皆さんこんにちは。1年のうち200日くらい眠いと言っているid:k-furusawa--gです。
今回はあまり話題に上がらないOracleCloudのIdentity Cloud Service(以下、IDCS)について書いていこうと思います。
今回の記事の目次
IDCSとは
IDCSはOracleCloudのアカウント全般を取り扱うサービスで、1つのクラウドアカウントに対し、1つのIDCSが作成されます(最近の契約ではIDCS無しもあるようです)。
IDCSはユーザーグループやユーザー、利用アプリケーションやセキュリティなどを管理します。OCI-IAMでも同じことができるのでは? と疑問に思うかもしれませんが、IDCSが行うのはOracleCloudに対する管理全般です。OCI-IAMはOCI内のユーザーとグループについての設定にとどまります。アクセスログなども提供しません。
IDCSとOCI-IAMでできることの差についてはテクバン様がブログにてまとめてくれています。
IDCSざっくり説明
テクバン様の記事で触れられていない部分について、ざっくりと触れてみます。
例えば、OracleCloudにログインする際に利用するユーザーや、そのユーザーが所属するグループ、そのグループがアクセスできるアプリケーションの範囲などはIDCSで設定します。
最近になってOCIコンソールからもIDCSのロールが編集できるようになり、フェデレーションをしている場合はOCIからセキュリティ設定がある程度できるようになりました。
また、OracleCloudに対してだれがいつログインし、成功失敗は何度か、アプリケーションによるアクセスはどれくらいかなどもIDCSが管理します。
さらに詳しい説明は以下のドキュメントを参照してください。
IDCSは複数設定できる
IDCSは1つのクラウドアカウントにつき1つ設定されます。
クラウドアカウントに対して1つですが、OracleCloudは1つの契約で複数のクラウドアカウントが紐づけられます。そしてクラウドアカウントは利用データセンターリージョンにつき1つ設定されるので、結果的に1つの契約で複数のIDCSを持つことができます。
IDCSを追加してみる
IDCSは複数設定できるということで、実際に増やしてみてみましょう。クラウドアカウントが増えればIDCSも増えるはずなので、クラウドアカウントを増やすために利用データセンターリージョンを追加してみましょう。
利用するデータセンターを追加する方法
方法については当ブログにまとめられているのでご参照ください。
利用データセンターリージョンを追加すると専用のIDCSが用意される
データセンターリージョンの追加を行うと、リージョン用の新たなクラウドアカウントが発行され専用のIDCSが追加されます。追加されたIDCSは自動で利用中のOCIと紐づくので、利用できるサービスが増えるわけですね。
OracleCloud MyServicesダッシュボードでは利用中サービスを表示してくれますが、IDCSを切り替えることで各IDCSで利用しているサービスが分かります。ただ、統括してくれる画面がないのでどのIDCSのどこのサービスが利用中なのか一目で把握できないのは地味につらいところかもしれません。
また、IDCSが分かれていることで利用金額もデータセンターごとに分かれています。
ホームリージョンのIDCS以外にアカウント入力画面はない
クラウドアカウントがデータセンターごとに発行され、それに対しIDCSがあるのなら、アカウント入力はどうなっているのでしょう?
例えば、AtomitechUS という名前でテナント契約し、US-ASHBURN