Oracle Cloudリソースの作成

Oracle Cloud Infrastructure GoldenGateを開始する前に、コンパートメント、VCN、サブネット、ユーザーおよびユーザー・グループを作成する方法について学習します。

関連トピック

コンパートメントの作成

コンパートメントにより、クラウド・リソースへのアクセス権を整理および制御できます。これは、関連するクラウド・リソースをグループ化し、特定のユーザー・グループにアクセスできるようにするために使用できる論理コンテナです。

Oracle Cloud Infrastructureにサインアップすると、Oracleによってtenancyが作成されます。これは、クラウド・リソースの「すべて」を保持するルート・コンパートメントです。次に、テナンシ内に追加コンパートメントを作成し、対応するポリシーを作成して各コンパートメント内のリソースへのアクセスを制御します。

コンパートメントを作成するには:

Oracle Cloudコンソールのナビゲーション・メニューを開き、「アイデンティティ&セキュリティ」をクリックします。
「アイデンティティ」の下で、「コンパートメント」をクリックします。アクセス権があるコンパートメントのリストが表示されます。
新しいコンパートメントを作成するコンパートメントに移動します。
- テナンシ内にコンパートメントを作成するには(ルート・コンパートメント)、「コンパートメントの作成」をクリックします。
- テナンシ(ルート・コンパートメント)以外のコンパートメント内に作成するには、コンパートメントを作成するコンパートメントの詳細ページに到達するまで、コンパートメントの階層をクリックします。「コンパートメント詳細」ページで、「コンパートメントの作成」をクリックします。
「コンパートメントの作成」ダイアログで、次のようにフィールドに入力します:
1. 「名前」には、コンパートメントの一意の名前を100文字以内で入力します(文字、数字、ピリオド、ハイフンおよびアンダースコアを含む)。名前はテナンシ内のすべてのコンパートメントで一意である必要があります。機密情報の入力は避けてください。
2. 「説明」には、コンパートメントと他のコンパートメントを区別するのに役立つ説明を入力します。
3. 「親コンパートメント」で、これがコンパートメントを作成するコンパートメントであることを確認します。別のコンパートメントを選択するには、ドロップダウンからコンパートメントを選択します。
4. (オプション) 「タグ名スペース」には、Oracle Cloudコンソールでリソースを検索するのに役立つフリー・フォーム・タグを追加できます。「+別のタグ」をクリックしてタグを追加します。
5. 「コンパートメントの作成」をクリックします。

コンパートメントは、作成後にコンパートメント・リストに表示されます。これで、ポリシーを作成し、リソースをコンパートメントに追加できるようになりました。

Virtual Cloudネットワークおよびサブネットの作成

仮想クラウド・ネットワーク(VCN)は、特定のリージョンのOracle Cloud Infrastructureデータ・センターで設定するネットワークです。サブネットはVCNの下位区分です。

OCI GoldenGateには、VCNと、NAT Gatewayを持つプライベート・サブネットが少なくとも1つ必要です。プライベート・サブネットのNAT Gatewayにトラフィックをリダイレクトするルート・ルールを含むルート表が使用可能である必要があります。パブリック・エンドポイントを使用した接続を有効にする場合は、パブリック・サブネットも必要であり、VCNにインターネット・ゲートウェイが含まれている必要があります。パブリック・サブネットのインターネット・ゲートウェイにトラフィックをリダイレクトするルート・ルールを含むルート表が使用可能である必要があります。

VCNおよびサブネットを作成するには:

「Oracle Cloudコンソール」ナビゲーション・メニューを開き、「ネットワーク」をクリックし、「仮想クラウド・ネットワーク」を選択します。
「仮想クラウド・ネットワーク」ページで、コンパートメントの選択を確認するか、別のコンパートメントを選択します。
「アクション」メニューから、「VCNウィザードの起動」を選択します。
「VCNウィザードの起動」パネルで、「インターネット接続性を持つVCNの作成」を選択し、「VCNウィザードの起動」をクリックします。
「構成」ページの「基本情報」に、「VCN名」と入力します。
「コンパートメント」で、このVCNを作成するコンパートメントを選択します。
「次へ」をクリックします。
レビューおよび作成ページで、構成の詳細を確認し、「作成」をクリックします。

「VCNの詳細の表示」をクリックして、パブリック・サブネットとプライベート・サブネットの両方が作成されたことを確認します。

ユーザーの作成

OCI GoldenGateリソースにアクセスできるグループに追加するユーザーを作成します。

ユーザーを作成する前に、次のことを理解してください:

