OCIでコンパートメントの作成とアクセス制御の設定方法

概要

• OCIアカウント作成はほかにも記事がいろいろできているのでコンパートメント作成およびユーザのアクセス制限の設定についてまとめます
• コンパートメントを作成してユーザを振り分けることで１つのアカウントでユーザ毎にアクセス制御ができます

コンパートメント

コンパートメントを作成します。

• 
• 
• 
• コンパートメントは階層構造を持つことができるので先ほど作成したコンパートメントにさらに子供のコンパーメントを作成します
• 
• 
• 
• 最終的には以下のようになります
• 

インスタンスの作成

• 作成したコンパートメントに対してインスタンスを作成します
• それぞれのコンパートメントに対して１つずつ合計２つインスタンスを作成します左側にあるコンパートメントを選ぶメニューで使用するコンパートメントを選択します。
• 
• インスタンスを作成します
• 
• SSHキーもこのタイミングで作成します 共通したものを使う場合は公開キーファイルのアップロードを行います。
• 
• もう片方のほうも作成します
• 
• 
• 先ほど作成したインスタンスと鍵を共通して使うためアップロードします。
• 

ユーザの作成

• ユーザを作成します。作成したユーザは後続の手順でグループに紐づけます
• 
• ここではいったん作成済みのグループに所属させます
• 
• ユーザを作成するとメールが届くためメールを確認しておきますまた2段階認証もセットしておきます
• 

グループの作成

• OCIでは権限を振る際にグループに対して設定するためユーザを所属させるグループを作成します
• 先ほど作成したユーザをグループに所属させますまた一時的に所属させたグループからは削除します
• 
• 

ポリシーの作成

• グループに対して権限を設定します。AWSの場合はjsonで設定をしますが、OCIでは文章で設定を行います。使用できる構文等は参考資料を参照してください

• アクセスを許可したいコンパートメントを選択してポリシービルダーに何を許可するか？などを記載します

• コンパーメントなどは間違えたものを入力すると決定時にエラーになるので適宜修正してください

• 

• 

• このグループ、ポリシーのまわりはAWSのIAMIdentityCenterに似ているところがあるので使ったことがある人はイメージがつきやすいかと思います。

動作確認

• 作成したユーザでログインを行うと許されているコンパーメントのインスタンスのみしか見られないことが確認できます
• ほかのコンパートメントは選択できなくなっています
• 

参考資料

• https://docs.public.oneportal.content.oci.oraclecloud.com/ja-jp/iaas/Content/GSG/Concepts/baremetalintro.htm
• https://docs.oracle.com/ja-jp/iaas/Content/GSG/Tasks/addingusers.htm
• https://docs.oracle.com/ja-jp/iaas/Content/Identity/Concepts/policysyntax.htm