害が発生しても、一切の責任を負いかねます。

WebLogic管理を使用するテナンシに少なくとも1人のユーザーを作成します。このユーザーは、IAMサービスを作成する必要があります。

ユーザー・グループ、動的グループおよびIAMポリシーでは、特定のOCIリソースにアクセスできるユーザーとサービスを指定します。サービスが管理できるWebLogic管理リソースと、それらのリソースを管理できるユーザーを識別する必要があります。これを行うには、ユーザー・グループ動的グループを定義し、必要なIAMポリシーを設定します。

ユーザー・グループ

ユーザー・グループを作成するか、既存のユーザー・グループを識別して、テナンシ内のWebLogic管理サービスを管理します。必要なポリシー・ステートメントは、この管理者ユーザー・グループにWebLogic管理リソースを管理する権限を付与します。

アクセスをさらに制限する必要がある場合は、追加のユーザー・グループを作成し、より制限的なポリシー・ステートメントを設定して、特定のリソースへのアクセスを制限できます。管理者以外のユースケースについては、ポリシーの例を参照してください。ユーザー・グループの詳細は、グループの管理を参照してください。

動的グループ

動的グループを作成して、OCIインスタンスのルール文を定義して管理するリソースWebLogicを指定します。

  1. 次のことを理解してください。

  2. ステップに従って、動的グループを作成するか、既存の動的グループを更新し、次のように一致ルールを構成します。

    ヒント

    1つのリソースは最大5つの動的グループにのみ属することができるため、新しい動的グループを作成するのではなく、サービス全体で可能なかぎり同じ動的グループを再利用します。

  3. 照合ルール設定全体について、「次で定義されているルールに一致」を選択します。

  4. WebLogic管理が管理するインスタンスのルール文を作成します。

    重要

    動的グループ・ルールはコンパートメント継承を使用しません。サービスで管理するコンパートメントおよびサブコンパートメントごとにルール・ステートメントを指定する必要があります。

    OCIインスタンスのルール

    インスタンスを含む各コンパートメント(およびサブコンパートメント)を含むルール・ステートメントを追加します。

    ANY {instance.compartment.id='<compartment_ocid>',instance.compartment.id='<subcompartment_ocid>'}

    このルールには、指定されたコンパートメント内のすべてのOCIインスタンスが含まれます。

  5. 「作成」(作成する場合)または「保存」(更新する場合)をクリックします。
動的グループは何をしますか。
動的グループは、WebLogic管理が管理するインスタンスを識別します。サービスで管理するインスタンスを含むコンパートメントおよびサブコンパートメントのルール・ステートメントを追加します。動的グループは、これらのルール文に基づいて動的に増減します。インスタンスがプロビジョニングまたはリタイアされると、それに応じて動的グループが変更されます。必要なポリシー・ステートメントは、動的グループ内のインスタンスにアクセスする権限をWebLogic管理に付与します。

動的グループの詳細は、動的グループの管理を参照してください。

動的グループに対してANYおよびALLを使用する場合

動的グループ・ルール文を記述する前に、ANYとALLの違いを理解することが重要です。

動的グループを定義する場合、グループ内で定義されたルールとグループがどのように一致するかを設定します。

  • 「下で定義したいずれかのルールに一致」には、動的グループ内のいずれかのルールに一致するリソースが含まれます。複数のコンパートメントまたは複数のインスタンス・タイプのルールを含むグループを定義する場合は、これを選択します。この設定は、ルール1またはルール2またはルール3に一致するリソースを含めるようにグループに指示します。
  • 「下で定義したすべてのルールに一致」には、動的グループ内のすべてのルールに一致するリソースが含まれます。1つのコンパートメントのみを含む可変幅の狭い動的グループを定義する場合は、これを選択します。この設定は、ルール1およびルール2およびルール3に一致するリソースを含めるようにグループに指示します。

動的グループ内で個々のルール文を定義する場合は、各文の条件を設定します。

  • 次のすべて(ALL)には、ルールのすべての条件に一致するリソースのみが含まれます。ALL文では、各条件がtrueである必要があります。それ以外の場合、リソースはルールに含まれません。

  • 次のいずれか(ANY)には、ルールのいずれかの条件に一致するリソースが含まれます。

個々のルール文のANYおよびALLの例

OCI以外のインスタンスに使用されるルールについて考えてみます。

Correct usage:
ALL {resource.type='managementagent', resource.compartment.id='<compartment_ocid>'}

ALLを使用する場合、ルールには、指定したコンパートメントのリソースのみが含まれます。この文は、管理エージェント・タイプと一致し、指定したコンパートメント内にあるリソースを含めるように動的グループに指示します。

Incorrect usage. Do not use:
ANY {resource.type='managementagent', resource.compartment.id='<compartment_ocid>'}

ANYを使用する場合、ルールには、テナンシ全体のすべてのリソースと、指定したコンパートメントに存在するすべてのOCIリソースが含まれます。文にはWebLogic管理に必要なリソースが含まれますが、これは非常に広範で、通常は好ましくありません。

複数のコンパートメントを指定するときにOCIインスタンスに使用されるルールについて考えてみます。

Correct usage:
ANY {instance.compartment.id='<compartment_ocid>',instance.compartment.id='<subcompartment_ocid>'}

ANYを使用する場合、ルールには、指定した各コンパートメントのすべてのインスタンスが含まれます。この文は、<compartment_ocid>または<subcompartment_ocid>にインスタンスを含めるように動的グループに指示します。

Incorrect usage. Do not use:
ALL {instance.compartment.id='<compartment_ocid>',instance.compartment.id='<subcompartment_ocid>'}

ALLを使用する場合、ルールは、<compartment_ocid>および<subcompartment_ocid>にあるインスタンスを含めるように動的グループに指示します。インスタンスを複数のコンパートメントに同時に配置することはできないため、このルールにはインスタンスが含まれません。複数のコンパートメントを指定するルール文では、ALLを使用しないでください。