IDCSユーザーでOCIリソースを扱うには？

IDCSユーザーでOracle Cloudのリソースを扱うために、IAMのポリシーをアタッチする必要が出てくることがあります。
そんな時に、どのようにして設定するかをご紹介します。

＜用語説明＞
IDCS：Oracle Idendity Cloud Service
IAM：Identity and Access Management

まず、IDCSユーザーとは何？という方もいらっしゃるかと思うので、簡単にご紹介します。

Oracle Cloudのユーザーには2種類あります。IAMユーザーとIDCSユーザーです。2つのユーザーの違いは、操作できる範囲にあります。

Oracle Cloudコンソール上のサービスのみ扱える

IAMユーザーの機能に加えて、IDCS(Oracle Idendity Cloud Service)を扱えたり、追加機能が提供されている

冒頭でもご紹介したように、IDCSユーザーでOracle Cloudのリソースを扱うには、ポリシーのアタッチが必要になります。
他にもいくつか手順がありますので、併せてご紹介します。

左上にあるハンバーガーメニューから
「アイデンティティ」　→　「フェデレーション」　⇒　「OracleIdentityCloudService」　→　「グループ」の順にメニューを選択します。

まずは、IDCSユーザーを作成する前に、IDCSグループを作成します。
IDCSユーザーを作成する際に、1つ以上のIDCSグループを指定する必要があるためです。

左上にあるハンバーガーメニューから
「アイデンティティ」　→　「フェデレーション」　⇒　「OracleIdentityCloudService」　→　「ユーザー」の順にメニューを選択します。

IDCSユーザーを作成します。
グループオプションでは、手順1 で作成したグループを指定します。

作成が完了すると、以下のメールが届くのでパスワードリセットを実施します。
これで、IDCSユーザーの作成が完了です。

左上にあるハンバーガーメニューから
「アイデンティティ」　→　「グループ」の順にメニューを選択します。

OCIリソースを扱う際にアタッチするポリシーでは、IDCSグループは指定できないため、IAMグループを指定します。
ここで、ポリシーに記載するIAMグループを作成します。

左上にあるハンバーガーメニューから
「アイデンティティ」　→　「フェデレーション」　⇒　「OracleIdentityCloudService」　→　「グループ・マッピング」の順にメニューを選択します。

手順3 で作成したIDCSグループと手順3 で作成したIAMグループをマッピングします。
マッピングをすることで、IAMグループを指定することで、間接的にIDCSユーザーの制御を設定することが可能です。

左上にあるハンバーガーメニューから
「アイデンティティ」　→　「ポリシー」の順にメニューを選択します。

ポリシービルダーでグループを指定する際、IAMのグループを指定する必要があります。手順4 でグループ・マッピングをしているため、IDCSユーザーが含まれているIDCSグループと関連付けられています。

IDCSユーザーにポリシーをアタッチするには、今回紹介した「グループのマッピング」が必要になります。
IAMユーザーよりIDCSユーザーは機能が多いので、IDCSユーザーを作ることをお勧めします。

執筆者情報

• 佐橋 拓馬

愛知県の文系大学を卒業し、2019年アシストに新卒で入社。
幼いころから社内SEである父を見て育ち、同じ業界に進むことを決意。配属後は、主にOracle CloudとAWSのフィールド業務を担当している。新人の頃から主にクラウドを担当し、アシスト内ではオンプレミスを触れていない"クラウド世代"の先陣を切っている。...show more