Préparation de votre location

Avant l'installation de Compute Cloud@Customer, votre location doit être configurée pour utiliser un fournisseur d'identités fédéré afin de gérer l'authentification.

Lorsqu'Oracle installe Compute Cloud@Customer, Oracle configure l'infrastructure Compute Cloud@Customer pour utiliser le même fournisseur d'identités fédérées. Vous pouvez ainsi utiliser les mêmes données d'identification pour accéder à Oracle Cloud Infrastructure et à Compute Cloud@Customer.

Si votre location est déjà configurée pour utiliser un fournisseur d'identités fédéré, y compris le service Identity Cloud Service d'Oracle, vous êtes tous définis. Partagez vos informations d'identité fédérée avec votre représentant Oracle. Sinon, communiquez avec votre représentant Oracle pour établir un fournisseur d'identités fédéré.

Vous pouvez utiliser un fournisseur d'identités externe ou Oracle Identity Cloud Service. Le type de fournisseur d'identités que vous pouvez utiliser dépend du type de location que vous avez (une location avec des domaines d'identité IAM ou sans domaines d'identité IAM).

Pour plus d'informations, consultez les ressources suivantes :

• Détermination du type de location
• Locations avec des domaines d'identité - Fédération à l'aide des fournisseurs d'identités
• Locations sans domaines d'identité – Fédération avec les fournisseurs d'identités

Pour plus d'informations sur la sécurisation de la fédération IAM, voir Fédération IAM.

Pour préparer votre location Oracle Cloud Infrastructure, identifiez les utilisateurs et créez des groupes pour les personnes de votre organisation qui administrent l'infrastructure Compute Cloud@Customer.

Effectuez cette tâche avant de connecter Compute Cloud@Customer à Oracle Cloud Infrastructure.

Pour plus d'informations sur l'ajout d'utilisateurs et de groupes, voir Gestion des utilisateurs et des groupes Oracle Identity Cloud Service dans la console Oracle Cloud Infrastructure.

1. Identifiez l'administrateur de votre location.

2. Créez au moins un groupe avec des utilisateurs qui peuvent effectuer les tâches d'administration suivantes :

   • Créer, mettre à jour et supprimer des infrastructures Compute Cloud@Customer.
   • Créer, mettre à jour et supprimer les programmes de mise à niveau de Compute Cloud@Customer.
   • Exécutez le processus d'enregistrement basé sur un certificat qui établit la connexion sécurisée de l'infrastructure à votre location. Nous vous recommandons de créer un groupe spécifique pour cette tâche d'administration et d'accorder uniquement des autorisations limitées à l'exécution de cette tâche.

Les groupes sont inclus dans les politiques que vous définissez ultérieurement. Voir Ajouter les politiques requises.

Lorsque Compute Cloud@Customer est connecté à Oracle Cloud Infrastructure, un ou plusieurs compartiments sont nécessaires.

Un compartiment est une collection de ressources connexes. Les compartiments sont des composants essentiels d'Oracle Cloud Infrastructure qui permettent d'organiser et d'isoler vos ressources en nuage. Vous les utilisez pour séparer les ressources aux fins de contrôle d'accès (à l'aide de politiques) et d'isolement (en séparant les ressources d'un projet ou d'une unité d'affaires).

Pour Compute Cloud@Customer, au moins un compartiment est nécessaire pour les éléments suivants :

• Connexion de l'infrastructure Compute Cloud@Customer à Oracle Cloud Infrastructure.
• Le VCN que vous avez finalement créé pour la connexion à Oracle Cloud Infrastructure.

Compute Cloud@Customer peut être connecté à votre location (compartiment racine), à un compartiment existant ou à un nouveau compartiment. Vous pouvez utiliser plusieurs compartiments. Par exemple, vous pouvez utiliser un compartiment pour la connexion à l'infrastructure et un autre pour le VCN.

1. Créez ou sélectionnez un compartiment en fonction de la façon dont vous utilisez les compartiments pour contrôler l'accès aux ressources.

   Si vous prévoyez de créer un nouveau compartiment, connectez-vous à OCI et utilisez la console Oracle Cloud, ou utilisez l'interface de ligne de commande ou l'API pour créer le compartiment dans votre location.

   Note
   
   

   Les compartiments utilisés pour Compute Cloud@Customer, y compris les compartiments pour l'installation, sont créés et gérés dans OCI. Les compartiments ne sont pas gérés dans l'infrastructure Compute Cloud@Customer. Tous les compartiments de la location sont automatiquement synchronisés avec l'infrastructure Compute Cloud@Customer, toutes les dix minutes environ.

   Pour une présentation des compartiments et pour obtenir des instructions sur la gestion des compartiments, voir Gestion des compartiments.

Certaines politiques IAM doivent être configurées avant que Compute Cloud@Customer ne soit connecté à votre location.

