Oracle Cloud InfrastructureでのIdentity and

Access Management (IAM)の使用に関するベスト・

プラクティス O R A C L E W H I T E P A P E R | 2 0 1 8 年 3 月

2 | BEST PRACTICES FOR IDENTITY AND ACCESS MANAGEMENT (IAM) IN ORACLE CLOUD INFRASTRUCTURE

目次

概要 3

IAMサービスのコンポーネント 3

テナンシーとコンパートメントの設計 5

概念実証(サンドボックス・コンパートメント) 6

本番環境での使用 7

基本ユーザーと権限の管理 8

資格証明管理 9

インスタンス・プリンシパルとダイナミック・グループ 10

フェデレーション 11

結論 11

3 | BEST PRACTICES FOR IDENTITY AND ACCESS MANAGEMENT (IAM) IN ORACLE CLOUD INFRASTRUCTURE

概要

このホワイトペーパーでは、Oracle Cloud Infrastructureでソリューションを計画、設計、デプロ

イする際にOracle Cloud Infrastructure Identity and Access Management (IAM)を使用するための

ベスト・プラクティスについて説明します。

IAMサービスを利用すると、組織のクラウド・リソースにアクセスできるユーザーを制御するこ

とができます。つまり、どのグループのユーザーがどのリソースに対してどのようなアクセス権

を持つかを制御できます。このサービスを利用することにより、デフォルトでは最小限の権限を

付与するというセキュリティ原則を徹底させることができます。新規ユーザーは、適切な権限が

付与されるまで、いかなるリソースにも一切アクションを実行することができません。

IAMサービスでは、すべてのOracle Cloud Infrastructureサービスにわたって、1つの認証/認可モ

デルを使用できます。IAMを使用すれば、1つのプロジェクトに取り組んでいる1人のユーザーか

ら、多数のプロジェクトに同時に取り組んでいる複数のグループまで、あらゆる規模の組織にお

いて、すべてのアクセスを1つのアカウント内で簡単に管理できます。

このホワイトペーパーでは、IAMの各コンポーネントについて説明するとともに、使用に際して

のベスト・プラクティスや推奨事項を示します。

IAMサービスのコンポーネント

IAMサービスは、リソースへのアクセスを制御するのに役立つ、複数の主要コンポーネントで構

成されています。このセクションでは、これらのコンポーネントの基本的な定義について説明し

ます。

リソース

組織の従業員がOracle Cloud Infrastructureを操作して作成/使用するクラウド・オブジェ

クトです。リソースには、インスタンス、ブロック・ストレージ・ボリューム、仮想ク

ラウド・ネットワーク(VCN)、サブネット、ルーティングテーブルが含まれます。

ユーザー

組織のOracle Cloud Infrastructureリソースを管理/使用する必要がある、個別の従業員や

システムのことを指します。ユーザーが行う必要がある作業としては、インスタンスの

起動、リモート・ディスクの管理、仮想クラウド・ネットワークの操作などが考えられ

ます。通常、アプリケーションのエンドユーザーがIAMユーザーになることはありません。

ユーザーは、1つ以上のIAM資格証明を保有します。

4 | BEST PRACTICES FOR IDENTITY AND ACCESS MANAGEMENT (IAM) IN ORACLE CLOUD INFRASTRUCTURE

グループ

特定のリソース・セットやコンパートメントに対して、同じ種類のアクセス権を必要と

するユーザーの集まりです。

コンパートメント

関連するリソースの集まりです。コンパートメントは、クラウド・リソースを整理/分離

するために使用される、Oracle Cloud Infrastructureの基本コンポーネントです。コン

パートメントを使用してリソースを明確に分離することで、使用状況の測定や課金、リ

ソースへのアクセス(ポリシーを使用)、およびリソースの分離(1つのプロジェクトやビジ

ネス・ユニットを他のものと分離する操作)を効果的に管理することができます。一般的

なアプローチとしては、組織の主要事業部ごとにコンパートメントを作成するという使

い方があります。

テナンシー

組織のすべてのOracle Cloud Infrastructureリソースを含んだ、ルート・コンパートメン

トです。組織のテナンシーは自動的に作成されます。テナンシーの直下には、IAMエン

