Preparación de su arrendamiento

Antes de instalar Compute Cloud@Customer, su arrendamiento debe estar configurado para utilizar un proveedor de identidad federado para gestionar la autenticación.

Cuando Oracle instala Compute Cloud@Customer, Oracle configura la infraestructura de Compute Cloud@Customer para utilizar el mismo proveedor de identidad federado. Esto le permite utilizar las mismas credenciales para acceder a Oracle Cloud Infrastructure y Compute Cloud@Customer.

Si su arrendamiento ya está configurado para utilizar un proveedor de identidad federado, incluido Identity Cloud Service de Oracle, todo estará definido. Comparta la información de identidad federada con su representante de Oracle. De lo contrario, trabaje con su representante de Oracle para establecer un proveedor de identidad federado.

Puede utilizar un proveedor de identidad externo u Oracle Identity Cloud Service. El tipo de proveedor de identidad que puede utilizar depende del tipo de arrendamiento que tenga (un arrendamiento con dominios de identidad de IAM o sin dominios de identidad de IAM).

Para obtener más información, consulte estos recursos:

• Determinación del tipo de arrendamiento
• Arrendamientos con dominios de identidad: federación con proveedores de identidad
• Arrendamientos sin dominios de identidad: federación con proveedores de identidad

Para obtener información sobre la protección de la federación de IAM, consulte Federación de IAM.

Para preparar su arrendamiento de Oracle Cloud Infrastructure, identifique usuarios y cree grupos para las personas de su organización que administran la infraestructura de Compute Cloud@Customer.

Realice esta tarea antes de conectar Compute Cloud@Customer a Oracle Cloud Infrastructure.

Para obtener más información sobre cómo agregar usuarios y grupos, consulte Gestión Oracle Identity Cloud Service en la consola de Oracle Cloud Infrastructure.

1. Identifique el administrador del arrendamiento.

2. Cree al menos un grupo con usuarios que puedan realizar estas tareas administrativas:

   • Cree, actualice y suprima infraestructuras de Compute Cloud@Customer.
   • Cree, actualice y suprima programas de actualización de Compute Cloud@Customer.
   • Ejecute el proceso de registro basado en certificados que establece la conexión segura de la infraestructura a su arrendamiento. Le recomendamos que cree un grupo específico para esta tarea administrativa y que solo otorgue permisos limitados para realizar esta tarea.

Los grupos se incluyen en las políticas que defina más adelante. Consulte Agregar políticas necesarias.

Cuando Compute Cloud@Customer está conectado a Oracle Cloud Infrastructure, se necesitan uno o más compartimentos.

Un compartimento es una recopilación de recursos relacionados. Los compartimentos son un componente fundamental de Oracle Cloud Infrastructure para la organización y el aislamiento de sus recursos en la nube. Se utilizan para separar recursos con el fin de controlar el acceso (mediante políticas) y el aislamiento (separación de los recursos de un proyecto o unidad de negocio de otros).

Para Compute Cloud@Customer, se necesita al menos un compartimento para los siguientes elementos:

• Conexión de infraestructura de Compute Cloud@Customer a Oracle Cloud Infrastructure.
• La VCN que finalmente creó para la conexión a Oracle Cloud Infrastructure.

Compute Cloud@Customer se puede conectar a su arrendamiento (compartimento raíz), a un compartimento existente o a un nuevo compartimento. Puede utilizar varios compartimentos. Por ejemplo, puede utilizar un compartimento para la conexión de infraestructura y otro para la VCN.

1. Cree o seleccione un compartimento según cómo utilice los compartimentos para controlar el acceso a los recursos.

   Si tiene previsto crear un nuevo compartimento, conéctese a OCI y utilice la consola de Oracle Cloud, o bien utilice la CLI de OCI o la API de OCI para crear el compartimento en su arrendamiento.

   Nota
   
   

   Los compartimentos utilizados para Compute Cloud@Customer, incluidos los compartimentos para la instalación, se crean y gestionan en OCI. Los compartimentos no se gestionan en la infraestructura de Compute Cloud@Customer. Todos los compartimentos del arrendamiento se sincronizan automáticamente con la infraestructura de Compute Cloud@Customer, cada diez minutos aproximadamente.

   Para obtener una introducción a los compartimentos y para obtener instrucciones sobre la gestión de compartimentos, consulte Gestión de compartimentos.

Se deben configurar determinadas políticas de IAM antes de que Compute Cloud@Customer esté conectado a su arrendamiento.

