Oracle Cloud Infrastructure - Dokumentation

Best Practices zum Einrichten Ihres Mandanten

Nachdem Oracle Ihren Mandanten in Oracle Cloud Infrastructure erstellt hat, muss ein Administrator in Ihrem Unternehmen einige Einrichtungsaufgaben ausführen und einen Organisationsplan für Ihre Cloud-Ressourcen und Benutzer einrichten. Die Informationen in diesem Thema erleichtern Ihnen den Einstieg.

Tipp

Um einigen Benutzern schnell Zugriff zu ermöglichen, während Sie sich noch in der Planungsphase befinden, lesen Sie Benutzer hinzufügen.

Weitere Informationen zum Verwalten Ihrer Mandanten finden Sie unter Mandantenverwaltung.

Plan erstellen

Bevor Sie Benutzer und Ressourcen hinzufügen, sollten Sie einen Plan für Ihren Mandanten erstellen. Machen Sie sich unbedingt mit den Komponenten von Oracle Cloud Infrastructure Identity and Access Management (IAM) vertraut, bevor Sie den Plan erstellen. Stellen Sie sicher, dass Sie die Features von IAM durchgelesen und verstanden haben. Weitere Informationen finden Sie unter Überblick über Identity and Access Management.

Ihr Plan muss die Compartment-Hierarchie enthalten, um Ihre Ressourcen und die Definitionen der Benutzergruppen zu organisieren, die auf die Ressourcen zugreifen müssen. Diese beiden Aspekte wirken sich darauf aus, wie Sie Policys schreiben, um den Zugriff zu verwalten, und sollten daher zusammen berücksichtigt werden.

Verwenden Sie die folgenden Themen, um Ihnen die ersten Schritte mit Ihrem Plan zu erleichtern:

Compartments

Compartments sind die primären Bausteine, mit denen Sie Ihre Cloud-Ressourcen organisieren. Mit Compartments organisieren und isolieren Sie Ihre Ressourcen, damit Sie den Zugriff auf diese einfacher verwalten und sichern können.

Wenn Ihr Mandant bereitgestellt ist, wird ein Root Compartment für Sie erstellt (wobei Ihr Mandant Ihr Root Compartment darstellt). Ihr Root Compartment enthält alle Ihre Cloud-Ressourcen. Sie können sich das Root Compartment wie einen Root-Ordner in einem Dateisystem vorstellen.

Wenn Sie sich das erste Mal in der Konsole anmelden und einen Service auswählen, sehen Sie Ihr Root Compartment.

Konsole, die das Root Compartment anzeigt

Sie können Compartments unter Ihrem Root Compartment erstellen, um Ihre Cloud-Ressourcen entsprechend Ihren Ressourcenverwaltungszielen zu organisieren. Beim Erstellen von Compartments kontrollieren Sie den Zugriff auf diese, indem Sie Policys erstellen, die angeben, welche Aktionen Benutzergruppen für die Ressourcen in diesen Compartments durchführen können.

Beachten Sie Folgendes, wenn Sie mit der Arbeit mit Compartments beginnen:

  • Beim Erstellen einer Ressource (Beispiel: Instanz, Blockspeicher-Volume, VCN, Subnetz) müssen Sie entscheiden, in welchem Compartment die Ressource abgelegt werden soll.
  • Compartments sind logisch, nicht physisch, sodass zusammengehörige Ressourcenkomponenten in unterschiedlichen Compartments abgelegt werden können. Beispiel: Die Subnetze Ihre Cloud-Netzwerks mit Zugriff auf ein Internetgateway können in einem separaten Compartment von anderen Subnetzen in demselben Cloud-Netzwerk gesichert werden.
  • Sie können eine Hierarchie von Compartments mit bis zu sechs Ebenen unter dem Mandanten (Root Compartment) erstellen.
  • Wenn Sie eine Policy-Regel schreiben, um einer Gruppe von Benutzern Zugriff auf eine Ressource zu erteilen, geben Sie immer das Compartment an, auf das die Zugriffsregel angewendet werden soll. Wenn Sie also Ressourcen über Compartments hinweg verteilen, müssen Sie unbedingt die entsprechenden Berechtigungen für jedes Compartment für die Benutzer angeben, die Zugriff auf diese Ressourcen benötigen.
  • Die Compartments in der Konsole ähneln einem Filter zur Anzeige von Ressourcen. Wenn Sie ein Compartment auswählen, werden nur die Ressourcen angezeigt, die im ausgewählten Compartment enthalten sind. Um Ressourcen in einem anderen Compartment anzuzeigen, müssen Sie zuerst dieses Compartment auswählen. Mit der Suchfunktion können Sie eine Liste der Ressourcen über mehrere Compartments hinweg abrufen. Siehe Überblick über Search.
  • Mit dem Mandanten-Explorer können Sie eine vollständige Ansicht aller Ressourcen (in allen Regionen) erhalten, die sich in einem bestimmten Compartment befinden. Siehe Alle Ressourcen in einem Compartment anzeigen.
  • Wenn Sie ein Compartment löschen möchten, müssen Sie zuerst alle Ressourcen im Compartment löschen.
  • Zu guter Letzt sollten Sie bei der Planung von Compartments überlegen, wie Nutzungs- und Auditdaten aggregiert werden sollen.

