ポリシーの設定

ポリシーとは、誰が、会社が所有するどのOracle Cloud Infrastructureリソースに、どのようにアクセスできるかを指定するドキュメントです。

EssbaseスタックをOracle Cloud Infrastructureのコンパートメントにデプロイする前に、テナント管理者は、選択したコンパートメントで次のリソースにアクセスしたり作成するためにポリシーを設定する必要があります。

マーケットプレイス・アプリケーション
リソース・マネージャのスタックおよびジョブ
コンピュート・インスタンス、ネットワークおよびロード・バランサ
Essbaseメタデータを格納するためのデータベース
Oracle Cloud Infrastructure Vaultの仮想キーの管理および使用

ポリシーを作成するには:

Oracle Cloud Infrastructureコンソールで、「ガバナンスと管理」セクションの左側のアイコンに移動し、「アイデンティティ」をクリックして「ポリシー」を選択し、ルート・コンパートメントを選択して「ポリシーの作成」をクリックします。
ポリシーの名前および説明を指定します。
コンパートメントのインスタンスごとにポリシー・ステートメント(Allow)を追加します。テキストのワークリスト・ファイルからコピーします。group_nameをポリシー・ステートメントに指定します。
終わったら、「作成」をクリックします。

必要に応じて、グループと動的グループのいずれにも、それぞれポリシーを作成します。

要塞ポリシーについては、要塞のポリシーを参照してください。

組織のセキュリティ設定に適したポリシーを設定します。各行がポリシー・ステートメントであるポリシー・テンプレートの例を次に示します。

Allow group group_name to manage orm-stacks in compartment compartment_name
Allow group group_name to manage orm-jobs in compartment compartment_name
Allow group group_name to manage virtual-network-family in compartment compartment_name
Allow group group_name to manage instances in compartment compartment_name
Allow group group_name to manage volume-family in compartment compartment_name
Allow group group_name to manage load-balancers in compartment compartment_name
Allow group group_name to manage buckets in compartment compartment_name
Allow group group_name to manage objects in compartment compartment_name
Allow group group_name to manage autonomous-database-family in compartment compartment_name
Allow group group_name to use instance-family in compartment compartment_name
Allow group group_name to manage autonomous-backups in compartment compartment_name
Allow group group_name to manage buckets in compartment compartment_name
Allow group group_name to manage vaults in compartment compartment_name
Allow group group_name to manage keys in compartment compartment_name
Allow group group_name to manage secret-family in compartment compartment_name
Allow group group_name to manage app-catalog-listing in compartment compartment_name

一部のポリシーは、想定される用途に応じてオプションになることがあります。たとえば、ロード・バランサを使用しない場合、ロード・バランサの管理を許可するポリシーは不要です。

コンパートメント内のインスタンスでさらに認証を必要としなくても機能を呼び出せるようにするには、コンパートメントのインスタンスに関するグループ・ポリシーが必要です。これを行うには、動的グループを作成し、その動的グループについて次の例に示すようなポリシーを設定します。

Allow dynamic-group group_name to use autonomous-database in compartment compartment_name
Allow dynamic-group group_name to use secret-family in compartment compartment_name
Allow dynamic-group group_name to use keys in compartment compartment_name 
Allow dynamic-group group_name to read buckets in compartment compartment_name
Allow dynamic-group group_name to manage objects in compartment compartment_name
Allow dynamic-group group_name to inspect volume-groups in compartment compartment_name
Allow dynamic-group group_name to manage volumes in compartment compartment_name
Allow dynamic-group group_name to manage volume-group-backups in compartment compartment_name
Allow dynamic-group group_name to manage volume-backups in compartment compartment_name
Allow dynamic-group group_name to manage autonomous-backups in compartment compartment_name
Allow dynamic-group group_name to manage database-family in compartment compartment_name

次のポリシーはオプションですが、次の統合では必須です。

Oracle Notification Service統合:

allow dynamic-group group_name to use ons-topic in compartment dev where request.permission='ONS_TOPIC_PUBLISH'

Oracle Cloud Infrastructure Monitoring統合:

allow dynamic-group group_name to use metrics in compartment dev where target.metrics.namespace='oracle_essbase'