ティティが配置されます(ユーザー、グループ、コンパートメント、および複数のポリ

シー。テナンシー内のコンパートメントにポリシーを追加することもできます)。その他

の種類のクラウド・リソース(たとえば、インスタンス、仮想ネットワーク、ブロック・

ストレージ・ボリューム)は、お客様が作成したコンパートメント内に配置します。

ポリシー

誰がどのリソースにどのようにアクセスできるのかを指定するドキュメントです。アク

セス権は、グループ・レベルとコンパートメント・レベルで付与されます。つまり、ポ

リシーを使用することで、特定のコンパートメント内での特定の種類のアクセス権を、

グループに付与したり、テナンシー自体に付与することができます。テナンシーへのア

クセス権をグループに付与すると、そのグループに対し、テナンシー内のすべてのコン

パートメントに対する同じ種類のアクセス権が自動的に付与されます。ポリシーという

単語は様々な意味で使用されます。ポリシー言語で記述された個別のステートメントを

意味する場合もありますし、1つの"ポリシー"ドキュメント内に記述された複数のステー

トメントを意味する場合もあります(ポリシー・ドキュメントにはOracle Cloud ID

(OCID)が割り当てられます)。また、リソースへのアクセスを制御するために使用される

ポリシーの全体的な内容を意味する場合もあります。

ホーム・リージョン

IAMリソースが配置されるリージョンです。すべてのIAMリソースはグローバルであり、

すべてのリージョンから利用できますが、定義のマスター・セットは1つのリージョンに

5 | BEST PRACTICES FOR IDENTITY AND ACCESS MANAGEMENT (IAM) IN ORACLE CLOUD INFRASTRUCTURE

配置されます。その場所がホーム・リージョンです。ホーム・リージョン内でIAMリソー

スに変更を加えると、それらの変更はすべてのリージョンに自動的に伝搬されます。

次の図は、IAMサービスの主要コンポーネントを説明したものです。

図1.Oracle Cloud Infrastructure IAMサービスのコンポーネント

テナンシーとコンパートメントの設計

コンパートメントは、クラウド・リソースを整理するために使用する主要な構成要素です。コン

パートメントを使用してリソースを整理/分離することで、アクセスの管理を容易にし、効果的に

セキュリティを確保することができます。

Oracle Cloud Infrastructureの使用を開始するにあたっては、コンパートメントをどのように使用

してクラウド・リソースを整理/分離するかを慎重に検討する必要があります。コンパートメント

は作成後に削除することができないため、実装前に組織のコンパートメント設計を検討すること

が重要です。

コンパートメントの使用を開始する際には、次の点を考慮してください。

リソース(たとえば、コンピュート・インスタンス、ブロック・ストレージ・ボリューム、

VCN、サブネット)を作成する際には、それらをコンパートメント内に配置する必要があ

ります。

コンパートメントは論理的なエンティティであり、物理エンティティではありません。

そのため、関連するリソース・コンポーネントを異なるコンパートメントに配置するこ

ともできます。たとえば、インターネット・ゲートウェイにアクセスするクラウド・

6 | BEST PRACTICES FOR IDENTITY AND ACCESS MANAGEMENT (IAM) IN ORACLE CLOUD INFRASTRUCTURE

ネットワーク・サブネットを個別のコンパートメントに配置して、同じクラウド・ネッ

トワーク内の他のサブネットから保護することもできます。

リソースを作成した後、そのリソースを別のコンパートメントに移動することはできま

せん。

ポリシー・ルールを記述してユーザーのグループにリソースへのアクセス権を付与する

際には、アクセス・ルールの適用先となるコンパートメントを指定します。リソースを

複数のコンパートメントに分散させる場合は、それらのリソースにアクセスする必要が

あるユーザーの各コンパートメントに、適切な権限を付与する必要があります。

コンパートメントを削除することはできないので、後で削除することを前提とした複数

の"テスト"コンパートメントを作成することはしないでください。

コンパートメントを計画する際には、使用状況データや監査データをどのように集計す

るのかを検討してください。これは後で重要な問題になってくる可能性があります。

コンパートメントをどう設計するかは、組織のユースケースや、リソースの整理/分離ニーズに応

じて決まってきます。以下に、いくつかのシナリオを例示します。

概念実証(サンドボックス・コンパートメント)

