OCIでのタグベースのアクセス制御による管理Oracle Cloudコンソール・エクスペリエンスの向上 (2025/02/24)

OCIでのタグベースのアクセス制御による管理Oracle Cloudコンソール・エクスペリエンスの向上 (2025/02/24)

https://blogs.oracle.com/cloud-infrastructure/post/improving-console-experience-with-tbac-in-oci

投稿者: Kabelo Kusane | OCI Infrastructure Security Specialist - EMEA


Oracle Cloud Infrastructure (OCI) Taggingでは、キーと値のペアの形式でリソースをリソースに追加できます。タグ付けの主なユース・ケースの1つは、アクセス制御です。OCI Identity and Access Management (IAM)ポリシーのタグを使用して、タグ付けされたリソースに対する作成、読取り、更新および削除(CRUD)権限を持つユーザーを制御できます。


タグベースのアクセス制御(TBAC)では、タグ・セットのある条件を使用して、リソースに適用されたタグに基づいてアクセスのスコープを設定できます。アクセスは、グループ、動的グループ、コンパートメントなどのリクエスト元のリソースに存在するタグ、またはリソースやコンパートメントなどのリクエストのターゲットに存在するタグに基づいて制御できます。


現在、ターゲット・リソースに適用されたタグに基づいてアクセスをスコープ指定するOCI IAMポリシーでは、リソースのリストを返す権限は許可されません。この除外により、ユーザーは、コンソールで管理が許可されているリソースを表示することが困難になります。


この投稿では、適用されたタグに基づいてアクセスのスコープを設定するIAMポリシーを使用してリソースをリストする方法を紹介します。このアプローチでは、ユーザーが管理するリソースを表示できるようにすることでコンソールをより簡単に使用できるようになり、エンド・ユーザー・エクスペリエンスが向上するため、タグベースのポリシーが改善されます。



シナリオの例


OCIテナンシのリソースへのより詳細なアクセス権を付与する要件があるシナリオを考えてみます。TBACを使用することを選択できます。これにより、条件および一連のタグ変数を使用して、リソースに適用したタグに基づいてアクセスのスコープを設定するポリシーを記述できます。


図2に示すように、この方法では、テナンシに特定のコンパートメントの下のリソース・セットがあり、DemoGroup1のメンバーが特定のコンパートメント内の特定のリソースへのフル・アクセス権を持つことを前提としています。この目標を達成するには、次のステップを使用します。


  1. DemoGroup1のメンバーにアクセス権が付与されるタグ固有のリソース。
  2. IAMポリシー(図1)を記述して、リソースに適用したタグに基づいてアクセスのスコープを設定します。このポリシーは、タグ付けされたリソースに対するDemoGroup1のメンバーへのフル・アクセス権を付与します。


図1: タグベースのアクセスを持つIAMポリシー


図2: コンパートメント内のリソースへのタグの適用


IAMポリシー・ステートメントを使用して権限が定義されている場合、DemoGroup1のメンバーには、コンソールでリソースを表示および管理するために必要なアクセス権があります。ただし、DemoGroup1のメンバーにはリソースへのフル・アクセス権が付与されていますが、これらのユーザーがコンソールにアクセスすると、管理が許可されているリソースは表示できません。次の図に示すように、ユーザーがリソースにアクセスしようとすると、認可エラーが発生します。



図3: 「インスタンス」ページの認可エラー


図4: 「バケット」ページの認可エラー


図5: 「ロード・バランサ」ページの認可エラー


これらのユーザー(DemoGroup1のメンバー)は、フル・アクセス権が割り当てられているリソースを表示できません。TBACでは、ターゲット・リソースに適用されたタグに基づいてアクセスをスコープ指定するIAMポリシーで、リソースのリストを返すことができる権限を許可できません。その結果、DemoGroup1では、これらのユーザーが管理を許可されているリソースはリストできません。DemoGroup1のメンバーは、図3、4および5に示されているエラーに示すように、コンソールを使用してこれらのリソースを操作することはできません。


