Oracle Cloud Infrastructureドキュメント

テナンシを設定

OracleがOracle Cloud Infrastructureでテナンシを作成した後、会社の管理者は、いくつかの設定作業を実行し、クラウド・リソースとユーザーの組織計画を確立する必要があります。 このトピックの情報を参考にして始めてください。

ヒント

プランニング・フェーズを終了している間にいくつかのユーザーを迅速に起動し、実行するには、「ユーザーの追加」を参照してください。

計画を作成

ユーザーとリソースを追加する前に、テナンシの計画を作成する必要があります。 プランを作成する上での基本は、Oracle Cloud Infrastructure Identity and Access Management (IAM)のコンポーネントを理解することです。 IAMの機能を読んで理解していることを確認してください。 「Oracle Cloud Infrastructure Identity and Access Managementの概要」を参照してください。

計画には、リソースを編成するためのコンパートメント階層と、リソースにアクセスする必要があるユーザー・グループの定義を含める必要があります。 これらの2つのことは、アクセスを管理するポリシーを作成する方法に影響するため、一緒に検討する必要があります。

計画を始めるために役立つ次の下絵のトピックを使用してください:

コンパートメントについて

コンパートメントは、クラウド・リソースを整理するために使用する主なビルディング・ブロックです。 コンパートメントを使用してリソースを整理し、隔離することで、リソースへのアクセスをより簡単に管理および保護できるようになります。

テナンシがプロビジョニングされると、ルート・コンパートメントが作成されます。 ルート・コンパートメントにはクラウド・リソースのallが格納されます。 ルート・コンパートメントは、ファイル・システムのルート・フォルダのように考えることができます。

初めてコンソールにサインインしてサービスを選択すると、ルート・コンパートメントが表示されます。

ルート・コンパートメントを示すコンソール

ルート・コンパートメントの下にコンパートメントを作成して、リソース管理目標に合わせてクラウド・リソースを編成できます。 コンパートメントを作成するときに、それらのコンパートメント内のリソースに対して実行できるユーザーのグループを指定するポリシーを作成して、コンパートメントへのアクセスを制御します。

コンパートメントでの作業を開始するときは、次の点に注意してください:

  • リソース(インスタンス、ブロック・ストレージ・ボリューム、VCN、サブネットなど)を作成するときには、どのコンパートメントに配置するかを決定する必要があります。
  • コンパートメントは物理的ではなく論理的なものなので、関連するリソース・コンポーネントを異なるコンパートメントに配置することができます。 たとえば、インターネット・ゲートウェイへのアクセスを持つクラウド・ネットワーク・サブネットは、同じクラウド・ネットワーク内の他のサブネットとは別のコンパートメントで保護することができます。
  • コンパートメントの階層は、テナンシの下に最大6つのコンパートメントまで作成できます(ルート・コンパートメント)。
  • ポリシー・ルールを作成して、ユーザー・グループにリソースへのアクセスを許可する場合は、アクセス・ルールを適用するコンパートメントを常に指定します。 したがって、複数のコンパートメントにまたがってリソースを配布することを選択した場合は、それらのリソースにアクセスする必要のあるユーザーのために、各コンパートメントに適切なアクセス許可を与える必要があることに注意してください。
  • コンソールでは、コンパートメントはリソースを表示するためのフィルタのように動作します。 コンパートメントを選択すると、選択したコンパートメント内のリソースのみが表示されます。 別のコンパートメントのリソースを表示するには、まずそのコンパートメントを選択する必要があります。 「検索」の機能を使用すると、複数のコンパートメントにまたがるリソースのリストを取得できます。 「検索の概要」も参照してください。
  • コンパートメントを削除する場合は、最初にコンパートメント内のすべてのリソースを削除する必要があります。
  • 最後に、コンパートメントの計画時に、使用方法と監査データの集計方法を検討する必要があります。

