ポリシーの設定
ポリシーとは、誰が、会社が所有するどのOracle Cloud Infrastructureリソースに、どのようにアクセスできるかを指定するドキュメントです。
EssbaseスタックをOracle Cloud Infrastructureのコンパートメントにデプロイする前に、テナント管理者は、選択したコンパートメントで次のリソースにアクセスしたり作成するためにポリシーを設定する必要があります。
- マーケットプレイス・アプリケーション
- リソース・マネージャのスタックおよびジョブ
- コンピュート・インスタンス、ネットワークおよびロード・バランサ
- Essbaseメタデータを格納するためのデータベース
- ボールトの仮想キーの管理および使用
-
Oracle Cloud Infrastructureコンソールで、「アイデンティティとセキュリティ」に移動し、「ポリシー」をクリックし、Essbase用に作成されたコンパートメントを選択してから、「ポリシーの作成」をクリックします。
-
ポリシーの名前および説明を指定します。
-
コンパートメントのインスタンスごとにポリシー・ステートメント(Allow)を追加します。テキストのワークリスト・ファイルからコピーします。group_nameをポリシー・ステートメントに指定します。
-
終わったら、「作成」をクリックします。
必要に応じて、グループと動的グループのいずれにも、それぞれポリシーを作成します。
ノート:
グループまたは動的グループがデフォルト以外のアイデンティティ・ドメインにある場合は、アイデンティティ・ドメインを識別する構文を使用して、ポリシーで参照を修飾する必要があります。次に例を示します。
Allow group domain-name/group_name to verb resource-type in compartment compartment-nameAllow dynamic-group domain-name/group_name to verb resource-type in compartment compartment-nameポリシー構文については、Oracle Cloud Infrastructureのドキュメント(アイデンティティ・ドメインでのIAMポリシーの作成)を参照してください。
要塞ポリシーについては、要塞のポリシーを参照してください。
組織のセキュリティ設定に適したポリシーを設定します。各行がポリシー・ステートメントであるポリシー・テンプレートの例を次に示します。
Allow group group_name to manage orm-stacks in compartment compartment_name
Allow group group_name to manage orm-jobs in compartment compartment_name
Allow group group_name to manage virtual-network-family in compartment compartment_name
Allow group group_name to manage instances in compartment compartment_name
Allow group group_name to manage volume-family in compartment compartment_name
Allow group group_name to manage load-balancers in compartment compartment_name
Allow group group_name to manage buckets in compartment compartment_name
Allow group group_name to manage objects in compartment compartment_name
Allow group group_name to manage autonomous-database-family in compartment compartment_name
Allow group group_name to use instance-family in compartment compartment_name
Allow group group_name to manage autonomous-backups in compartment compartment_name
Allow group group_name to manage buckets in compartment compartment_name
Allow group group_name to manage vaults in compartment compartment_name
Allow group group_name to manage keys in compartment compartment_name
Allow group group_name to manage secret-family in compartment compartment_name
Allow group group_name to manage app-catalog-listing in compartment compartment_name
一部のポリシーは、想定される用途に応じてオプションになることがあります。たとえば、ロード・バランサを使用しない場合、ロード・バランサの管理を許可するポリシーは不要です。
コンパートメント内のインスタンスでさらに認証を必要としなくても機能を呼び出せるようにするには、コンパートメントのインスタンスに関するグループ・ポリシーが必要です。これを行うには、動的グループを作成し、その動的グループについて次の例に示すようなポリシーを設定します。
Allow dynamic-group group_name to use autonomous-database in compartment compartment_name
Allow dynamic-group group_name to use secret-family in compartment compartment_name
Allow dynamic-group group_name to use keys in compartment compartment_name
Allow dynamic-group group_name to read buckets in compartment compartment_name
Allow dynamic-group group_name to manage objects in compartment compartment_name
Allow dynamic-group group_name to inspect volume-groups in compartment compartment_name
Allow dynamic-group group_name to manage volumes in compartment compartment_name
Allow dynamic-group group_name to manage volume-group-backups in compartment compartment_name
Allow dynamic-group group_name to manage volume-backups in compartment compartment_name
Allow dynamic-group group_name to manage autonomous-backups in compartment compartment_name
Allow dynamic-group group_name to manage database-family in compartment compartment_name
次のポリシーはオプションですが、次の統合では必須です。
-
Oracle Notification Service統合:
Allow dynamic-group domain-name/group_name to use ons-topic in compartment dev where request.permission='ONS_TOPIC_PUBLISH' -
Oracle Cloud Infrastructure Monitoring統合:
Allow dynamic-group domain-name/group_name to use metrics in compartment dev where target.metrics.namespace='oracle_essbase' -
Essbaseアプリケーションの保存時の暗号化:
Allow dynamic-group domain-name/group_name to use vaults in compartment compartment_name Allow dynamic-group domain-name/group_name to use keys in compartment compartment_name