これらのリソースのリストおよび表示を有効にするには、ポリシーへのアクセスの拡張が必要です。リソースのリストを許可するには、別のポリシー・ステートメントに権限(inspectまたはread)を付与する必要があります。DemoGroup1でこれらのリソースをリストできるようにするには、別のポリシー・ステートメントを追加する必要があります:


図6: アクセスが拡張されたIAMポリシー


図7: 拡張アクセスを示すコンパートメント図


追加されたポリシー・ステートメントによってリソースのリストを許可する権限が付与されると、DemoGroup1のメンバーはコンソールでリソースを表示および管理できます。


図8: 追加されたポリシー・ステートメントでバケットにアクセスできるようになりました


図9: 追加されたポリシー・ステートメントでロード・バランサにアクセスできるようになりました


図10: 追加されたポリシー・ステートメントでインスタンスにアクセスできるようになりました


他のリソースとは異なり、別のポリシー・ステートメントで検査権限を付与してアクセスを拡張すると、コンソールには、ホスト名ではなくOracle Cloud Identifier (OCID)でインスタンスがリストされます。ユーザーがインスタンスを管理するには、インスタンスOCIDを知っている必要があります。ユーザー・エクスペリエンスの観点から見ると、これらのインスタンスの管理はより困難です。


この問題を回避するには、(inspectではなく)別のポリシー・ステートメントで読取り権限を付与して、OCIDのかわりにホスト名が表示されたインスタンスのリストを許可します。


図11: OCIDsではなくホスト名を持つインスタンスを表示するポリシー・ステートメントの追加


図12: 許可された読取りアクセスを示すコンパートメント図


コンソールから、DemoGroup1のメンバーは、OCIDのかわりにホスト名が表示されているインスタンスを表示できます。


図13: OCIDのかわりにホスト名が表示されたインスタンス



まとめ


タグベースのアクセス制御により、コンパートメント、グループおよびリソースにまたがるタグでアクセス・ポリシーを定義できるため、ポリシーの柔軟性が高まります。条件およびタグ変数のセットを使用して、リソースに適用されたタグに基づいてアクセスをスコープ指定するポリシーを記述できます。アクセスは、リクエスト元のリソース(グループ、動的グループ、コンパートメントなど)またはリクエストのターゲット(リソースやコンパートメントなど)に存在するタグに基づいて制御できます。


TBACでは、ターゲット・リソースに適用されたタグに基づいてアクセスをスコープ指定するIAMポリシーで、リソースのリストを返すことができる権限を許可できません。ポリシーへのアクセスの拡張が必要です。リソースのリストを許可するには、追加のポリシー・ステートメントにinspectまたはreadの権限を付与する必要があります。


詳細は、次のリソースを参照してください。

コメント

コメントを投稿

このブログの人気の投稿

Oracle Database 19cサポート・タイムラインの重要な更新 (2024/11/20)

イメージ
Oracle Database 19cサポート・タイムラインの重要な更新 (2024/11/20) https://mikedietrichde.com/2024/11/20/important-update-to-oracle-database-19c-support-timelines/ 長い沈黙は、私が隠れているという意味ではありません。つまり、今はとても忙しいということです。そして、より少ない旅行で、私はあなたのコメントにもブログと返信するより多くの時間を持っていることを願っています。それでも、Oracle Database 19cサポート・タイムラインの非常に重要な更新について説明します。 * 更新された内容 2024年11月19日現在、Oracle Database 19cのサポート・タイムラインが調整されています。 MOSノート: 742060.1 – 現在のデータベース・リリースのリリース・スケジュールを見ると、新しい日付が表示されます。 Premier Support、2029年12月31日まで 2030年1月1日から2032年12月31日までの拡張サポート 2033年1月1日から2034年12月31日までのアップグレード・サポート これは知ることがとても大切です。 他のリリースの更新はありますか。 MOSノートの終わりにある変更ログ: 742060.1 – 現在のデータベース・リリースのリリース・スケジュールでは、Oracle Database 21cの最新の更新も確認できます。このリリースのPremier Support期間は、2027年7月31日まで延長されました。 また、Oracle Database 23aiのパッチ適用終了日は2032年12月31日に設定されています。 Lifetime Support Policy 更新は、Oracle Technology Productsの Oracle Lifetime Support Policy (6ページ)でも確認できます。 From: Oracle Lifetime Support Policy for Oracle Technology Product s – page 6 – Nov 19, 2024 特に、次の表に示す制限事項に注意してください。 Oracle Database 1...
続きを読む