誰がどのリソースにアクセスできるかを検討

テナンシの設定を計画する際のもう1つの主な考慮事項は、誰がどのリソースにアクセスする必要があるかです。 さまざまなユーザー・グループがリソースにどのようにアクセスする必要があるかを定義することで、リソースを最も効率的に編成する方法を計画するのに役立ち、アクセス・ポリシーの作成と保守が容易になります。

たとえば、次のようなユーザーがいるとします:

  • コンソールを表示しますが、リソースの編集や作成はできません
  • 複数のコンパートメント(クラウド・ネットワークとサブネットを管理する必要があるネットワーク管理者など)に特定のリソースを作成して更新
  • インスタンスとブロック・ボリュームを起動して管理するが、クラウド・ネットワークにはアクセスできない
  • すべてのリソースに対して完全な権限を持ちますが、特定のコンパートメントのみ
  • 他のユーザーのアクセス許可と資格証明を管理

いくつかのサンプル・ポリシーを表示するには、「共通ポリシー」を参照してください。

コンパートメントを設定する方法の例

すべてのリソースをテナンシ(ルート・コンパートメント)に入れ、

組織が小さい場合、またはOracle Cloud Infrastructureの評価の概念実証段階にある場合は、すべてのリソースをルート・コンパートメントに配置することを検討することができます(テナンシ)。 このアプローチにより、すべてのリソースをすばやく表示および管理することが容易になります。 ポリシーを作成してグループを作成して、アクセスが必要なユーザーのみに特定のリソースのアクセス許可を制限することができます。

シングル・コンパートメント・アプローチを設定するための高度なタスク:

  1. (ベスト・プラクティス)サンドボックス・コンパートメントを作成します。 rootコンパートメントでリソースを維持することを計画しているにもかかわらず、サンドボックス・コンパートメントを設定して、ユーザーにフィーチャを試すための専用スペースを与えることをお勧めします。 サンドボックス・コンパートメントでは、テナンシ(ルート)コンパートメント内のリソースに対するより厳しい権限を維持しながら、ユーザーにリソースの作成と管理の権限を与えることができます。 「サンドボックス・コンパートメントを作成」を参照してください。
  2. グループとポリシーを作成します。 「共通ポリシー」を参照してください。
  3. ユーザーを追加します。 「ユーザーの管理」を参照してください。

会社のプロジェクトに合わせてコンパートメントを作成

別々に管理したい部門が複数ある場合や、別々に管理しやすい複数のプロジェクトがある場合は、このアプローチを検討してください。

この方法では、各コンパートメント(プロジェクト)ごとに専用の管理者グループを追加して、そのプロジェクトだけのアクセス・ポリシーを設定することができます。 (テナンシ・レベルでユーザーとグループを追加する必要があります)。 1つのグループにすべてのリソースを制御し、ルート・コンパートメントやその他のプロジェクトへの管理者権限は与えないようにすることができます。 このようにして、自社のさまざまなグループが独自のリソース用に独自のサブ・クラウドを設定し、独自に管理することができます。

複数のプロジェクト・アプローチを設定するための高度なタスク:

  1. サンドボックス・コンパートメントを作成します。 サンドボックス・コンパートメントを設定して、ユーザーに機能を試す専用のスペースを与えることをお薦めします。 サンドボックス・コンパートメントでは、テナンシ(ルート)コンパートメント内のリソースに対するより厳しい権限を維持しながら、ユーザーにリソースの作成と管理の権限を与えることができます。
  2. プロジェクトごとにコンパートメントを作成します(ProjectA、ProjectBなど)。
  3. ProjectA_Adminsなど、プロジェクトごとに管理者グループを作成します。
  4. 管理者グループごとにポリシーを作成します。

    例:
  5. ユーザーを追加します。 「ユーザーの管理」を参照してください。
  6. 管理者にProjectAおよびProjectBのために、指定されたコンパートメント内にサブ調整を作成し、リソースを管理します。
  7. 管理者に対してProjectAおよびProjectBを実行し、コンパートメントへのアクセスを管理するポリシーを作成します。