OCI GoldenGateデプロイメント・ユーザー管理は、テナンシがアイデンティティ・ドメインでOCI IAMを使用するかどうかによって異なります。「デプロイメント・ユーザーの管理」を参照してください。
ユーザー名は、テナンシ内のすべてのユーザーで一意である必要があります
ユーザー名を変更できません
ユーザーには、グループに配置されるまで権限がありません

ユーザーを作成するには:

「Oracle Cloudコンソール」ナビゲーション・メニューを開き、「アイデンティティ&セキュリティ」をクリックし、「アイデンティティ」で「ドメイン」をクリックします。
「ドメイン」ページで、「コンパートメント」の選択を確認するか、別のコンパートメントに変更します。
「ドメイン」リストで、「デフォルト」をクリックしてデフォルト・ドメインにアクセスするか、「ドメインの作成」をクリックして新しいドメインを作成します。
リストからドメインを選択します。
ドメインの詳細ページで、「ユーザー管理」をクリックします。
「ユーザー」ページで、「ユーザーの作成」をクリックします。
「ユーザーの作成」ページで、次のようにフィールドに入力します:
1. ユーザーの「名」、「姓」および「メール・アドレス」を入力します。これは、「ユーザー名」としても使用できます。
  
  ノート:
  名前はテナンシ内のすべてのユーザーで一意である必要があります。この値は後で変更できません。ユーザー名にはスペースを使用できず、基本的なラテン文字(ASCII)、数字、ハイフン、ピリオド、アンダースコア、+および@のみで構成できます。
2. 「グループ」で、ユーザーを割り当てるグループを選択します。
「作成」をクリックします。

その後、ユーザーをグループに追加し、リソースへのアクセス権をグループに付与するポリシーを作成できます。ユーザーの詳細は、「ユーザーの管理」を参照してください。

グループ作成

グループは、リソースまたはコンパートメントのセットに対して同じアクセス・タイプを必要とするユーザーのコレクションです。

グループを作成する前に、次のことを理解してください:

グループ名はテナンシ内で一意にする必要があります。
グループ名は作成後に変更できません。
グループには、テナンシまたはコンパートメントにグループ権限を付与する少なくとも1つの権限を自分で書き込むことはできません。

グループを作成するには:

「Oracle Cloudコンソール」ナビゲーション・メニューを開き、「アイデンティティ&セキュリティ」をクリックし、「アイデンティティ」で「ドメイン」をクリックします。
「ドメイン」ページで、「コンパートメント」の選択を確認するか、コンパートメントを変更します。
リストからドメインを選択します。
ドメインの詳細ページで、「ユーザー管理」をクリックします。
「グループ」で、「グループの作成」をクリックします。
「グループの作成」ページで、次の手順を実行します:
1. 「名前」には、グループの一意の名前を入力します。
  
  ノート:
  グループの作成後は、名前を変更できません。グループ名はテナンシ内で一意にする必要があります。グループ名は1から100文字の英数字、大文字または小文字にでき、ピリオド、ダッシュ、ハイフンを含めることができますが、スペースは使用できません
2. 「説明」に、わかりやすい説明を入力します。
このグループに「ユーザーはアクセスをリクエストできます」を設定するかどうかを選択します。
「ユーザー」リストから、このグループに割り当てるユーザーを選択します。
「作成」をクリックします。

グループにコンパートメントまたはテナンシへのアクセス権を付与するポリシーを記述するまで、グループには権限がありません。グループの詳細は、「グループの管理」を参照してください。

ポリシーの作成

ポリシーは、グループのメンバーが実行できるアクションとそのコンパートメントを定義します。

Oracle Cloudコンソールを使用してポリシーを作成します。 Oracle Cloudコンソールのナビゲーション・メニューで、「アイデンティティとセキュリティ」、「アイデンティティ」の順に選択し、「ポリシー」を選択します。ポリシーは次の構文で記述されます:

allow group <identity-domain>/<group-name> to <verb> <resource-type> in <location> where <condition>