組織の規模が小さい場合や、Oracle Cloud Infrastructureの評価がまだ概念実証段階である場合は、

すべてのリソースをルート・コンパートメント(テナンシー)に配置することを検討してください。

このアプローチにより、すべてのリソースをすばやく簡単に表示/管理することができます。この

方法でも、ポリシーを記述してグループを作成すれば、特定のリソースに対する権限を必要な

ユーザーだけに制限することは可能です。

すべてのリソースをルート・コンパートメント内に保持する場合は、個別のサンドボックス・コ

ンパートメントを設定して、ユーザーが機能を試すための専用の場所を提供することをお薦めし

ます。サンドボックス・コンパートメントではリソースの作成/管理権限をユーザーに付与する一

方、テナンシー(ルート)コンパートメントでは、リソースに対する権限をより厳しく制限するこ

とができます。

7 | BEST PRACTICES FOR IDENTITY AND ACCESS MANAGEMENT (IAM) IN ORACLE CLOUD INFRASTRUCTURE

図2. サンドボックス・コンパートメント

本番環境での使用

本番環境では、リソースへのアクセスを制限し、リソースをどのようにコンパートメントへと整

理するかを検討する必要があります。ユーザーやリソースを追加する前に、テナンシーとコン

パートメントのプランを作成しましょう。プランには、リソースを整理するためのコンパートメ

ント階層と、リソースにアクセスする必要があるユーザー・グループの定義を含めるようにして

ください。これら2つのプラン要素は、アクセスを管理するポリシーの内容に影響してくるので、

両方一緒に検討する必要があります。

個別に管理したい事業部が複数ある場合や、個別に管理したほうが管理しやすいプロジェクトが

ある場合は、事業部やプロジェクトの分離ニーズに応じてコンパートメント構造を設計すること

をお薦めします。このアプローチを使用すれば、各コンパートメント(プロジェクト)の専任の管

理者グループを追加して、担当のプロジェクトに対してのみ、アクセス・ポリシーを設定できる

ようにすることができます(ただし、ユーザーやグループはテナンシー・レベルで追加する必要が

あります)。たとえば、あるグループに対し、担当するすべてのリソースの制御権限を付与しなが

らも、ルート・コンパートメントやその他のプロジェクトについては、管理者権限を付与しない

ようにすることができます。これにより、組織内の各グループが担当のリソース用の"サブクラウ

ド"を設定し、それらを個別に管理できるようになります。

次のシナリオは、コンパートメントの設計方法と関連ポリシーの定義方法について説明したもの

です。

ACME社には3つの主要事業部があります。事業部A、事業部B、事業部Cです。またACMEでは、

複数の種類の管理者が配置されています。事業部DBA、ネットワーク管理者、ストレージ管理者、

セキュリティ管理者です。各DBAは、それぞれ担当の事業部のデータベースを管理しています。

8 | BEST PRACTICES FOR IDENTITY AND ACCESS MANAGEMENT (IAM) IN ORACLE CLOUD INFRASTRUCTURE

ネットワーク管理者、ストレージ管理者、セキュリティ管理者は、対応するネットワーク、スト

レージ、およびセキュリティ関連の各リソースにアクセスし、管理する必要があります。

これらのニーズに対応するには、ACMEの事業部構造に合わせて3つのコンパートメントを作成

する必要があります。その後、3種類の管理者にそれぞれ対応するグループを定義します。最後

に、誰がどのリソースにアクセスできるかを制御するためのポリシーを定義します。

次の図は、このシナリオで考えられるコンパートメントとポリシーの設計を示したものです。

図3. コンパートメントとポリシー設計のシナリオ

基本ユーザーと権限の管理

ユーザーを管理するには、IAMサービスの管理者グループに属する必要があります。管理者は、

ユースケースに応じて他のユーザーに管理タスクを委任することもできます。たとえば、新しい