1. Configurez les politiques suivantes dans votre location.

   Pour plus d'informations sur l'utilisation des politiques, voir Gestion des politiques.

   Si votre location prend en charge les domaines d'identité, vous pouvez créer des politiques qui spécifient le groupe dynamique. Pour déterminer si votre location a des domaines d'identité ou non, voir Détermination du type de location.

   Note
   
   

   Différents énoncés de politique peuvent être construits pour atteindre le même niveau d'accès aux ressources. La liste suivante de politiques fournit des exemples. Vous pouvez utiliser l'exemple ou créer des variations de politique, à condition que les politiques autorisent l'accès à l'utilisateur ou au groupe approprié pour la ressource particulière.

   Politique 1 – Permet aux utilisateurs de créer, lire, mettre à jour et supprimer des infrastructures Compute Cloud@Customer et des programmes de mise à niveau.

   Important
   
   Spécifiez un groupe IAM qui inclut uniquement les utilisateurs qui ont besoin d'autorisations pour gérer les infrastructures et les programmes de mise à niveau. L'administration de ces ressources est essentielle à la fonctionnalité Compute Cloud@Customer et ne doit pas être autorisée pour des utilisateurs non autorisés.

   Exemple de politique pour le service IAM avec ou sans domaines d'identité :

   allow group <group_name> to manage ccc-family in tenancy

   Politique 2 – Permet à Compute Cloud@Customer d'utiliser vos données IAM pour la gestion des identités et des accès sur les ressources Compute Cloud@Customer.

   Exemple de politique pour le service IAM avec ou sans domaines d'identité :

   allow any-user to {COMPARTMENT_INSPECT, USER_INSPECT, GROUP_INSPECT, DYNAMIC_GROUP_INSPECT, POLICY_READ, TAG_NAMESPACE_INSPECT, USER_READ, TAG_DEFAULT_INSPECT, TAG_NAMESPACE_READ, DOMAIN_READ, DOMAIN_INSPECT } in tenancy where all { request.principal.id='<ccc-infrastructure_OCID>', request.principal.type='cccinfrastructure' }

   Exemple de politique pour le service IAM avec des domaines d'identité :

   allow dynamic-group <dynamic-group> to {COMPARTMENT_INSPECT, USER_INSPECT, GROUP_INSPECT, DYNAMIC_GROUP_INSPECT, POLICY_READ, TAG_NAMESPACE_INSPECT, USER_READ, TAG_DEFAULT_INSPECT, TAG_NAMESPACE_READ, DOMAIN_READ, DOMAIN_INSPECT} in tenancy

   Politique 3 – Permet au service d'infrastructure Compute Cloud@Customer de vous envoyer des avis sur les mises à niveau.

   Pour plus d'informations sur les avis de mise à niveau et sur la façon de s'abonner pour les recevoir, voir Abonnement aux avis de mise à niveau.

   Les exemples suivants présentent des politiques pour le service IAM avec ou sans domaines d'identité :

   allow any-user to manage ons-topics in tenancy where request.principal.type ='cccinfrastructurenotifier'

   Vous pouvez modifier la politique pour restreindre l'accès au compartiment racine, comme illustré dans l'exemple suivant :

   allow any-user to manage ons-topics in tenancy where all {request.principal.type='cccinfrastructurenotifier', target.compartment.name = 'root_compartment' }

   Si vous limitez l'accès à un compartiment, celui-ci doit se trouver dans le compartiment racine (location).

   Politique 4 – Permet à un utilisateur du groupe spécifié de lancer le processus d'enregistrement qui permet à l'infrastructure de communiquer avec votre location OCI.

   Note
   
   

   Ne spécifiez pas de groupe d'administrateurs standard. Créez plutôt un groupe avec un utilisateur dont le seul but est d'exécuter le processus d'inscription.

   Pour plus d'informations, voir Connexion d'une infrastructure Compute Cloud@Customer à OCI.

   Les exemples de politique suivants concernent le service IAM avec ou sans domaines d'identité.

   Cet exemple définit la politique au niveau de la location :

   allow group <group_name> to { CCC_CERTIFICATE_REGISTER } in tenancy

   Cet exemple définit la politique au niveau du compartiment. Le compartiment doit être le compartiment associé à l'infrastructure :

   allow group <group_name> to { CCC_CERTIFICATE_REGISTER } in compartment '<compartment_name>'

Pour plus d'informations sur les politiques Compute Cloud@Customer, que vous pouvez utiliser pour contrôler l'accès à l'infrastructure Compute Cloud@Customer et les opérations de programme de mise à niveau, voir Informations de référence sur les politiques Compute Cloud@Customer.

Avant que Compute Cloud@Customer ne soit connecté à votre location, créez un réseau VCN avec un sous-réseau dans la location.