Überlegen, wer Zugriff auf welche Ressourcen haben soll

Ein weiterer primärer Aspekt bei der Planung des Setups Ihres Mandanten ist, wer Zugriff auf welche Ressourcen erhalten soll. Indem Sie definieren, wie verschiedene Benutzergruppen auf die Ressourcen zugreifen müssen, können Sie die Organisation Ihrer Ressourcen effizient planen und Ihre Zugriffs-Policys einfacher schreiben und verwalten.

Beispiel:

  • Einige Benutzer müssen die Konsole anzeigen, dürfen aber keine Ressourcen bearbeiten oder erstellen.
  • Einige Benutzer müssen spezifische Ressourcen über mehrere Compartments hinweg erstellen und aktualisieren (z.B. Netzwerkadministratoren, die Ihre Cloud-Netzwerke und Subnetze verwalten müssen).
  • Einige Benutzer müssen Instanzen und Block-Volumes starten und verwalten, dürfen jedoch keinen Zugriff auf Ihr Cloud-Netzwerk erhalten.
  • Einige Benutzer benötigen volle Berechtigungen für alle Ressourcen, jedoch nur in einem bestimmten Compartment.
  • Einige Benutzer müssen die Berechtigungen und Zugangsdaten anderer Benutzer verwalten.

Beispiel-Policys finden Sie unter Allgemeine Policys.

Beispielansätze für die Einrichtung von Compartments

Alle Ressourcen im Mandanten (Root Compartment) ablegen

Wenn Ihre Organisation klein ist oder Sie sich noch in der Proof-of-Concept-Phase bei der Beurteilung von Oracle Cloud Infrastructure befinden, können Sie alle Ressourcen im Root Compartment (Mandanten) platzieren. Auf diese Weise können Sie alle Ressourcen schnell anzeigen und verwalten. Sie können weiterhin Policys schreiben und Gruppen erstellen, um die Berechtigungen für bestimmte Ressourcen nur den Benutzern zu erteilen, die Zugriff benötigen.

Allgemeine Aufgaben beim Einrichten des Einzel-Compartment-Ansatzes:

  1. (Best Practice) Erstellen Sie ein Sandbox Compartment. Auch wenn Sie Ihre Ressourcen im Root Compartment beibehalten möchten, empfiehlt Oracle, dass Sie ein Sandbox Compartment einrichten, damit Benutzer einen dedizierten Bereich zum Ausprobieren von Features erhalten. Im Sandbox Compartment können Sie Benutzern Berechtigungen zum Erstellen und Verwalten von Ressourcen erteilen, während Sie strengere Berechtigungen für die Ressourcen im Mandanten-Compartment (Root) verwenden. Siehe Sandbox Compartment erstellen.
  2. Erstellen Sie Gruppen und Policys. Siehe Allgemeine Policys.
  3. Fügen Sie Benutzer hinzu. Siehe Benutzer verwalten.

Compartments entsprechend Ihren Unternehmensprojekten erstellen

Dieser Ansatz kann sich anbieten, wenn Ihr Unternehmen mehrere Abteilungen hat, die Sie separat verwalten möchten, oder wenn Ihr Unternehmen mehrere eindeutige Projekte verfolgt, die separat verwaltet werden sollten.

Bei diesem Ansatz können Sie eine dedizierte Administratorengruppe für jedes Compartment (Projekt) hinzufügen, die die Zugriffs-Policys für dieses Projekt festlegen kann. (Benutzer und Gruppen müssen weiterhin auf Mandantenebene hinzugefügt werden.) Sie können einer Gruppe die Kontrolle über alle ihre Ressourcen erteilen, ihr dabei aber keine Administratorberechtigungen für das Root Compartment oder andere Projekte gewähren. Auf diese Weise können Sie es verschiedenen Gruppen in Ihrem Unternehmen ermöglichen, ihre eigenen "Sub-Clouds" für ihre eigenen Ressourcen einzurichten und diese unabhängig zu verwalten.