ユーザーと資格証明の作成権限を付与するポリシーを作成する一方、それらのユーザーがどのグ

ループに属するかを制御する権限は付与しないということも可能です。また、ユーザーがどのグ

ループに属するかを決定する権限は付与するが、ユーザーの作成や削除を行う権限は付与しない

ということもできます。

ユーザーを作成する際には、変更不可能なユーザー名を指定する必要があります。この名前は、

テナンシー内のすべてのユーザー間で一意である必要があります。新規ユーザーは、テナンシー

またはコンパートメントに対してのグループ権限を付与するポリシーが少なくとも1つあるグ

ループに配置されるまで、何の権限も付与されません。

最初に新規ユーザーの役割を明確に分類し、その後、適切なポリシーが適用されたグループに

ユーザーを配置することをお薦めします。たとえば、ユーザーがDBAである場合は、対応するコ

ンパートメントの"データベース・ファミリー"リソースの管理権限を付与するポリシーが適用さ

れた、データベース管理者グループにユーザーを配置できます。

9 | BEST PRACTICES FOR IDENTITY AND ACCESS MANAGEMENT (IAM) IN ORACLE CLOUD INFRASTRUCTURE

また、新しいユーザーには最小限の権限を付与し、その後必要に応じて、権限を徐々に増やして

いくことをお薦めします。

Oracle Cloud Infrastructureでの権限管理は、ポリシーを通じて行われます。ポリシーが適用され

たグループでは、特定のコンパートメントやテナンシー内にある特定の種類のリソースを、特定

の方法で操作することができます。 ポリシーは、個別のユーザーではなく、ユーザーのグルー

プにアクセス権を付与するものです。ユーザーは、グループに属することで、アクセス権を取得

することができます。

ポリシーはアクセスを許可する目的にのみ使用されます。アクセスを明示的に禁止することはで

きません。特定のユーザーのアクセスを制限する必要がある場合は、そのユーザーを当該のグ

ループから削除するか、IAMサービスから完全に削除することで対処できます。

各ポリシーは、次の基本構文に従った1つ以上のポリシー・ステートメントで構成されます。

Allow group <group_name> to <verb> <resource-type> in compartment

<compartment_name>

<verb>は、アクセスの種類を示します。種類には、inspect、read、use、manageがあります。

これらの各アクセス・タイプには、先行するタイプのアクセス権がそれぞれ含まれています。た

とえば、inspectが指定されたグループのユーザーは、リソースを一覧表示することができます

が、リソース内の機密情報やユーザー固有のメタデータにアクセスすることはできません。read

には、inspectの権限に加えて、ユーザー固有のメタデータと、実際のリソース自体を取得する

権限が含まれます。

<resource-type>では、集約(ファミリー)リソースか、個別のリソースを指定することができま

す。たとえば、database-familyは集約リソース・タイプで、db-systemsやdb-nodesはその

ファミリー内の個別のリソース・タイプです。

最初にできるだけ具体的なポリシーを定義し、その後、ユースケースに応じてそれらを徐々に更

新していくことをお薦めします。詳細については、IAMサービス・ドキュメントの「How

Policies Work (ポリシーのしくみ)」を参照してください。

資格証明管理

Oracle Cloud Infrastructure IAMでは、次の種類の資格証明を管理します。

コンソール・パスワード: コンソールにサインインするために使用されます。コンソール

は、Oracle Cloud Infrastructureを操作するためのユーザー・インタフェースです。

API署名キー(PEM形式): 認証が必要な APIリクエストを送信するために使用されます