1. Configure las siguientes políticas en su arrendamiento.

   Para obtener información sobre cómo trabajar con políticas, consulte Gestión de políticas.

   Si su arrendamiento soporta dominios de identidad, puede crear políticas que especifiquen el grupo dinámico. Para determinar si su arrendamiento tiene dominios de identidad o no, consulte Determinación del tipo de arrendamiento.

   Nota
   
   

   Se pueden crear diferentes sentencias de política para lograr el mismo nivel de acceso a los recursos. La siguiente lista de políticas proporciona ejemplos. Puede utilizar el ejemplo o crear variaciones de política, siempre que las políticas permitan el acceso al usuario o grupo correcto para el recurso concreto.

   Política 1: permite a los usuarios crear, leer, actualizar y suprimir infraestructuras de Compute Cloud@Customer y programas de actualización.

   Importante
   
   Especifique un grupo de IAM que solo incluya los usuarios que necesitan permisos para gestionar infraestructuras y programas de cambio de versión. La administración de estos recursos es fundamental para la funcionalidad de Compute Cloud@Customer y no se debe permitir a usuarios no autorizados.

   Ejemplo de política para IAM con o sin dominios de identidad:

   allow group <group_name> to manage ccc-family in tenancy

   Política 2: permite a Compute Cloud@Customer utilizar los datos de IAM para la gestión de identidad y acceso en los recursos de Compute Cloud@Customer.

   Ejemplo de política para IAM con o sin dominios de identidad:

   allow any-user to {COMPARTMENT_INSPECT, USER_INSPECT, GROUP_INSPECT, DYNAMIC_GROUP_INSPECT, POLICY_READ, TAG_NAMESPACE_INSPECT, USER_READ, TAG_DEFAULT_INSPECT, TAG_NAMESPACE_READ, DOMAIN_READ, DOMAIN_INSPECT } in tenancy where all { request.principal.id='<ccc-infrastructure_OCID>', request.principal.type='cccinfrastructure' }

   Ejemplo de política para IAM con dominios de identidad:

   allow dynamic-group <dynamic-group> to {COMPARTMENT_INSPECT, USER_INSPECT, GROUP_INSPECT, DYNAMIC_GROUP_INSPECT, POLICY_READ, TAG_NAMESPACE_INSPECT, USER_READ, TAG_DEFAULT_INSPECT, TAG_NAMESPACE_READ, DOMAIN_READ, DOMAIN_INSPECT} in tenancy

   Política 3: permite al servicio de infraestructura Compute Cloud@Customer enviarle notificaciones sobre actualizaciones.

   Para obtener más información sobre las notificaciones de cambio de versión y cómo suscribirse para recibirlas, consulte Suscripción a notificaciones de cambio de versión.

   Los siguientes ejemplos muestran políticas para IAM con o sin dominios de identidad:

   allow any-user to manage ons-topics in tenancy where request.principal.type ='cccinfrastructurenotifier'

   La política se puede modificar para restringir el acceso al compartimento raíz, como se muestra en el siguiente ejemplo:

   allow any-user to manage ons-topics in tenancy where all {request.principal.type='cccinfrastructurenotifier', target.compartment.name = 'root_compartment' }

   Si restringe el acceso a un compartimento, debe ser al compartimento raíz (arrendamiento).

   Política 4: permite a un usuario del grupo especificado iniciar el proceso de registro que permite a la infraestructura comunicarse con su arrendamiento de OCI.

   Nota
   
   

   No especifique un grupo de administradores normal. En su lugar, cree un grupo con un usuario cuya única finalidad sea ejecutar el proceso de registro.

   Para obtener más información, consulte Conexión de una infraestructura de Compute Cloud@Customer a OCI.

   Los siguientes ejemplos de políticas son para IAM con o sin dominios de identidad.

   En este ejemplo se define la política en el nivel de arrendamiento:

   allow group <group_name> to { CCC_CERTIFICATE_REGISTER } in tenancy

   En este ejemplo se define la política en el nivel de compartimento. El compartimento debe ser el compartimento asociado a la infraestructura:

   allow group <group_name> to { CCC_CERTIFICATE_REGISTER } in compartment '<compartment_name>'

Para obtener información sobre las políticas de Compute Cloud@Customer que puede utilizar para controlar el acceso a la infraestructura de Compute Cloud@Customer y las operaciones de programación de cambio de versión, consulte Referencia de políticas de Compute Cloud@Customer.

Antes de conectar Compute Cloud@Customer a su arrendamiento, cree una VCN con una subred en el arrendamiento.