Oracle Cloud Infrastructureドキュメント

ディスク・データ転送の準備

ディスク転送の準備フェーズ・インジケータ

このトピックでは、「ディスク・ベースのデータ転送」の準備に関連するタスクについて説明します。 プロジェクト・スポンサのロールは、通常、次のタスクを実行します。 「ロールおよび職責」も参照してください。

必要なIAMユーザー、グループ、およびポリシーの作成

Oracle Cloud Infrastructureの各サービスは、認証と認可のためにIAMと統合されています。

Oracle Cloud Infrastructureを使用するには、管理者が作成するポリシーで、コンソールまたはSDK、CLIまたはその他のツールを使用したREST APIのどちらを使用しているかにかかわらず、必要なタイプのアクセスを付与する必要があります。 アクションを実行しようとしたときに、権限のないメッセージや権限のないメッセージを取得する場合は、管理者に付与されているアクセスのタイプと作業するコンパートメントを確認してください。

リソースへのアクセスは、ポリシーを使用してグループに提供され、それらのグループに割り当てられたユーザーによって継承されます。 データ転送には、2つの異なるグループを作成する必要があります:

  • 転送ジョブを作成および管理できるデータ転送管理者
  • オブジェクト・ストレージにデータをアップロードできるデータ転送アップロード・ユーザー データ・セキュリティのために、アップロード・ユーザーの権限により、Oracleの担当者は、標準および複数パート・オブジェクトをユーザーのためにアップロードし、バケットおよびオブジェクトのメタデータを検査できます。 権限により、Oracle担当者は実際のデータを検査することができません。

データ管理者は、一時アップロード・ユーザーに必要なRSAキーの生成を担当します。 これらのキーは、ユーザー間で共有しないでください。

グループの作成の詳細については、「グループの管理」を参照してください。

管理者は、次のポリシーを使用してこれらのグループを作成します:

  • データ転送管理者グループには、以下を含む認可ポリシーが必要です:

    Allow group <group_name> to manage data-transfer-jobs in compartment <compartment_name>
    Allow group <group_name> to manage buckets in compartment <compartment_name>
    Allow group <group_name> to manage objects in compartment <compartment_name>

    あるいは、manage bucketsおよびmanage objectsポリシーを次のように統合することもできます:

    Allow group <group_name> to manage object-family in compartment <compartment_name>
  • データ転送アップロード・ユーザー・グループには、以下を含む認可ポリシーが必要です:

    Allow group <group_name> to manage buckets in compartment <compartment_name> where all { request.permission='BUCKET_READ' }
    Allow group <group_name> to manage objects in compartment <compartment_name> where any { request.permission='OBJECT_CREATE' , request.permission='OBJECT_OVERWRITE' , request.permission='OBJECT_INSPECT' }

重要

セキュリティ上の理由から、転送ジョブごとに一意のIAMデータ転送アップロード・ユーザーを作成し、データがOracle Cloud Infrastructureにアップロードされたらそのユーザーを削除することをお薦めします。

Oracle Cloud Infrastructure管理者は、作成された各データ転送グループにユーザーを追加します。 ユーザーの作成の詳細については、「ユーザーの管理」を参照してください。

オブジェクトのストレージ・バケットの作成

オブジェクト・ストレージ・サービスは、Oracle Cloud Infrastructureにデータをアップロードするために使用されます。 オブジェクト・ストレージ:テナンシ内のコンパートメント内でバケットと呼ばれるコンテナにオブジェクトを格納します。 アップロードされたデータを格納するバケットの作成の詳細は、「バケットの管理」を参照してください。

転送ジョブの作成

この項では、データ転送の準備の一環として転送ジョブを作成する方法について説明します。 転送ジョブに関連するすべてのタスクの詳細は、「転送ジョブ」を参照してください。