Swiftパスワード: Swiftクライアントと Recovery Manager (RMAN)を使用して、Oracle

Database System (DB System)データベースを Object Storageにバックアップするため

に使用します

10 | BEST PRACTICES FOR IDENTITY AND ACCESS MANAGEMENT (IAM) IN ORACLE CLOUD INFRASTRUCTURE

Oracle Cloud Infrastructureでは、コンソールとSwiftパスワードについて、すでに強力なパスワー

ド・ポリシーが実施されています。たとえば、パスワードは12文字以上とし、アルファベットの

小文字、数字、および特殊文字をそれぞれ最低1つ使用する必要があります。また、パスワード

をユーザー名と同じにすることはできません。

ただし、これらの資格証明には現在のところ有効期限がないので、資格証明を定期的に変更する

ポリシーを設定することをお薦めします。また、API署名キーとSwiftパスワードは1人のユーザー

に対して複数作成することができるので、使用しなくなった資格証明は削除することをお薦めし

ます。

インスタンス・プリンシパルとダイナミック・グループ

IAMのインスタンス・プリンシパルを使用すると、IAMユーザーを作成したり、各インスタンス

の資格証明を管理しなくても、IAMで保護されたAPIに、Oracle Cloud Infrastructure Computeイ

ンスタンス(仮想マシンまたはベア・メタル)からアクセスすることができます。

たとえば、Computeインスタンスで実行されているアプリケーションから、Object Storageサー

ビスにアクセスする必要があるとします。その場合、インスタンス・プリンシパルを使用しない

のであれば、特定のユーザーを作成した後、Object Storage内のバケットに対する読み取り権限

と書き込み権限を付与するポリシーを作成して、そのポリシーをユーザーに割り当てる必要があ

ります。その後、アプリケーションでユーザーの資格証明を使用してオブジェクト・バケットに

アクセスすることになります。このアプローチの問題点は、ユーザーのプライベート・キーをア

プリケーションから使用できるようにする必要があるため、通常はそのキーを構成ファイル内に

格納する必要があるという点です。通常、プライベート・キーを取得して構成ファイルに格納す

るプロセスは複雑であるため、セキュリティ・リスクが生じてしまいます。

これに対し、インスタンス・プリンシパルを使用すれば、ダイナミック・グループを作成するこ

とができます。ダイナミック・グループを使用すると、Oracle Cloud Infrastructure Computeイン

スタンスを"プリンシパル"アクターとしてグループ化し、ユーザー・グループと同様に扱うこと

ができます。その後、Oracle Cloud InfrastructureサービスへのAPI呼び出しをインスタンスに許

可するポリシーを作成することができます。ダイナミック・グループを作成する際には、変更不

可能なダイナミック・グループ名を指定する必要があります。この名前は、テナンシー内のすべ

てのグループ間で一意である必要があります。

注意: インスタンスへのアクセス権を持つユーザーには、そのインスタンスに付与された権限が自動的に継

承されます。この機能を使用してインスタンスに権限を付与する場合は、事前に、インスタンスにアクセス

できるユーザーを確認し、インスタンスに付与する権限をそれらのユーザーに許可してよいのかどうかを確

認するようにしてください。

11 | BEST PRACTICES FOR IDENTITY AND ACCESS MANAGEMENT (IAM) IN ORACLE CLOUD INFRASTRUCTURE

フェデレーション

Oracle Cloud Infrastructure IAMでは、Oracle Identity Cloud ServiceおよびMicrosoft Active

