id:s-oomoriです。
前回は、Oracle CASBにAWSを登録しましたが、今回はOCIを登録してみます。
下記のブログも参照ください。
本記事の目次
前提
-
前回のブログを参照し、Oracle CASBが開始まで進めておいてください。 ※Application登録前まで完了している
-
OCIユーザーとグループはフェデレーション(OracleIdentityCloudService)を使用していますが、フェデレーション利用されていない方は、OCIのユーザー/グループに読み替えてご利用ください。
※OracleCloudユーザ管理(フェデレーション等)についての参考サイト
【1】CASBモニター設定
CASBにOCIを登録するまえに、CASBモニター用のユーザー/グループ/ポリシー等を設定します。
※Cloudiiテナンシではフェデレーション(OracleIdentityCloudService)を使用しています。
1.OCIメニューの「アイデンティティ」−「フェデレーション」を選択します。
※フェデレーションを利用されていない方は「ユーザー」を選択して作成してください。
2.フェデレーション画面の「OracleIdentityCloudService」を選択します。
3.今回は、既に利用している私のアカウントを使うので作成しませんが、CASBモニター専用ユーザを別途用意する場合は「IDCSユーザーの作成」を選択しユーザーを作成してください。
4.OCIメニューの「アイデンティティ」−「ユーザー」を選択します。
5.先程作成したユーザー(OCI同期済みユーザー)を選択します。
※今回は自分のアカウントを使ってみます。「oracleidentitycloudservice/s.oomori@atomitech.jp」
※フェデレーションを利用されていない方はそのまま作成したOCIユーザー選択
6.APIキーの「公開キーの追加」を選択します。
7.公開キー入力画面が開いたら、一旦このままにしておきます。
8.CASB画面のメニューを開き、「Configuration」−「CASB Key-Pair Management」を選択します。
9.CASB Key-Pair Management画面で、User public keyをコピーします。
※keyが発行されていない場合は、「Create new keys」から発行してください。
10.先程の、公開キー入力画面に戻り、コピーしたkeyをペースとし、「追加」を選択します。
※APIキー一覧に追加されれば公開キーの追加作業は完了です。
11.次にポリシーを付与するためのCASBモニター用グループを作成します。OCIメニューの「アイデンティティ」−「グループ」を選択します。
12.「グループの作成」から「CASB-Users」グループを作成してください。
※Administratorsグループ等任意のグループでも結構です。
※フェデレーションを利用されていない方は、作成したグループにAPIキーを作成したユーザーを追加してください。
13.【フェデレーション利用の方のみ】
「アイデンティティ」−「フェデレーション」−「OracleIdentityCloudService」−「グループ」の「IDCSグループの作成」を選択し、「OCI_CASB-Users」というグループを作成します。
※APIキーを作成したユーザーを追加してください。
14.【フェデレーション利用の方のみ】
グループを作成したら、「グループ・マッピング」を選択し、「マッピングの編集」を選択します。
15.【フェデレーション利用の方のみ】
「+マッピングの追加」を選択し、「OCI_CASB-Users」と「CASB-Users」を選択しマッピングします。「送信」を選択します。
※グループがマッピングされます。
16.次にポリシーを設定します。CASBの「CASB Key-Pair Management」画面の「here」を選択します。
17.OCIで作成したCASB用グループを入力し、自動生成されたポリシーをコピーします。
18.OCIメニューの「アイデンティティ」−「ポリシー」を選択します。
17.「ポリシーの作成」を選択します。
18.ポリシーの作成画面で、名前/説明/先ほどコピーしたステートメントを入力し、「作成」を選択します。
※CASB用のポリシー(今回はテナンシの全てのリソース読み込み権限)が設定されます。
【2】Applications登録
OCIを登録していきます。
1.CASBメニューの「Applications」を選択し、「OCI」を選択し、「Next」を選択します。
2.「Type a unique name for your instance」に任意のインスタンス名を入力し、「Next」を選択します。
3.次にTenancy OCIDとUser OCIDを確認します。
4.OCIメニューの「管理」−「テナンシ詳細」を選択します。
5.テナンシ情報にあるOCIDの「コピー」を選択し控えます。
6.OCIメニューの「アイデンティティ」−「ユーザー」を選択します。
7.該当ユーザーにあるOCIDの「コピー」を選択し控えます。
※前の手順でAPIキーを作成したユーザーのOCID
8.CASB画面に戻り、「Tenancy」を選択し、先程控えた「Tenancy OCID」と「User OCID」を入力し、「Test Credentials」を選択し、「Successflly initiated direct connection」となることを確認し、「Submit」を選択します。
9.Successとなれば完了です。「Done」を選択します。
10.Applications画面にOCIが追加され、選択するとサマリーが確認できます。全て確認できるようになるまで2時間前後かかります。(私は1時間くらいで完了しました)
下図のように表示されれば取得完了です。
【3】アプリケーション確認
先程登録したOCIの中身を見ていきます。
1.先程登録したOCIを選択し、「View Details」を選択します。
2.RISK LEVEL等が一覧で表示されます。
- OCIらしい内容とすれば、Compartmentのサマリーです。英語が苦手な方はサイト翻訳で日本語にしてみてください。
おしまいに
今回はOCIを登録してみました。前回のAWS登録と同じ料金(IaaS版)が課金されますので、こちらもご利用は計画的に!!
告知
日本オラクル社主催のクラウドイベントが8月6日(火)、7日(水)と二日間に渡って開催予定です。Cloudiiもスポンサー/登壇/展示ブースで参加しますので、是非ご参加ください。