Oracle Cloud Infrastructureドキュメント

アウトバウンド・コネクタの管理

ファイル・ストレージは、アウトバウンド・コネクタを使用して、外部サーバー(LDAPサーバーなど)と通信します。

アウトバウンド・コネクタには、接続、認証、およびアカウントの必須機能を実行するための認可の取得に必要なすべての情報が含まれます。現在、アウトバウンド・コネクタはLDAPサーバーとの通信にのみ使用されます。マウント・ターゲットにLDAP認証を追加するときに、コネクタの構成オプションを指定します。

LDAPサーバーに接続する場合、マウント・ターゲットは、その構成で指定された最初のアウトバウンド・コネクタを使用します。マウント・ターゲットが最初のアウトバウンド・コネクタを使用したLDAPサーバーへのログインに失敗した場合、2番目のアウトバウンド・コネクタが使用されます。

複数のマウント・ターゲットで同じアウトバウンド・コネクタを使用できます。アウトバウンド・コネクタをマウント・ターゲットに関連付けることができるのは、同じ可用性ドメインに存在する場合のみです。アベイラビリティ・ドメイン当たり最大32個のアウトバウンド・コネクタを保有できます。

アウトバウンド・コネクタ管理に関する詳細な手順については、次のトピックを参照してください。

必要なIAMポリシー

Oracle Cloud Infrastructureを使用するには、管理者によってポリシーでセキュリティ・アクセス権が付与されている必要があります。コンソールまたは(SDK、CLIまたはその他のツールを使用した) REST APIのどれを使用しているかにかかわらず、このアクセス権が必要です。権限を持っていない、または認可されていないというメッセージが表示された場合は、持っているアクセス権のタイプと作業しているコンパートメントを管理者に確認してください。

管理者の場合: ユーザーによるファイル・システムの作成、管理および削除のポリシーにより、ユーザーはアウトバウンド・コネクタを管理できます。

アウトバウンド・コネクタでは、LDAPサーバーなどの外部サーバーに接続するためにシークレットへのアクセスも必要であるため、マウント・ターゲットを構成しているユーザーとマウント・ターゲット自体の両方に対して追加のIAMポリシーが必要です。
重要

これらのポリシーは、認可にLDAPを使用するようにマウント・ターゲットを構成する前に作成する必要があります。

マウント・ターゲット構成を有効にするポリシー

次のようなポリシーを使用して、マウント・ターゲット権限でLDAPを構成するユーザーまたはグループに付与します:
allow <user|group> to read secret-family in compartment <Compartment_ID> where any { target.secret.id = <LDAP_Password_Secret_ID> }

これにより、ユーザーは、構成中に検証のためにVaultシークレットを読み取り、シークレットの一部を表示するファイル・ストレージ・コマンドを発行できます。

マウント・ターゲットにシークレットの取得を許可するポリシー

File Storageサービスにはシークレットを読み取る機能が必要です。ファイル・ストレージでは、リソース・プリンシパルを使用して、特定のマウント・ターゲットのセットにVaultシークレットへのアクセス権を付与します。これは2ステップのプロセスであり、まずアクセスが必要なマウント・ターゲットを動的グループに配置し、次にその動的グループにシークレットを読み取るアクセス権が付与されます。

  1. 次のようなポリシーを使用して、マウント・ターゲットの動的グループを作成します:

    ALL { resource.type='mounttarget', resource.compartment.id = '<mount_target_compartment_id>' }
    ノート

    動的グループに複数のルールがある場合は、必ずMatch any rules defined belowオプションを使用してください。

  2. Vaultシークレットへの読取りアクセス権をマウント・ターゲットの動的グループに付与するIAMポリシーを作成します:

     allow dynamic-group <dynamic_group_name> to read secret-family in compartment <secret_compartment_name>

ポリシーを初めて使用する場合は、ポリシーの開始およびファイル・ストレージ・サービスの詳細を参照してください。

アウトバウンド・コネクタの詳細

詳細ページには、アウトバウンド・コネクタに関する次の情報が表示されます:

OCID
すべてのOracle Cloud Infrastructureリソースには、Oracle Cloud Identifier (OCID)と呼ばれるOracle割当ての一意のIDがあります。コマンドライン・インタフェース(CLI)またはAPIを使用するには、アウトバウンド・コネクタのOCIDが必要です。サポートに連絡する際、OCIDも必要です。リソース識別子を参照してください。
作成日
アウトバウンド・コネクタが作成された日時。
コンパートメント
アウトバウンド・コネクタの作成時に、アウトバウンド・コネクタが存在するコンパートメントを指定します。コンパートメントは、組織の管理者によって権限が付与されたグループのみがアクセスできる関連リソース(クラウド・ネットワーク、コンピュート・インスタンス、ファイル・システムなど)のコレクションです。コマンドライン・インタフェース(CLI)またはAPIを使用するには、アウトバウンド・コネクタのコンパートメントが必要です。詳細は、コンパートメントの管理を参照してください。
可用性ドメイン
アウトバウンド・コネクタの作成時に、アウトバウンド・コネクタが存在する可用性ドメインを指定します。可用性ドメインはリージョン内の1つ以上のデータ・センターです。コマンドライン・インタフェース(CLI)またはAPIを使用するには、アウトバウンド・コネクタの可用性ドメインが必要です。詳細は、リージョンと可用性ドメインを参照してください。
コネクタ・タイプ
アウトバウンド・コネクタのタイプ。サポートされているタイプはLDAPBINDのみです。
サーバーDNS名
LDAPサービスが実行されているインスタンスの完全修飾ドメイン名
PORT
LDAPサービスのLDAPSポート
バインド識別名
LDAPサーバーにログインするために使用されるLDAP識別名
シークレットOCID
バインド識別名に関連付けられたパスワードを含むVault内のシークレットのOCID。
シークレット・バージョン
LDAPパスワード・シークレットのバージョン番号。