ヒント

コンソールまたは「データ転送ユーティリティ」を使用して、転送ジョブを作成できます。

転送ジョブは、転送するファイルの集合を表し、それらのファイルをOracle Cloud Infrastructureにアップロードする意思を示します。 転送ジョブは、少なくとも1つの転送ディスクと転送パッケージを結合します。 Oracleがデータをアップロードするコンパートメントとオブジェクト・ストレージ・バケットを特定します。 アップロード・バケットと同じコンパートメントに転送ジョブを作成し、転送ジョブの人間が判読可能な名前を指定します。 転送ジョブ名を入力するときは、機密情報を入力しないでください。

ノート

テナンシに必要なアクセスを最小限に抑えるために、転送ジョブごとにコンパートメントを作成することをお薦めします。

転送ジョブを作成すると、他の転送タスクで指定したジョブIDが返されます。 例えば:

ocid1.datatransferjob.region1.phx..exampleuniqueID
コンソールを使用して転送ジョブを作成するには
データ転送ユーティリティを使用して転送ジョブを作成するには

構成ファイルのアップロードの準備

プロジェクト・スポンサは、転送アプライアンスにユーザー・データをアップロードできるようにする構成ファイルの作成または取得を担当します。 これらの構成ファイルをデータ・ホストに配置できるデータ管理者に送信します。 configファイルはデータ転送管理者(権限および転送ジョブの作成権限と管理権限を持つIAMユーザー)を対象としています。 config_upload_userファイルは、データ転送アップロード・ユーザー(Oracleがかわりにデータをアップロードするために使用する一時的なIAMユーザー)を対象としています。

基本Oracle Cloud Infrastructureディレクトリと、必要な資格証明を使用して2つの構成ファイルを作成します。

データ転送ディレクトリの作成

CLIがインストールされているのと同じデータ・ホストにOracle Cloud Infrastructureディレクトリ(.oci)を作成します。 例えば:

mkdir /root/.oci/

2つの構成ファイル(config およびconfig_upload_user)は、このディレクトリに置かれます。

データ転送管理者構成ファイルの作成

データ転送管理者構成ファイル/root/.oci/configを次の構造で作成します:

[DEFAULT]
user=<The OCID for the data transfer administrator>
fingerprint=<The fingerprint of the above user's public key>
key_file=<The _absolute_ path to the above user's private key file on the host machine>
tenancy=<The OCID for the tenancy that owns the data transfer job and bucket>
region=<The region where the transfer job and bucket should exist. Valid values are: us-ashburn-1, us-phoenix-1, eu-frankfurt-1, and uk-london-1.>

例えば:

[DEFAULT]
user=ocid1.user.oc1..exampleuniqueID
fingerprint=4c:1a:6f:a1:5b:9e:58:45:f7:53:43:1f:51:0f:d8:45
key_file=/home/user/ocid1.user.oc1..exampleuniqueID.pem
tenancy=ocid1.tenancy.oc1..exampleuniqueID
region=us-phoenix-1

データ転送管理者は、複数のユーザーの資格証明を含む異なるプロファイル・セクションを含む単一の構成ファイルを作成できます。 次に、‑‑profileオプションを使用して、コマンドで使用するプロファイルを指定します。

さまざまなプロファイル・セクションを持つデータ転送管理者構成ファイルの例を次に示します:

[DEFAULT]
user=ocid1.user.oc1..exampleuniqueID
fingerprint=4c:1a:6f:a1:5b:9e:58:45:f7:53:43:1f:51:0f:d8:45
key_file=/home/user/ocid1.user.oc1..exampleuniqueID.pem
tenancy=ocid1.tenancy.oc1..exampleuniqueID
region=us-phoenix-1
[PROFILE1]
user=ocid1.user.oc1..exampleuniqueID
fingerprint=4c:1a:6f:a1:5b:9e:58:45:f7:53:43:1f:51:0f:d8:45
key_file=/home/user/ocid1.user.oc1..exampleuniqueID.pem
tenancy=ocid1.tenancy.oc1..exampleuniqueID
region=us-ashburn-1

デフォルトでは、DEFAULTプロファイルはすべてのCLIコマンドで使用されます。 例えば:

oci dts job create --compartment-id ocid.compartment.oc1..exampleuniqueID --bucket MyBucket --display-name MyDisplay --device-type disk