パラメータの定義は次のとおりです。

<identity-domain>: (オプション)アイデンティティ管理にOCI IAMを使用している場合は、ユーザー・グループのアイデンティティ・ドメインを含めます。省略した場合、OCIではデフォルト・ドメインが使用されます。
<group-name>: 権限を付与するユーザー・グループの名前
<verb>: リソース・タイプに対する特定のレベルのアクセス権をグループに付与します。動詞がinspectからread、use、manageの順に移動すると、アクセス・レベルが上がり、付与される権限は累積されます。
.権限と動詞の関係についてさらに学習します。
<resource-type>: 操作するためのグループ権限を付与するリソースのタイプ。 goldengate-deployments、goldengate-pipelines、goldengate-connectionsなどの個別のリソースがあり、前述した個々のリソースを含むgoldengate-familyなどのリソース・ファミリがあります。
詳細は、resource-typesを参照してください。
<location>: ポリシーをコンパートメントまたはテナンシにアタッチします。単一のコンパートメントまたはコンパートメント・パスを名前またはOCIDで指定するか、テナンシ全体をカバーするようにtenancyを指定できます。
<condition>: オプション。このポリシーが適用される1つ以上の条件。

「ポリシー構文」の詳細を参照してください。

ポリシーの作成方法

ポリシーを作成するには:

Oracle Cloudのナビゲーション・メニューで、「アイデンティティとセキュリティ」を選択し、「識別」で「ポリシー」をクリックします。
ポリシー・ページで、「ポリシーの作成」をクリックします。
「ポリシーの作成」ページで、ポリシーの名前と説明を入力します。
このポリシーを作成する「コンパートメント」を選択します。
「ポリシー・ビルダー」セクションで、次のいずれかを実行できます
- 「ポリシー・ユース・ケース」ドロップダウンから「GoldenGateサービス」を選択し、共通ポリシー・テンプレート(ユーザーがGoldenGateリソースを管理できるようにするために必要なポリシーなど)を選択します。
- 「手動エディタの表示」をクリックして、次の形式でポリシー・ルールを入力します。
```
allow <subject> to <verb> <resource-type> in <location> where <condition>
```
  条件はオプションです。「動詞とリソース・タイプの組合せの詳細」を参照してください。
ヒント:
詳細は、最小推奨ポリシーを参照してください。
「作成」をクリックします。

ポリシーの詳細は、「ポリシーの仕組み」、「ポリシー構文」および「ポリシー参照」を参照してください。

最小推奨ポリシー

ヒント:

共通ポリシー・テンプレートを使用して必要なすべてのポリシーを追加するには:

「ポリシーのユース・ケース」の場合は、ドロップダウンから「GoldenGateサービス」を選択します。
「一般的な使用テンプレート」の場合は、ドロップダウンから「ユーザーがGoldenGateリソースを管理するために必要なポリシー」を選択します。

少なくとも、次のポリシーが必要です:

ユーザーがデプロイメントおよび接続を操作できるように、useまたはmanage GoldenGateリソースを許可します。たとえば:
```
allow group <identity-domain>/<group-name> to manage goldengate-family in <location>
```
ユーザーは、GoldenGateリソースの作成時にコンパートメントおよびサブネットを表示および選択したり、プライベート・エンドポイントを作成および削除できるように、ネットワーク・リソースをmanageできます。たとえば:
```
allow group <identity-domain>/<group-name> to manage virtual-network-family in <location>
```
オプションで、詳細なポリシーの組み合わせを使用して、ネットワーク・リソースをさらに保護できます。「ネットワーク・リソースをセキュリティ保護するためのポリシーの例」を参照してください。
動的グループの作成: 定義されたルールに基づいてリソースに権限を付与し、GoldenGateデプロイメントまたはパイプライン(あるいはその両方)がテナンシ内のリソースにアクセスできるようにします。 <dynamic-group-name>を任意の名前に置き換えます。動的グループは必要な数だけ作成できます。たとえば、様々なコンパートメントまたはテナンシにわたるデプロイメントの権限を制御できます。
```
name: <dynamic-group-name>
Matching rule: ALL {resource.type = 'goldengatedeployment', resource.compartment.id = '<location>'}
```
ヒント:

このリストに続くポリシーは、<dynamic-group-name>を参照します。複数の動的グループを作成する場合は、後続のポリシーを追加するときに、正しい動的グループ名を参照していることを確認してください。
パスワード・シークレットとの接続を使用する場合、接続に割り当てているデプロイメントは、接続のパスワード・シークレットにアクセスできる必要があります。ポリシーをコンパートメントまたはテナンシに追加してください:
```
allow dynamic-group <identity-domain>/<dynamic-group-name> to read secret-bundles in <location>
```

ユーザーがIdentity and Access Management (IAM)ユーザーおよびグループのIAM対応テナンシでの検証の読取りを許可します:

allow service goldengate to {idcs_user_viewer, domain_resources_viewer} in <location>

allow dynamic-group <identity-domain>/<dynamic-group-name> to {idcs_user_viewer, domain_resources_viewer} in <location>

