Oracle Cloud Infrastructure(OCI)の**Identity and Access Management(IAM)**は、ユーザー、アプリケーション、リソースへのアクセスを安全かつ効率的に管理するための中核的なサービスです。本記事では、IAMの概要、主要な機能、そしてその活用方法について解説します。
OCI IAMとは?
OCI IAMは、クラウド環境における**アイデンティティ(認証)とアクセス管理(認可)**を一元化する仕組みです。これにより、誰が、何に、どのような権限でアクセスできるかを細かく制御できます。
IAMの主な役割
- アイデンティティ管理
- 一元的なアイデンティティ・ライフサイクル管理
- 外部アプリケーションや既存システムとの統合
- セキュアかつ簡単なアクセス提供
- アクセス管理
- きめ細かいアクセス制御
- ユーザーやグループに対する詳細な権限設定
IAMの基礎構成
認証
IAMは、以下の多様な認証方法を提供しています。
- インスタンス・プリンシパル: OCIリソース間のアクセスを簡易化。
- ユーザー資格証明: ユーザーIDとパスワードでの認証。
- フェデレーテッドID: 外部のIDプロバイダー(例: Microsoft AD)と統合。
- APIキー: プログラムによるアクセス用。
- MFA(多要素認証): 電子メールやモバイルアプリを利用したセキュアな認証。
- OAuth 2.0: 標準的なアクセスプロトコル。
認可
IAMでは、ポリシーを使用して誰が何をできるかを制御します。
- 例
- ユーザーA: フルアクセス。
- ユーザーB: 読み取り専用。
- ユーザーC: コンピュート・インスタンスの起動・停止が可能。
IAMのコンポーネント
IAMは複数の要素で構成されています。それぞれの役割を理解することで、管理が容易になります。
- ユーザー: OCIリソースにアクセスする主体。
- グループ: ユーザーをまとめた単位。管理の簡略化に役立つ。
- ポリシー: グループとコンパートメントを関連付け、権限を定義するもの。
- コンパートメント: リソースを論理的に整理し、分割管理するための単位。
- 動的グループ: OCIリソースに基づいて動的にユーザーを割り当て可能。
- フェデレーション: 外部IDプロバイダーとの統合により、シームレスなアクセスを提供。
IAMの活用例
IAMを活用すると、効率的でセキュアなクラウド環境を実現できます。
- グループ化
- ユーザーをグループ化し、ポリシーで権限を付与。
- リソースはコンパートメントに整理して管理負担を軽減。
- アイデンティティ・ドメイン
- 各プロジェクトや部門ごとにドメインを作成し、管理範囲を分離。
- 例:
- 開発部門用のコンパートメントA。
- 販売システム用のコンパートメントB。
- 生産システム用のコンパートメントC。
- アイデンティティ・ライフサイクル管理
- 自動プロビジョニングとセルフサービス機能で管理負担を削減。
- 外部ADやクラウドアプリケーションとの連携を活用。
IAMの主な機能とメリット
IAMは以下の4つの主要機能を提供します:
- インバウンド認証とSSO: ユーザーが一度のログインで複数サービスにアクセス可能。
- アイデンティティ・ストアとライフサイクル管理: ユーザー登録や削除を効率化。
- アウトバウンド認証とSSO: 外部アプリケーションへのシームレスな接続。
- アクセス・ポリシー管理: きめ細かい権限制御を可能にするポリシー設計。
アイデンティティ・ドメインの種類
IAMには4つのアイデンティティ・ドメインタイプが用意されています。
- Free: 無料で提供される標準タイプ。ほとんどのケースでこれが利用される。
- Premium: 全機能が利用可能。制限なし。
- Oracle Apps Premium: OracleのSaaSやアプリケーション管理に特化。
- External User: 外部ユーザー向け。従業員以外のユースケースに対応。
まとめ
OCI IAMは、セキュリティと管理効率を両立したアクセス管理の基盤です。適切に設計することで、ユーザー、グループ、リソースを効果的に整理し、コストと運用負担を削減できます。