かわりに、--profileオプションを使用してCLIコマンドを発行し、別のデータ転送管理者プロファイルを指定できます。 例えば:

oci dts job create --compartment-id ocid.compartment.oc1..exampleuniqueID --bucket MyBucket --display-name MyDisplay --device-type disk --profile MyProfile

上記の構成ファイルの例を使用すると、<profile_name>profile1になります。

2つの別々の構成ファイルを作成した場合は、次のコマンドを使用して、使用する構成ファイルを指定します:

oci dts job create --compartment-id <compartment_id> --bucket <bucket_name> --display-name <display_name> 

データ転送アップロード・ユーザー構成ファイルの作成

config_upload_user構成ファイルは、データ転送アップロード・ユーザー(Oracleがデータを代理でアップロードするときに使用する一時IAMユーザー)を対象としています。 次の構造を持つ構成ファイルを作成します:

[DEFAULT]
user=<The OCID for the data transfer upload user>
fingerprint=<The fingerprint of the above user's public key>
key_file=<The _absolute_ path to the above user's private key file on the host machine>
tenancy=<The OCID for the tenancy that owns the data transfer job and bucket>
region=<The region where the transfer job and bucket should exist. Valid values are: us-ashburn-1, us-phoenix-1, eu-frankfurt-1, and uk-london-1.>

例えば:

[DEFAULT]
user=ocid1.user.oc1..exampleuniqueID
fingerprint=4c:1a:6f:a1:5b:9e:58:45:f7:53:43:1f:51:0f:d8:45
key_file=/home/user/ocid1.user.oc1..exampleuniqueID.pem
tenancy=ocid1.tenancy.oc1..exampleuniqueID
region=us-phoenix-1

重要

複数のプロファイルを含むアップロード・ユーザー構成ファイルの作成はサポートされていません。

構成ファイルのエントリ

次の表は、各構成ファイルに必要な基本的なエントリと、各エントリの情報を取得する場所を示しています。

ノート

「データ転送」サービスでは、データ転送管理者とデータ転送アップロード・ユーザーの両方のキー・ファイルのパスフレーズはサポートされていません。

エントリ 説明と値の入手場所 必須?
user

作成しているプロファイルに応じて、データ転送管理者またはデータ転送アップロード・ユーザーのOCID。 値を取得するには、「必要なキーとOCID」を参照してください。

はい
fingerprint

使用されているキー・ペアのフィンガープリント。 値を取得するには、「必要なキーとOCID」を参照してください。

はい
key_file

秘密キーのフルパスとファイル名。

重要: キー・ペアはPEM形式でなければなりません。 PEM形式でキー・ペアを生成する方法については、「必要なキーとOCID」を参照してください。

はい
テナンシ

テナンシのOCID。 値を取得するには、「必要なキーとOCID」を参照してください。

はい
region

Oracle Cloud Infrastructureリージョン。 「リージョンと可用性ドメイン」を参照してください。

データ転送は、US East (Ashburn)US West (Phoenix)Germany Central (Frankfurt)およびUK South (London)でサポートされています。

はい

次のコマンドを使用して、データ転送アップロードのユーザー資格証明を確認できます:

dts job verify-upload-user-credentials --bucket <bucket_name>

出荷ラベルの作成

配送先の詳細は、配送先アドレスをご覧ください。 この情報を使用して、ディスクをOracleに送信するために使用する転送パッケージの出荷ラベルを作成します。

コンソールを使用して転送パッケージの出荷先住所を取得するには
データ転送ユーティリティを使用して転送パッケージの出荷先住所を取得するには

データ管理者への通知

このトピックのすべてのタスクが完了したら、次のデータ管理者に問い合せてください:

  • IAMのログイン資格証明
  • 「データ転送ユーティリティ」構成ファイル
  • 転送ジョブID
  • 転送ジョブのラベル

次の手順

これで、データ転送用にシステムを構成できます。 「ディスク・データ転送の構成」も参照してください。