Oracle GoldenGate 23aiでMicrosoft Fabricでのオープン・ミラーリングがサポートされるようになりました (2024/11/19)

イメージ
Oracle GoldenGate 23aiでMicrosoft Fabricでのオープン・ミラーリングがサポートされるようになりました (2024/11/19) https://blogs.oracle.com/dataintegration/post/how-to-replicate-to-mirrored-database-in-microsoft-fabric-using-goldengate 投稿者: Shrinidhi Kulkarni | Principal Product Manager Oracle GoldenGate 23aiでは、オープン・ミラーリングを介したMicrosoft Fabricへの統合のパブリック・プレビューがサポートされるようになりました。この強力な組み合わせにより、リアルタイムのデータ統合が可能になり、ハイブリッド環境とマルチクラウド環境のデータをMicrosoft Fabricのミラー化されたデータベースに継続的に同期できるため、データは常にAIと分析に対応できます。 Microsoft Fabric統合のOpen Mirroring は、GoldenGate for Distributed Applications and Analytics 23ai (GG for DAA) (23.6)製品を介して提供されます。 既存の Azure統合の詳細については、 ドキュメント を参照してください。 オープン・ミラーリングは、オープン・デルタ・レイク表形式に基づいて、データISVがMicrosoft Fabricのミラーリングを拡張できるように設計されています。この機能により、Oracle GoldenGate 23aiは、オープン・ミラー化パブリックAPIおよびアプローチに基づいて、Microsoft Fabricのミラー化データベースに変更データを直接書き込むことができます。Microsoft FabricでのOpen Mirroringの詳細については、「 Microsoft FabricでのOpen Mirroringの概要 」を参照してください。 このブログ投稿では、この統合の実装の側面について深く掘り下げ、GoldenGate統合の構成方法を示します。 構成ステップ: リファレンス・アーキテクチャの理解 前提条件 ...
続きを読む

Oracle APEX 24.1の一般提供の発表 (2024/06/17)

イメージ
Oracle APEX 24.1の一般提供の発表 (2024/06/17) https://blogs.oracle.com/apex/post/announcing-oracle-apex-241 投稿者: Ashish Mohindroo | Vice President, Product Management APEX Low Code Application Platform Oracle APEX 24.1は、 ダウンロード が一般的に可能になり、世界中のOCI APEX Application DevelopmentおよびAutonomous Database Cloud Serviceリージョンにロールアウトされています。この最新リリースで、GenAIを使用して最初のローコード・アプリケーションを構築する方法を学習します。リリースのお知らせのリプレイはこちらからご覧いただけます。 このリリースでは、優れたエンタープライズ・グレードのアプリケーションを簡単に構築できるイノベーションの3つの主要な柱(AI支援アプリケーション開発、Oracleの次世代データ・プラットフォームのパワー活用、高度なWebおよびモバイル・アプリケーションを構築するための強力なエンタープライズ・グレードのコンポーネント)が提供されています。 AI支援アプリ開発 このリリースでは、AIをローコード開発に直接取り込み、すべての開発者が高度なクラウドおよびモバイル・アプリケーションを簡単に構築できるようにしています。開発者は、AIをアシスタントとして使用して、時間と労力を削減してアプリを構築できるようになりました。APEX AIアシスタントを使用すると、開発者は複数のウィンドウを使用して表名と列名を検索する必要がなくなります。 APEX 24.1 では、クラウドおよびモバイル・アプリの自然言語ベースの開発を可能にするネイティブAI搭載APEX AIアシスタントを導入しました。APEX AIアシスタントを使用すると、すべての開発者は自然言語を使用してSQLを生成できるため、アプリケーションをより簡単に構築したり、ワンクリックで構文修正を実行したり、表名を覚える必要がなくなります。開発者は、自然言語プロンプトを使用して目的の機能とコンポーネントを指定し、直感的な会話型インタフェースを使用し...
続きを読む