Directory Federation Services (AD FS)とのフェデレーションがサポートされています。これには、

Security Assertion Markup Language (SAML) 2.0プロトコルが使用されます。

フェデレーションを行う場合は、管理者が、組織のアイデンティティ・プロバイダー(IdP)と

Oracle Cloud Infrastructureの関係を設定します(この関係はフェデレーション・トラストと呼ばれ

ます)。関係が設定された後、組織内のユーザーがOracle Cloud Infrastructure Consoleにアクセス

しようとすると、IdPによって"シングル・サインオン"による体験(エクスペリエンス)が促されま

す。ユーザーは、そのIdPですでに設定し、他の場所で使用しているログインIDとパスワードを

使ってサインインすることができます。IdPがユーザーを認証すると、そのユーザーはOracle

Cloud Infrastructureにアクセスできるようになります。

IdPとのフェデレーションができている時は、管理者はグループを定義し、ユーザーが必要とす

るアクセスの種類に応じて、各ユーザーに1つ以上のグループを割り当てます。Oracle Cloud

Infrastructureでも、ユーザーが所有するアクセス権の種類を定義するために、グループが(IAMポ

リシーと併せて)使用されます。管理者はIdPとの関係を設定する際、各IdPグループを、同様に定

義されたIAMグループにマッピングします。これにより、Oracle Cloud Infrastructureリソースへ

のアクセスをユーザーに認可する際に、IdPグループの定義を再利用できるようになります。

Oracle Cloud InfrastructureグループにマッピングするIdPグループには、共通のプレフィックスを

使用することをお薦めします。これにより、フィルター・ルールを簡単に適用できるようになり

ます。たとえば、OCI_Administrators、OCI_NetworkAdmins、OCI_InstanceLaunchersなどのプ

レフィックスを使用できます。

注意: Oracle Cloud Infrastructureにサインアップすると、テナント管理者アカウントがOracle Identity Cloud

Serviceと自動的にフェデレートされます。Oracle Cloud InfrastructureをOracle Identity Cloud Serviceとフェ

デレートすると、サービスごとに個別のユーザー名やパスワードを作成しなくても、サービス間のシームレ

スな接続を自動的に確立できるようになります。

結論

このホワイトペーパーでは、Oracle Cloud Infrastructure Identity and Access Management (IAM)

を使用して、クラウド・リソースへのアクセスを安全に管理/制御するためのベスト・プラクティ

スについて説明しました。以下は、これらのベスト・プラクティスの要点をまとめたものです。

ユーザーやリソースを追加する前に、テナンシーとコンパートメントのプランを作成し

ましょう。

コンパートメントは、組織の事業部やプロジェクトの構造に合わせて設計しましょう。

12 | BEST PRACTICES FOR IDENTITY AND ACCESS MANAGEMENT (IAM) IN ORACLE CLOUD INFRASTRUCTURE

最初に新規ユーザーの役割を分類し、その後、適切なポリシーが適用されたグループに

ユーザーを配置するようにしましょう。

ユーザーには最小限の権限を付与し、必要に応じて、徐々に権限を増やしていくように

しましょう。

強力なパスワード・ポリシーを実施し、パスワードを定期的に更新するようにしましょ

う。

Oracle Cloud Infrastructureサービスを Computeインスタンスから呼び出す場合は、イ

ンスタンス・プリンシパルとダイナミック・グループを使用しましょう。

フェデレートされたアイデンティティ・プロバイダー(IdP)グループを Oracle Cloud

Infrastructureグループにマッピングする際には、それらのグループに同じプレフィック

スを使用するようにしましょう。

Oracle Cloud Infrastructureには新しい機能が継続的に追加されています。https://cloud.oracle.com

のオンライン・ドキュメントやトレーニングを通じて、常に最新の情報を確認するようにしてく

ださい。

Oracle Corporation, World Headquarters Worldwide Inquiries

500 Oracle Parkway Phone: +1.650.506.7000

Redwood Shores, CA 94065, USA Fax: +1.650.506.7200

Copyright © 2018, Oracle and/or its affiliates.All rights reserved.この文書はあくまで参考資料であり、掲載されている情報は予告な

しに変更されることがあります。オラクルは、本ドキュメントの無謬性を保証しません。また、本ドキュメントは、法律で明示

的または暗黙的に記載されているかどうかに関係なく、商品性または特定の目的に対する適合性に関する暗黙の保証や条件を含

む一切の保証または条件に制約されません。オラクルは、本書の内容に関していかなる保証もいたしません。また、本書によ

り、契約上の直接的および間接的義務も発生しません。本書は、事前の書面による許諾を得ることなく、電子的または機械的

に、いかなる形態または手段によっても複製または伝送することはできません。

Oracleおよび JavaはOracle Corporationおよびその関連会社の登録商標です。その他の名称はそれぞれの会社の商標です。

Intelおよび Intel Xeonは、Intel Corporationの商標または登録商標です。SPARCの商標はすべてライセンスに基づいて使用して

おり、SPARC International, Inc.の商標または登録商標です。AMD、Opteron、AMDロゴ、および AMD Opteronロゴは Advanced

Micro Devicesの商標または登録商標です。UNIX は、The Open Group の登録商標です。0318

Best Practices for Identity and Access Management (IAM) in Oracle Cloud Infrastructure

2018年 3月

作成者: Changbin Gong

C O N N E C T W I T H U S

blogs.oracle.com/oracle

facebook.com/oracle

twitter.com/oracle

oracle.com