【OCI_02】管理者ユーザー、グループ、ポリシー、コンパートメントを新規作成

 
この記事を書いている人 - WRITER -
ブログ運営者のtkjzblogです。 仕事柄新しいシステムに触れることが多いです。 Windows、Linux(RHEL)がメインです。その他、VMwareやOffice365など仮想環境やクラウド環境も少しですが触れることがあります。 いろいろ忘れがちのため、このサイトへ情報を書き溜めていきたいと思います。 どうぞ、よろしくお願い致します。

OCI無料アカウント(ルートユーザー)を作成してOCI管理コンソールへサインインすることができました。
OCI無料アカウント(ルートユーザー)は、支払い・サブスクリプション・テナンシ設定確認用のみの利用とし、普段の運用は別の管理者ユーザーで行うのがベストプラクティスとされているため、それに習い管理者ユーザーを作成したいと思います。
さらにグループ、ポリシー、コンパートメントを新規作成し、今後の検証作業は管理者ユーザーで作成したコンパートメントへコンポーネントを作成して進めたいと思います。
アーキテクチャ図にすると以下のような感じと思います。

   

OCIの代表的な概念

OCIのコンポーネントについて、簡単に触れておきます。

アカウントおよびアクセスの概念
https://docs.oracle.com/ja-jp/iaas/Content/GSG/Concepts/concepts-account.htm

  

●テナンシ
OCI の 契約全体 を表し、1人または1組織に1つ発行され、課金・ID管理の最上位単位です。
この中に別のコンパートメント、ユーザー、リソース(VMなど)を作ります。
 
●ルート・コンパートメント
テナンシ作成時に自動でできる最上位の論理フォルダのようなものです。
すべてのリソースや下位コンパートメントがこの中に存在します。
 
●リージョン
物理的なデータセンター群のある地理的な場所です。
リージョンはコンパートメントの中に属するわけではなく、コンパートメントのリソースがどのリージョンに作られるかで関連付けられます。
 
●可用性ドメイン(Availability Domain, AD)
1つのリージョンの中にある独立したデータセンター群です。東京、大阪リージョンは、可用性ドメインが1つだけです。
北米や欧州の代表的なリージョンには、可用性ドメインが3つのマルチADリージョンもあります。
マルチADリージョン内のAD間は物理的に分離されているため、片方が障害になってももう片方は動くよう設計されています。
 
●フォルト・ドメイン(Fault Domain, FD)
可用性ドメイン(AD)の中でさらに分けられた小さなグループで、同じAD内のサーバーを3つのFDに分け、障害を分散します。
 
●VCN(Virtual Cloud Network)
OCI 上で作る 仮想ネットワークです。
自分専用のネットワーク空間で、サブネット・ルート表・セキュリティリストなどを定義できます。
 
●インスタンス(Instance)
OCI 上で動作する 仮想マシン(VM)です。
VCN 内のサブネットに配置され、パブリックIPを付ければインターネットアクセスも可能です。
 
●ブロック・ボリューム(Block Volume)
仮想マシン(インスタンス)にアタッチできる 外付けディスクです。
OSディスクとは別にデータ保存用として利用可能で切り離して他のインスタンスに付け替えることもできます。
 

   

事前準備

ユーザー作成には、メールアドレスが必要になりますので事前に準備しておきます。

他、ユーザーやグループ、ポリシーの名前も事前に準備しておきます。
 ・コンパートメント名:test_compartment
 ・管理者ユーザー名:ocitestadm01
 ・グループ名:ociadmin_group
 ・ポリシー名:ociadmin_policy

   

新規コンパートメントの作成

OCI無料アカウント(ルートユーザー)で作業します。
検証用コンパートメントとして「test_compartment」を作成します。
OCIコンソールの左上のハンバーガーメニューを展開し、「アイデンティティとセキュリティ」を選択、「アイデンティティ」の「コンパートメント」を選択します。

