はじめに(全体の体系と記事の種類について)
本ブログでは、OCI学習を体系立てて整理するために、次の2種類の記事を扱います。
- 知識ノート(N-xx):概念・設計の考え方・判断基準を整理します。
- 検証(L-xx):手順・設定値・つまずきポイントを、再現可能な形で記録します。
ブログの全体像についてはこちら
本記事は検証ノート(L-01)として、「最小権限でOCIコンソールの閲覧ができるか」を検証します。
検証概要
- 検証テーマ:最小権限(read中心)のIAM設定で、OCIコンソール上のリソース情報を閲覧できるかを確認します。
- できるようになること:閲覧専用ユーザーに付与すべき権限範囲(Compartment)と、閲覧可否の確認方法を理解できます。
- 想定シーン:監査・問い合わせ対応・作業前の状況確認など、「変更は不要だが参照は必要」な役割を安全に運用できます。
ゴール(到達条件)
2-1. 成功条件
- 対象コンパートメント配下で、OCIコンソールから以下を閲覧できること
- Networking:VCN一覧、Subnet/NSG一覧および詳細
2-2. 完了判定(Yes/No)
- Yes:対象コンパートメントのリソース一覧・詳細が表示でき、かつ作成/変更/削除の操作ができない
- No:一覧が表示できない、または対象外コンパートメントが見えてしまう、または変更操作が可能になっている
前提(構成・権限)
3-1. 構成前提
- 対象テナンシに、検証用コンパートメント(例:
cmp-sandbox)が存在すること - 対象コンパートメント内に、参照対象リソース(例:VCN/NSG)が1つ以上存在すること
- OCIコンソールへログインできるユーザーを1名用意できること(検証用)
3-2. 権限前提(最小限)
- 「閲覧専用」用のGroupを作成し、検証用Userを所属させること
- Policyは対象コンパートメントに対してread中心で付与すること
- 参照するポリシー範囲(Compartment)を明確にすること(例:
cmp-sandboxのみ)
設定値
| 区分 | 設定項目 | 例 | 備考 |
|---|---|---|---|
| Compartment | 対象コンパートメント名 | cmp-sandbox | 参照範囲を固定します |
| Group | 閲覧専用グループ名 | grp-readonly-sandbox | 役割を表す命名にします |
| User | 検証ユーザー名 | usr-readonly-01 | 個人名ではなく用途で命名します |
| Policy | ポリシー名 | pol-readonly-sandbox | 対象範囲が分かる名前にします |
| Policy | 付与レベル | read | 原則readのみで開始します |
※本記事では、設定値を本文内に散在させず、一覧で管理します。
手順
- 対象コンパートメントを決める
- 確認ポイント:コンパートメント名と階層(親子関係)を記録できていること
- 閲覧専用Groupを作成する
- 確認ポイント:Groupが作成済みであること
- 検証用Userを作成し、Groupへ所属させる
- 確認ポイント:Userが当該Groupに所属していること
- 対象コンパートメント向けにread中心のPolicyを作成する
- 確認ポイント:Policyの対象(Compartment)と動詞(read)が意図通りであること
- 今回指定したポリシー文:「Allow group ‘Default’/’grp-readonly-sandbox’ to read all-resources in compartment cmp-sandbox」
- 検証用UserでOCIコンソールにログインし、閲覧できる範囲を確認する
- 確認ポイント:対象コンパートメント配下の一覧が表示されること
- 作成/変更/削除ができないことを確認する(ガード確認)
- 確認ポイント:Createボタンが無効、または操作時に権限不足となること
結果
6-1. 成功時(証跡)
- 対象コンパートメントでVCNの一覧と詳細が表示できるスクリーンショット
- 作成操作ができない(または権限不足となる)スクリーンショット
もか
作成ボタンを押すところでエラーとなりました。
6-2. 失敗時(典型的な例)
- 一覧が表示されない(権限不足)
- 対象外コンパートメントまで見えてしまう(スコープ設定不備)
さいごに
もか
本検証により、「閲覧だけが必要な役割」に対しては、まずread中心の権限から開始し、対象コンパートメントを限定することで、安全にコンソール参照を提供できることを確認しました。あわせて、参照対象をコンパートメント単位で切り分けることで、許可範囲を整理しやすくなり、権限管理の体系をシンプルに保てる点に利便性を感じました。
情報ソース(リンク)
- Oracle Cloud Infrastructure Documentation:IAM(Identity and Access Management)
https://docs.oracle.com/en-us/iaas/Content/Identity/home.htm - Oracle Cloud Infrastructure Documentation:Policies(ポリシー)
https://docs.oracle.com/en-us/iaas/Content/Identity/Concepts/policies.htm - Oracle Cloud Infrastructure Documentation:Policy Reference(read/use/manage、resource-type等)
https://docs.oracle.com/en-us/iaas/Content/Identity/Reference/policyreference.htm - Oracle Cloud Infrastructure Documentation:Compartments(コンパートメント)
https://docs.oracle.com/en-us/iaas/Content/Identity/Tasks/managingcompartments.htm
コメント