Oracle Cloud Infrastructureドキュメント

コンパートメント割当

このトピックでは、Oracle Cloud Infrastructureのコンパートメントの割当てについて説明します。

コンパートメントの割当てにより、テナントおよびコンパートメントの管理者は、Oracle Cloud Infrastructureでのリソースの使用方法をより適切に制御でき、管理者はコンソールを使用してリソースをコンパートメントに簡単に割り当てることができます。 「コンパートメント予算」とともに、コンパートメントの目標はOracle Cloud Infrastructureテナンシで支出を管理するための強力なツール・セットを作成します。

コンソールの任意のコンパートメント詳細ページからコンパートメントの割当て制限を使用し始めることができます。

コンパートメント割当について

コンパートメントの割当て制限は「サービス制限」と似ていますが、最大の違いは、サービス制限がOracleによって設定され、コンパートメントの割当て制限は管理者によって設定されることであり、高いレベルの柔軟性を持つリソースの割当てを可能にするポリシーを使用します。

コンパートメントの割当ては、IAMのポリシー言語に似た単純な宣言言語で記述された「ポリシー文」を使用して設定されます。

割当てポリシー文には3つのタイプがあります:

  • set - コンパートメントに使用できるクラウド・リソースの最大数を設定
  • unset - 割当て制限をデフォルトのサービス制限にリセット
  • zero - コンパートメントのクラウド・リソースへのアクセス権を削除

割当て制限ポリシー文は次のようになります:

割当て制限ポリシー・セット文のダイアグラム

割当て制限ポリシー設定解除文ダイアグラム

割当て制限ポリシー0文ダイアグラム

割当てポリシー文の言語コンポーネントは次のとおりです:

  • action キーワード。定義されている割当て制限のタイプに対応します。 setunsetまたはzeroを指定できます。
  • サービス・ファミリの名前。例: compute
  • quotaまたはquotasキーワード
  • 割当ての名前。サービス・ファミリによって異なります。 たとえば、computeファミリの有効な割当てはvm-standard2-16-countです。
    • ワイルドカードを使用して、名前の範囲を指定することもできます。 たとえば、"/vm-*/"は、文字"vm"で始まるすべての「コンピュート」シェイプに一致します。
  • Set文の場合は、割当て制限の値。
  • 割当て制限がカバーするコンパートメント。
  • オプションの条件。 where request.region = 'us-phoenix-1'など。現在サポートされている条件は、request.regionおよびrequest.adです。

認証と認可

Oracle Cloud Infrastructureの各サービスは、すべてのインタフェース(コンソール、SDKまたはCLI、およびREST API)の認証および認可のためにIAMと統合されています。

組織の管理者は、どのユーザーがどのサービス、どのリソースおよびアクセスのタイプにアクセスできるかを制御するグループ、コンパートメントおよびポリシーを設定する必要があります。 たとえば、ポリシーは、新しいユーザーの作成、クラウド・ネットワークの作成と管理、インスタンスの起動、バケットの作成、オブジェクトのダウンロードなどを実行できるユーザーを制御します。詳細は、「ポリシーの開始」を参照してください。 異なる各サービスに対するポリシーの記述の詳細は、「ポリシー・リファレンス」を参照してください。

会社が所有するOracle Cloud Infrastructureリソースを使用する必要がある通常のユーザー(管理者ではない)の場合は、管理者に連絡してユーザーIDを設定してください。 管理者は、使用する必要があるコンパートメントを確認できます。

ユーザーの認可に使用される共通ポリシーについては、「共通ポリシー」を参照してください。

コンパートメント内の割当て制限を管理するには、正しい権限を持つグループに属する必要があります。 例えば:

allow group QuotaAdmins to { QUOTA_READ, QUOTA_CREATE, QUOTA_DELETE, QUOTA_UPDATE, QUOTA_INSPECT } in tenancy

