認証局の管理

ステップ1: 動的グループの作成

resource.type='certificateauthority'

この一致ルールでは、すべてのCAをメンバーとして含む動的グループを定義します。必要に応じて、CAが他のサービスに対してAPIコールを行うことを認可するには、この動的グループが必要です。通常、CAにはOracle Cloud Infrastructure VaultおよびOracle Cloud Infrastructure Object Storageのリソースにアクセスする権限が必要です。動的グループの詳細は、動的グループの管理を参照してください。

ステップ2: 動的グループのポリシーの作成

動的グループを作成したら、動的グループのポリシーを作成します。次のポリシーでは、動的グループのサンプル名はCertificateAuthority-DGです。このポリシーは、動的グループのメンバーに、ボールト・キーを使用する権限と、指定されたサンプル・コンパートメント内のオブジェクト・ストレージ・オブジェクトに対してすべての操作を実行する権限を付与します。このタイプのポリシーはリソース・プリンシパル・ポリシーと呼ばれます。他のリソースを処理できるプリンシパル・アクターとしてリソースが認可されるためです。

Allow dynamic-group CertificateAuthority-DG to use keys in compartment DEF
Allow dynamic-group CertificateAuthority-DG to manage objects in compartment XYZ

ステップ3: 管理者のポリシーの追加

管理者にリソースへのアクセスを許可するポリシーも必要です。次のポリシーは、必要に応じて、集約リソース・タイプcertificate-authority-familyに含まれるすべてのリソースに対してすべての操作を実行する権限と、指定されたサンプル・コンパートメント内の必要なボールト・リソースおよびオブジェクト・ストレージ・リソースを操作する権限をサンプル・グループCertificateAuthorityAdminsに付与します。これには、CAの暗号化キーを指定するために必要な権限が含まれます。

Allow group CertificateAuthorityAdmins to manage certificate-authority-family in compartment ABC
Allow group CertificateAuthorityAdmins to read keys in compartment DEF
Allow group CertificateAuthorityAdmins to use key-delegate in compartment DEF
Allow group CertificateAuthorityAdmins to read buckets in compartment XYZ
Allow group CertificateAuthorityAdmins to read vaults in compartment DEF

これらのステートメントは全体として、このトピックの後半で説明するように、認証局を使用して管理タスクを完了するために必要な最小限のアクセス権を提供します。権限の詳細情報が必要な場合や、より制限の緩やかなポリシーを記述する必要がある場合は、証明書サービスの詳細を参照してください。ポリシーを初めて使用する場合は、ポリシーの開始および共通ポリシーを参照してください。