無料アカウントを作成した際に作成されたルート・コンパートメントが表示されています。
「コンパートメントの作成」をクリックします。

コンパートメントの作成画面で必須項目の「名前」、「説明」を入力します。
「親コンパートメント」は、デフォルトのルート・コンパートメントを選択します。
右下の「コンパートメントの作成」をクリックします。

検証用コンパートメント「test_compartment」が作成されました。

   

新規グループの作成

新規作成する管理者ユーザーが所属するグループとして「ociadmin_group」を作成します。
OCIコンソールの左上のハンバーガーメニューを展開し、「アイデンティティとセキュリティ」を選択、「アイデンティティ」の「ドメイン」を選択します。

■ドメインとは
OCIの「ドメイン」とは、Identity Domain(アイデンティティ・ドメイン) のことを指します。
「ユーザーやグループ、認証方法(ログイン管理)をまとめる仕組み」となり、ドメインの中でユーザー・グループを作り、サインイン方法を制御します。
OCI テナンシを作ったときに「Default」という標準のドメインが自動で作成されます。
すべてのユーザー・グループは最初、この Default ドメイン の中で管理されます。

ドメイン画面でデフォルトで作成されている「Default」をクリックします。

「ユーザー管理」タブを選択し、下へスクロールします。デフォルトで2つのグループ「All Domain Users」と「Administrators」が存在しています。
「グループの作成」をクリックします。

グループの作成画面で「名前」を入力します。「説明」は任意のため、今回は入力しません。
「ユーザーにアクセス権のリクエストを許可」設定はデフォルトのままOFFとします。

現在ユーザーは、ルートユーザーしか存在していません。何もチェックせずに右下の「作成」をクリックします。

「ociadmin_group」が作成されました。

   

管理者ユーザーの作成

管理者ユーザーとして「ocitestadm01」を作成します。
OCIコンソールの左上のハンバーガーメニューを展開し、「アイデンティティとセキュリティ」を選択、「アイデンティティ」の「ドメイン」を選択します。

ドメイン画面でデフォルトで作成されている「Default」をクリックします。

「ユーザー管理」タブを選択します。無料アカウントを作成した際に登録したルートユーザーが表示されています。
「作成」をクリックします。

ユーザーの作成画面で「姓」を入力します。「名」は任意のため、今回は入力しません。
「ユーザー名として電子メール・アドレスを使用」設定をOFFにします。すると「ユーザー名」を入力する項目が表示されます。
「ユーザー名」、「電子メール」を入力します。

グループの選択画面でユーザー「ocitestadm01」は、「ociadmin_group」に所属させたいのでチェックを入れて、右下の「作成」をクリックします。

ユーザー「ocitestadmin01」が作成されました。

ユーザー名「ocitestadm01」をクリック、「Groups」タブを選択すると所属するグループ「ociadmin_group」が表示されます。

ユーザーのメールボックスへアクティベートとパスワード設定に関するメールが届いているので指示に従いパスワードを設定します。
メール本文にある「Activate Your Account」をクリックします。

パスワードは12文字以上が必須のようです。以下画面は8文字で設定したので一度エラーが出ています。
パスワードを入力し、「パスワードのリセット」をクリックします。

パスワードがリセットされました。この画面はいったん閉じます。

   

管理者用ポリシーの作成

新規管理者ユーザー「ocitestadm01」が所属するグループ「ociadmin_group」へ適用するポリシー「ociadmin_policy」を作成して、グループへ作成したポリシーを適用します。
グループへの適用は、ポリシー作成内の「ステートメント」項目を設定することで適用されます。

OCIコンソールの左上のハンバーガーメニューを展開し、「アイデンティティとセキュリティ」を選択、「アイデンティティ」の「ポリシー」を選択します。

ポリシー画面が表示されます。すでに1つポリシーが作成されていることが確認できます。
「ポリシーの作成」をクリックします。

ポリシーの作成画面で必須項目の「名前」、「説明」を入力します。
「コンパートメント」は、デフォルトのルート・コンパートメントを選択します。

ポリシー・ビルダー項目で「手動エディタの表示」をクリックし、次の「ステートメント」を入力します。ステートメントの意味は以下のとおりです。
「タグ」は何も設定せず、右下の「作成」をクリックします。