割当て制限サービスに対する権限の付与の詳細は、IAMポリシー・リファレンスの「割当てサービスの詳細」を参照してください。

権限とネスト

コンパートメントの割当はルート・コンパートメントに設定できます。 管理者(ルート・コンパートメントでの割当て制限の管理が可能なユーザー)は、自身のコンパートメントおよび任意の子コンパートメントに対して割当て制限を設定できます。 親コンパートメントに設定された割当て制限は、子コンパートメントに設定された割当て制限をオーバーライドします。 このように、親コンパートメントの管理者は、子によってオーバーライドできない子コンパートメントに対して割当を作成できます。

有効範囲

割当て制限は異なる「スコープ」を持つことができ、「可用性ドメイン」、リージョンまたはグローバルで機能します。

コンパートメントの割当てを使用する際の、スコープについて理解しておく必要のある重要な事項がいくつかあります:

  • 可用性ドメイン(AD)レベルで割当て制限を設定すると、各ADに割当て制限が割り当てられます。 たとえば、コンパートメントで2 X7 VMの割当て制限を設定すると、実際にはADごとに2 VMという制限が設定されます。 特定のADのターゲットを指定するには、where句でrequest.adパラメータを使用します。

  • リージョンの割当ては各リージョンに適用されます。 たとえば、コンパートメントに10個のファンクションの割当て制限が設定されている場合、リージョンごとに10個のファンクションが割り当てられます。 特定のリージョンをターゲットにするには、where句のrequest.regionパラメータを使用します。

  • メイン・コンパートメントの使用状況の方向のサブコンピテンシの使用状況。

詳細は、「リージョンと可用性ドメイン」を参照してください。

割当て制限の評価および優先順位

次のルールは、割当て文が評価されるときに適用されます:

  • ポリシー内では、割当て文は順番に評価され、後続の文は同じリソースをターゲットとする前の文よりも優先されます。
  • 同じリソースに対して複数のポリシーが設定されている場合は、最も限定的なポリシーが適用されます。
  • サービス制限は常に割当て制限よりも優先されます。 リソースに対する割当て制限を指定することは可能ですが、そのリソースのサービス制限を超える場合もサービス制限が強制されます。

使用例

次の例では、「US West (フェニックス)」リージョンのコンパートメントMyCompartment の各ADで、VM.DenseIO1.16 「コンピュート」シェイプの割当て制限を10に設定します:

set compute quota vm-dense-io1-16-count to 10 in compartment MyCompartment where request.region = us-phoenix-1

次の例では、ホワイトリストを作成する方法を示し、ファミリ内のすべての割当をゼロに設定してから、リソースを明示的に割り当てます:

zero compute quotas in tenancy
set compute quota vm-dense-io1-16-count to 10 in tenancy

この例では、ベア・メタル・コンピュート・リソースの作成を1つのリージョンのみに制限する方法を示します:

zero compute quotas /*bm*/ in tenancy
set compute quota /*bm*/ to 5 in tenancy where request.region = us-phoenix-1

この例のポリシー文では、1つのリージョン内の1つのコンパートメントに1つのVM.Standard2.1 「コンピュート」インスタンスのみを許可します:

zero compute quotas in tenancy
set compute quota vm-standard2-1-count to 10 in compartment sales_department where request.region = us-phoenix-1

unset 文を使用して割当て制限をクリアすると、リソースの割当て制限を削除できます。 - このリソースに制限がある場合は、サービス制限によって施行されます:

zero compute quotas in tenancy
unset compute quota vm-dense-io1-16-count in tenancy

コンソールを使用した場合

割当て制限を作成するには
割当て制限を編集するには
割当てを削除するには

使用可能な割当て制限(サービス別)

サービス名をクリックすると、設定可能な割当て制限を表示できます。

Analytics Cloud
ブロック・ボリューム割当て
割当て制限のコンピュート
データ転送目標
データベース割当て制限