はじめに
OCI の IAM で作成したユーザ・グループに、適切な権限を設定するためには、複雑な Policy をテキストで指定する必要があり、わかりにくい設定方法となっています。
例えば、sugigroupという名前のグループに、userの管理者権限を付与する場合は、次のテキストを指定してポリシーを作成することになります。
allow group sugigroup to manage users in tenancy
上のテキストを、Documentを調べながら作り出すのはしんどいので、GitHubで公開されている oci-policy-generator を使用して、比較的簡単に生成することが出来ます。
前提条件
- OCI CLI が Install されていること
- Java JDK が Install されていること
OCI CLI Install
次の記事などを参考に、OCI CLI を Install します
https://qiita.com/sugimount/items/63a8cfe1163030ae8804
JDK Install
適当にJDKをInstallします
oci-policy-generator install
GitHubで公開されている jar ファイルをダウンロードします
mkdir ~/oci-policy-generator
cd ~/oci-policy-generator
wget https://github.com/recursivecodes/oci-policy-generator/releases/download/0.3/oci-policy-generator-0.3.jar
#oci-policy-generator の実行
javaコマンドで、ダウンロードしてきたjarファイルを指定して、ジェネレーターを起動します
java -jar oci-policy-generator-0.3.jar
実行例
> java -jar oci-policy-generator-0.3.jar
WARNING: An illegal reflective access operation has occurred
WARNING: Illegal reflective access by org.codehaus.groovy.vmplugin.v7.Java7$1 (file:/home/sugi/oci-policy-generator/oci-policy-generator-0.3.jar) to constructor java.lang.invoke.MethodHandles$Lookup(java.lang.Class,int)
WARNING: Please consider reporting this to the maintainers of org.codehaus.groovy.vmplugin.v7.Java7$1
WARNING: Use --illegal-access=warn to enable warnings of further illegal reflective access operations
WARNING: All illegal access operations will be denied in a future release
____ __________ ____ ___ ______ __
/ __ \/ ____/ _/ / __ \____ / (_)______ __ / ____/__ ____ ___ _________ _/ /_____ _____
/ / / / / / / / /_/ / __ \/ / / ___/ / / / / / __/ _ \/ __ \/ _ \/ ___/ __ `/ __/ __ \/ ___/
/ /_/ / /____/ / / ____/ /_/ / / / /__/ /_/ / / /_/ / __/ / / / __/ / / /_/ / /_/ /_/ / /
\____/\____/___/ /_/ \____/_/_/\___/\__, / \____/\___/_/ /_/\___/_/ \__,_/\__/\____/_/
/____/
OCI Policy Generator v0.3 is using OCI CLI version 2.5.1.
Any User (0), Group (1) or Service (2)?
ポリシーを生成するサンプル
プロンプトに従って、数字を入力していくことで、Policyを生成する流れとなります。
OCIのGroupを使用してPolicyを生成するために、1 を入力します。
Any User (0), Group (1) or Service (2)? 1
OCIに存在しているGroupを自動取得し、選択肢に表示されます。1 を入力します。
Available Subjects:
0: Administrators
1: sugigroup
Choose subject(s) [0-1] (separate multiple with a comma): 1
manage(全権限)を付与するため、3 を入力します
Available Verbs:
0: inspect
1: read
2: use
3: manage
Select verb [0-3]: 3
users を対象にするため、69 を入力します
Available Resource Types:
0: all-resources (includes all shown below)
1: cluster-family (includes 2-4)
2: clusters 3: cluster-node-pools 4: cluster-work-requests
5: database-family (includes 6-10)
6: db-systems 7: db-nodes 8: db-homes
9: databases 10: backups
11: autonomous-transaction-processing-family (includes 12-13)
12: autonomous-database 13: autonomous-backup
14: autonomous-data-warehouse-family (includes 15-16)
15: autonomous-data-warehouse 16: autonomous-data-warehouse-backup
17: dns (includes 18-20)
18: dns-zones 19: dns-records 20: dns-traffic
21: file-family (includes 22-24)
22: file-systems 23: mount-targets 24: export-sets
25: instance-family (includes 26-33)
26: app-catalog-listing 27: console-histories 28: instance-configurations
29: instance-console-connection 30: instance-images 31: instance-pools
32: instances 33: volume-attachments
34: object-family (includes 35-37)
35: objectstorage-namespaces 36: buckets 37: objects
38: virtual-network-family (includes 39-59)
39: vcns 40: subnets 41: route-tables
42: security-lists 43: dhcp-options 44: private-ips
45: public-ips 46: internet-gateways 47: nat-gateways
48: service-gateways 49: local-peering-gateways 50: remote-peering-connections
51: drgs 52: drg-attachments 53: cpes
54: ipsec-connections 55: cross-connects 56: cross-connect-groups
57: virtual-circuits 58: vnics 59: vnic-attachments
60: volume-family (includes 61-65)
61: volumes 62: volume-attachments 63: volume-backups
64: boot-volume-backups 65: backup-policies
66: functions-family (none at this time)
68: compartments 69: users
70: groups 71: dynamic-groups 72: policies
73: identity-providers 74: tenancies 75: tag-namespaces
76: tagdefinitions 77: workrequest 78: repos
Select resource type [0-78]: 69
Tenancyを指定するため、0 を入力します
Available Locations:
0: tenancy
1: compartment
Tenancy (0) or Compartment (1)? 0
Condition を指定し、対象を制限します。特に必要ない場合は、コンディションは空白のままエンターを押します。
https://docs.cloud.oracle.com/iaas/Content/Identity/Concepts/policysyntax.htm#Conditio
For more info on conditions, see: https://docs.cloud.oracle.com/iaas/Content/Identity/Concepts/policysyntax.htm#Conditio
To add a condition, enter it as a string.
Ex: "target.group.name != 'Administrators'"
Leave blank for no condition(s): target.user.name = 'sugi'
Policyが生成されます。続けて、ジェネレーターからPolicy を Apply することが出来ますが、今回はSkipします
Your generated policy is:
allow group sugigroup to manage users in tenancy where target.user.name = 'sugi'
Apply Policy? Yes (1) or No (0): 0
上記で生成されたポリシーを使用して、OCIへ設定していくと反映されます。
参考URL
Oracle Blog
https://blogs.oracle.com/developers/automated-generation-for-oci-iam-policies
GitHub
https://github.com/recursivecodes/oci-policy-generator