管理者用ポリシー「ociadmin_policy」が作成されました。

   

管理者「ocitestadm01」でOCIへサインイン

以下ページへアクセスします。

https://www.oracle.com/jp/cloud/sign-in.html

「クラウド・アカウント名」を入力して「次に進む」をクリックします。

「ユーザー名」と「パスワード」を入力し、「サインイン」をクリックします。

「セキュアな検証の有効化」をクリックします。

「モバイル・アプリ」をクリックします。

事前にスマホへインストールしていたOracle Mobile Authenticatorアプリケーションを起動し、QRコードを読み込みます。
(※画像を取得し忘れました・・・)

Oracle Mobile Authenticatorアプリケーションで読み込むとブラウザ側は「完了」となるので「完了」をクリックします。

OCI管理コンソールへサインインできました!!やっぱり英語表記なんですね。日本語表記に変更しておきます。
右上の人型アイコンをクリックして「Language:English」をクリックします。
「日本語」を選択し、「Save」をクリックします。

日本語表記になりました。

   

管理者ユーザー「ocitestadm01」にポリシーが適用されているか動作確認

管理者ユーザー「ocitestadm01」は、管理者グループ「ociadmin_gropu」へ所属し、管理者ポリシー「ociadmin_policy」が適用されています。
管理者ポリシー「ociadmin_policy」の内容は、「test_compartment」コンパートメント内の全リソースに対して、管理者グループ「ociadmin_gropu」 のメンバーはフル権限を持つというものです。

ポリシーの適用を確認するために管理者ユーザー「ocitestadm01」で以下操作を検証してみたいと思います。
●ルート・コンパートメント内に新規コンパートメント「TEST」の作成を試みる ⇒ 失敗するはず
●「test_compartment」コンパートメント内に新規コンパートメント「TEST」の作成を試みる ⇒ 成功するはず

   

ルート・コンパートメント内に新規コンパートメント「TEST」の作成を試みる ⇒ 失敗するはず

詳細な手順は割愛させていただきますが、以下のとおり「親コンパートメント」に「ルート・コンパートメント」を指定して、新規コンパートメントを作成しようとすると「Authorization failed or requested resource not found」とエラーが表示され、ルート・コンパートメント内に新規コンパートメントは作成できませんでした。

   

「test_compartment」コンパートメント内に新規コンパートメント「TEST」の作成を試みる ⇒ 成功するはず

次に、以下のとおり「親コンパートメント」に自身が権限のある「test_compartment」を指定して、コンパートメントを作成すると「TEST」コンパートメントを作成することができました。

コンパートメント画面には、子コンパートメントは表示されないようです。
子コンパートメントを作成する際に指定した「test_compartment」をクリックします。

「子コンパートメント」の欄に作成した「TEST」が表示されていました。
ちょっとこのあたりは慣れが必要そうです。

   

まとめ

今回は、管理者ユーザー、グループ、ポリシー、コンパートメントを新規作成して、動作確認しました。
今後は、管理者ユーザーで作成したコンパートメント内にコンポーネントを作成し、いろいろと検証していきたいと思います。

   

以下、他の記事をまとめた一覧です。OCI以外にAWSもまとめています。

記事一覧

この記事を書いている人 - WRITER -
ブログ運営者のtkjzblogです。 仕事柄新しいシステムに触れることが多いです。 Windows、Linux(RHEL)がメインです。その他、VMwareやOffice365など仮想環境やクラウド環境も少しですが触れることがあります。 いろいろ忘れがちのため、このサイトへ情報を書き溜めていきたいと思います。 どうぞ、よろしくお願い致します。

Copyright© しっぱいはせいこうのもと , 2025 All Rights Reserved.