Account- und Zugriffskonzepte
Machen Sie sich zunächst mit diesen Komponenten von OCI vertraut.
Mandant
Wenn Sie sich für Oracle Cloud-Services registrieren oder diese abonnieren, erstellt Oracle einen Mandanten für Sie. Sie können sich den Mandanten als Ihren Account vorstellen. Er ist aber auch eine sichere und isolierte Partition innerhalb von Oracle Cloud Infrastructure, in der Sie Ihre Cloud-Ressourcen erstellen, organisieren und verwalten können. Bei der Registrierung wird Ihr Mandant in Ihrer Hauptregion erstellt. Sie können jedoch beliebig viele Regionen für den Mandanten abonnieren. Große Unternehmen können über mehrere Mandanten verfügen. Siehe Mandantenverwaltung.
Mit Compartments können Sie den Zugriff auf Ihre Cloud-Ressourcen organisieren und kontrollieren. Ein Compartment ist eine Sammlung aus zusammengehörigen Ressourcen (wie Instanzen, virtuelle Cloud-Netzwerke, Block-Volumes), auf die nur von bestimmten Gruppen zugegriffen werden kann, denen ein Administrator die Berechtigung erteilt hat. Ein Compartment sollte als logische Gruppe und nicht als physischer Container betrachtet werden. Wenn Sie mit Ressourcen in der Konsole arbeiten, fungiert das Compartment als Filter für die Anzeige.
Wenn Sie sich für Oracle Cloud Infrastructure registrieren, erstellt Oracle Ihren Mandanten. Das ist das Root Compartment, das alle Cloud-Ressourcen enthält. Danach erstellen Sie zusätzliche Compartments innerhalb des Mandanten (Root Compartments) und entsprechende Policys, um den Zugriff auf die Ressourcen in jedem Compartment zu kontrollieren. Wenn Sie eine Cloud-Ressource wie eine Instanz, ein Block-Volume oder ein Cloud-Netzwerk erstellen, müssen Sie angeben, zu welchem Compartment die Ressource gehören soll.
Letztendlich muss sichergestellt werden, dass jede Person nur auf die benötigten Ressourcen zugreifen kann.
Eine Identitätsdomain ist ein Container für die Verwaltung von Benutzern und Rollen, die Föderation und das Provisioning von Benutzern, die sichere Anwendungsintegration über Oracle Single Sign-On-(SSO-)Konfiguration und die OAuth-Administration. Sie stellt eine Benutzerpopulation in Oracle Cloud Infrastructure und die zugehörigen Konfigurationen und Sicherheitseinstellungen (wie MFA) dar. Siehe Überblick über IAM.
Eine Policy ist ein Dokument, das angibt, wer wie auf welche Ressourcen zugreifen kann. Sie können Policys schreiben, um den Zugriff auf alle Services in Oracle Cloud Infrastructure zu kontrollieren. Der Zugriff wird auf Gruppen- und Compartment-Ebene erteilt. Sie können also eine Policy schreiben, die einer Gruppe einen bestimmten Zugriffstyp innerhalb eines bestimmten Compartments oder dem Mandanten selbst gibt. Wenn Sie einer Gruppe Zugriff auf den Mandanten erteilen, erhält die Gruppe automatisch denselben Zugriffstyp für alle Compartments innerhalb des Mandanten. Weitere Informationen finden Sie unter Beispielszenario und Überblick über IAM-Policys.
OCID
Jede Oracle Cloud Infrastructure-Ressource besitzt eine von Oracle zugewiesene eindeutige ID, die als Oracle Cloud-ID (OCID) bezeichnet wird. Diese ID ist Teil der Ressourceninformationen in der Konsole und API.
Einzelheiten zur Syntax einer OCID finden Sie unter Ressourcen-IDs.
Mit Sicherheitszonen können Sie sicher sein, dass Compute, Networking, Object Storage, Database und andere Ressourcen den Sicherheitsrichtlinien und Best Practices von Oracle entsprechen. Eine Sicherheitszone ist mit mindestens einem Compartment und einem Sicherheitszonenrezept verknüpft. Wenn Sie Ressourcen in einer Sicherheitszone erstellen und aktualisieren, validiert Oracle Cloud Infrastructure diese Vorgänge anhand der Policys im Rezept der Sicherheitszone. Wenn eine Sicherheitszonen-Policy verletzt wird, wird der Vorgang abgelehnt. Weitere Informationen finden Sie unter Überblick über Sicherheitszonen.