Oracle Vaultで顧客管理暗号化キーとパスワード・シークレットにアクセスします。たとえば:

allow group <identity-domain>/<group-name> to manage secret-family in <location>
allow group <identity-domain>/<group-name> to use keys in <location>
allow group <identity-domain>/<group-name> to use vaults in <location>
allow dynamic-group <identity-domain>/<dynamic-group-name> to use keys in <location>
allow dynamic-group <identity-domain>/<dynamic-group-name> to use vaults in <location> 
allow dynamic-group <identity-domain>/<dynamic-group-name> to read secret-bundles in <location>

次のサービスを使用するかどうかに応じて、次のポリシーの追加が必要になる場合があります:

Oracle Databases:ソース・データベースまたはターゲット・データベース(あるいはその両方)。たとえば:

allow group <identity-domain>/<group-name> to read database-family in <location>

allow group <identity-domain>/<group-name> to read autonomous-database-family in <location>

手動およびスケジュールされたOCI GoldenGateバックアップを格納するためのOracle Object Storage。たとえば:

allow group <identity-domain>/<group-name> to manage objects in <location>
allow dynamic-group <identity-domain>/<dynamic-group-name> to manage objects in <location> where target.bucket.name = '<bucket-name>'
allow group <identity-domain>/<group-name> to inspect buckets in <location>

OCIロギング:ログ・グループにアクセスします。たとえば:

allow group <identity-domain>/<group-name> to read log-groups in <location>
allow group <identity-domain>/<group-name> to read log-content in <location>

Load Balancer:デプロイメント・コンソールへのパブリック・アクセスを有効にする場合:

allow group <identity-domain>/<group-name> to manage load-balancers in <location>
allow group <identity-domain>/<group-name> to manage public-ips in <location> 
 
allow group <identity-domain>/<group-name> to manage network-security-groups in <location>
allow group <identity-domain>/<group-name> to manage vcns in <location> where ANY {request.operation = 'CreateNetworkSecurityGroup', request.operation = 'DeleteNetworkSecurityGroup'}

作業リクエスト:

allow group <identity-domain>/<group-name> to inspect work-requests in <location>

Zero Trust Packet Routing (ZPR)。接続およびパブリック・デプロイメントへのアクセスを制御するためにVCNまたはロード・バランサ(あるいはその両方)にセキュリティ属性を追加した場合にのみ必要です。ロード・バランサとプライベート・エンドポイント間のロード・バランサおよびトラフィック・フローへのパブリック・インターネット・トラフィックを許可するには、次のポリシーを追加します:
- VCNとロード・バランサの両方にセキュリティ属性が追加された場合:
```
in <vcn-sa-key>:<vcn-sa-value> VCN allow <lb-sa-key>:<lb-sa-value> endpoints to connect to <pe-sa-key>:<pe-sa-value> endpoints
in <vcn-sa-key>:<vcn-sa-value> VCN allow all-endpoints to connect to <lb-sa-key>:<lb-sa-value> endpoints
```
- セキュリティ属性がロード・バランサではなくVCNに対してのみ追加され、ロード・バランサがCIDR 10.0.1.0/24を持つパブリック・サブネット内にある場合:
```
in <vcn-sa-key>:<vcn-sa-value> VCN allow '10.0.1.0/24' to connect to <pe-sa-key>:<pe-sa-value> endpoints
```
ノート:
専用接続やプライベート・デプロイメントなどの他のリソースの場合、作成されたプライベート・エンドポイントにセキュリティ属性が追加されます。ロード・バランサはプライベート・デプロイメントではデフォルトでは作成されないため、前述のZPR例は適用されません。この場合、ZPRはプライベート・エンドポイントを保護するため、ZPRポリシーが必要な場合があります。正確なポリシーは、ユースケースによって異なります。

ZPRポリシー構文についてさらに学習します。

次の文は、ワークスペースのタグ・ネームスペースおよびタグを管理する権限をグループに付与します:

allow group <identity-domain>/<group-name> to manage tag-namespaces in <location>

定義済のタグを追加するには、タグ・ネームスペースを使用する権限が必要です。タグ付けの詳細は、「リソース・タグ」を参照してください。

ポリシーの詳細とその他の例については、「OCI GoldenGateポリシー」を参照してください。

タイトルおよび著作権情報

Oracle and/or its affiliates.