初めに
OCI IAMでは、ユーザー作成直後のデフォルト設定として、APIキーや認証トークンなどの認証情報を各ユーザー自身が作成可能になっています。しかし、セキュリティポリシーによっては、「このユーザーにはAPIキーを作成させたくない」といった制御が必要になるケースもあります。
本記事では、OCI IAMの「ユーザー機能の編集(User Capabilities)」を活用し、APIキーや認証トークンの作成可否を制御する方法を解説します。
ユーザー機能の編集
OCIの管理者ユーザーでログインして、エンドユーザーの詳細画面に、「ユーザー機能の編集 (Edit user capabilities)」をクリックします。
デフォルトでは、すべての認証関連機能にチェックが入っており(=利用可能)、ユーザー自身がAPIキーなどを作成できる状態になっています。特定のユーザーに対してこれらの機能を制限したい場合は、該当するチェックを外して保存するだけで設定が完了します(上記の例では、APIキーの作成を無効化しています)。
エンドユーザーがOCIコンソールにログインしたら、APIキーの作成ができなくなりました。
OCIコンソールの右上のプロフィール・アイコン → 自分のプロフィール
本設定はIAMポリシーの追加作成が不要で、管理者がOCIコンソール上で簡単に編集できます。
必要な場面で、ぜひ本機能を活用してみてください。
以上
オフィシャル・ドキュメント
ユーザー機能の編集