認証局の管理
証明書を使用して、デジタル証明書を発行する認証局を作成および管理します。
認証局(CA)管理タスクには次のものがあります:
- 認証局の作成
- 下位認証局の発行
- 認証局のリスト
- 認証局の詳細の表示
- 認証局の編集
- 証明書失効リストの編集
- 認証局ルールの編集
- 認証局のアソシエーションの表示
- 認証局の更新
- 認証局の移動
- 認証局の削除
- 認証局の削除の取消
すべてのCAには1つ以上のCAバージョンがあります。そのため、CA管理には、CAバージョンに固有の次のタスクも含まれます:
必要なIAMポリシー
Oracle Cloud Infrastructureを使用するには、管理者からポリシー(IAM)でセキュリティ・アクセス権が付与されている必要があります。コンソールまたは(SDK、CLIまたはその他のツールを使用した) REST APIのどれを使用しているかにかかわらず、このアクセス権が必要です。権限がない、または認可されていないというメッセージが表示された場合は、どのタイプのアクセス権があり、どのコンパートメントで作業する必要があるかを管理者に確認してください。
一部の操作について、証明書サービスでは、ユーザーまたはグループをカバーするポリシーによって付与されていないセキュリティ・アクセス権をリソースに付与する必要もあります。この項では、ユーザーと、他のリソースを処理する必要があるリソースを認可する方法について説明します。
ステップ1: 動的グループの作成
resource.type='certificateauthority'
この一致ルールでは、すべてのCAをメンバーとして含む動的グループを定義します。必要に応じて、CAが他のサービスに対してAPIコールを行うことを認可するには、この動的グループが必要です。通常、CAにはOracle Cloud Infrastructure VaultおよびOracle Cloud Infrastructure Object Storageのリソースにアクセスする権限が必要です。動的グループの詳細は、動的グループの管理を参照してください。
ステップ2: 動的グループのポリシーの作成
動的グループを作成したら、動的グループのポリシーを作成します。次のポリシーでは、動的グループのサンプル名はCertificateAuthority-DGです。このポリシーは、動的グループのメンバーに、ボールト・キーを使用する権限と、指定されたサンプル・コンパートメント内のオブジェクト・ストレージ・オブジェクトに対してすべての操作を実行する権限を付与します。このタイプのポリシーはリソース・プリンシパル・ポリシーと呼ばれます。他のリソースを処理できるプリンシパル・アクターとしてリソースが認可されるためです。
Allow dynamic-group CertificateAuthority-DG to use keys in compartment DEF
Allow dynamic-group CertificateAuthority-DG to manage objects in compartment XYZ
ステップ3: 管理者のポリシーの追加
管理者にリソースへのアクセスを許可するポリシーも必要です。次のポリシーは、必要に応じて、集約リソース・タイプcertificate-authority-family
に含まれるすべてのリソースに対してすべての操作を実行する権限と、指定されたサンプル・コンパートメント内の必要なボールト・リソースおよびオブジェクト・ストレージ・リソースを操作する権限をサンプル・グループCertificateAuthorityAdminsに付与します。これには、CAの暗号化キーを指定するために必要な権限が含まれます。
Allow group CertificateAuthorityAdmins to manage certificate-authority-family in compartment ABC
Allow group CertificateAuthorityAdmins to read keys in compartment DEF
Allow group CertificateAuthorityAdmins to use key-delegate in compartment DEF
Allow group CertificateAuthorityAdmins to read buckets in compartment XYZ
Allow group CertificateAuthorityAdmins to read vaults in compartment DEF
これらのステートメントは全体として、このトピックの後半で説明するように、認証局を使用して管理タスクを完了するために必要な最小限のアクセス権を提供します。権限の詳細情報が必要な場合や、より制限の緩やかなポリシーを記述する必要がある場合は、証明書サービスの詳細を参照してください。ポリシーを初めて使用する場合は、ポリシーの開始および共通ポリシーを参照してください。