Allgemeine Aufgaben beim Einrichten des Ansatzes für mehrere Projekte:

  1. Erstellen Sie ein Sandbox Compartment. Oracle empfiehlt, dass Sie ein Sandbox Compartment einrichten, damit Sie Benutzern einen dedizierten Speicherplatz zum Ausprobieren von Features geben können. Im Sandbox Compartment können Sie Benutzern Berechtigungen zum Erstellen und Verwalten von Ressourcen erteilen, während Sie strengere Berechtigungen für die Ressourcen im Mandanten-Compartment (Root) verwenden.
  2. Erstellen Sie ein Compartment für jedes Projekt, z.B. ProjectA, ProjectB.
  3. Erstellen Sie eine Administratorengruppe für jedes Projekt, z.B. ProjectA_Admins.

  4. Erstellen Sie eine Policy für jede Administratorengruppe.

    Beispiel: 
    Allow group ProjectA_Admins to manage all-resources in compartment ProjectA)
  5. Fügen Sie Benutzer hinzu. Siehe Benutzer verwalten.
  6. Lassen Sie zu, dass die Administratoren für ProjectA und ProjectB Sub-Compartments in ihrem eigenen Compartment zur Verwaltung von Ressourcen erstellen.
  7. Lassen Sie zu, dass die Administratoren für ProjectA und ProjectB die Policys erstellen, um den Zugriff auf ihre Compartments zu verwalten.

Compartments zur Anpassung an Ihre Sicherheitsanforderungen erstellen

Erwägen Sie diesen Ansatz, wenn Ihr Unternehmen Projekte oder Anwendungen hat, die unterschiedliche Sicherheitsstufen erfordern.

Eine Sicherheitszone ist mit einem Compartment und einem Sicherheitszonenrezept verknüpft. Wenn Sie Ressourcen in einer Sicherheitszone erstellen und aktualisieren, validiert Oracle Cloud Infrastructure diese Vorgänge anhand der Policys im Rezept der Sicherheitszone. Wenn eine Sicherheitszonen-Policy verletzt wird, wird der Vorgang abgelehnt. Standardmäßig befinden sich alle Sub-Compartments in derselben Sicherheitszone.

Sicherheitszonen-Policys sind an Oracle-Sicherheitsgrundsätzen ausgerichtet, einschließlich:

  • Daten in einer Sicherheitszone können nicht in ein Compartment außerhalb der Zone kopiert werden, da dieses möglicherweise weniger sicher ist.
  • Ressourcen in einer Sicherheitszone dürfen nicht über das öffentliche Internet zugänglich sein.
  • Ressourcen in einer Sicherheitszone dürfen nur Konfigurationen und Vorlagen verwenden, die von Oracle genehmigt wurden.

Bei diesem Ansatz erstellen Sie Compartments und Sicherheitszonen für Projekte, die unserer Architektur und unseren Best Practices für maximale Sicherheit entsprechen müssen. Für Projekte, bei denen die Complianceanforderungen diese Sicherheitsstufe nicht erfordern, erstellen Sie Compartments, die sich nicht in Sicherheitszonen befinden. Sie können auch benutzerdefinierte Rezepte für Ihre Sicherheitszonen erstellen, die nur eine Teilmenge der verfügbaren Policys aktivieren.

Ähnlich dem vorherigen Ansatz können Sie für jedes Compartment eine dedizierte Administratorgruppe hinzufügen, die dann die Zugriffs-Policys für dieses einzelne Projekt festlegen kann.

  • Zugriffs-(IAM-)Policys ermöglichen es Benutzern, bestimmte Ressourcen in einem Compartment zu verwalten.
  • Sicherheitszonen-Policys stellen sicher, dass Managementvorgänge in einem Sicherheitszonen-Compartment den Best Practices von Oracle hinsichtlich der Sicherheit entsprechen.
Hinweis

Um die Integrität Ihrer Daten sicherzustellen, können Sie bestimmte Ressourcen nicht aus einem Compartment in einer Sicherheitszone in ein Compartment außerhalb einer Sicherheitszone verschieben.

Weitere Informationen finden Sie unter Überblick über Sicherheitszonen.