Préparation de votre location

Avant l'installation de Compute Cloud@Customer, votre location doit être configurée pour utiliser un fournisseur d'identités fédéré pour gérer l'authentification.

Lorsqu'Oracle installe Compute Cloud@Customer, Oracle configure l'infrastructure Compute Cloud@Customer pour qu'elle utilise le même fournisseur d'identités fédéré. Vous pouvez ainsi utiliser les mêmes données d'identification pour accéder à Oracle Cloud Infrastructure et à Compute Cloud@Customer.

Si votre location est déjà configurée pour utiliser un fournisseur d'identités fédéré, y compris Identity Cloud Service d'Oracle, vous êtes tous définis. Partagez vos informations d'identité fédérées avec votre représentant Oracle. Sinon, communiquez avec votre représentant Oracle pour établir un fournisseur d'identités fédéré.

Vous pouvez utiliser un fournisseur d'identités externe ou Oracle Identity Cloud Service. Le type de fournisseur d'identités que vous pouvez utiliser dépend du type de location que vous avez (une location avec des domaines d'identité IAM ou sans domaines d'identité IAM).

Pour plus d'informations, voir les ressources suivantes :

• Détermination du type de location
• Locations avec des domaines d'identité - Fédération avec les fournisseurs d'identités
• Locations sans domaines d'identité - Fédération avec les fournisseurs d'identités

Pour plus d'informations sur la sécurité de la fédération IAM, voir Fédération IAM.

Pour préparer votre location Oracle Cloud Infrastructure, identifiez les utilisateurs et créez des groupes pour les personnes de votre organisation qui administrent l'infrastructure Compute Cloud@Customer.

Effectuez cette tâche avant que Compute Cloud@Customer ne soit connecté à Oracle Cloud Infrastructure.

Pour plus d'informations sur l'ajout d'utilisateurs et de groupes, voir Gestion des utilisateurs et des groupes Oracle Identity Cloud Service dans la console Oracle Cloud Infrastructure.

1. Identifiez l'administrateur de votre location.

2. Créez au moins un groupe avec des utilisateurs qui peuvent effectuer les tâches d'administration suivantes :

   • Créez, mettez à jour et supprimez des infrastructures Compute Cloud@Customer.
   • Créer, mettre à jour et supprimer les programmes de mise à niveau de Compute Cloud@Customer.
   • Exécutez le processus d'enregistrement basé sur un certificat qui établit la connexion sécurisée de l'infrastructure à votre location. Nous vous recommandons de créer un groupe spécifique pour cette tâche d'administration et d'accorder uniquement des autorisations limitées à l'exécution de cette tâche.

Les groupes sont inclus dans les politiques que vous définissez ultérieurement. Voir Ajouter les politiques requises.

Lorsque Compute Cloud@Customer est connecté à Oracle Cloud Infrastructure, un ou plusieurs compartiments sont nécessaires.

Un compartiment est une collection de ressources connexes. Les compartiments sont des composants essentiels d'Oracle Cloud Infrastructure qui permettent d'organiser et d'isoler vos ressources en nuage. Vous les utilisez pour séparer les ressources à des fins de contrôle d'accès (à l'aide de politiques) et d'isolement (en séparant les ressources d'un projet ou d'une unité d'affaires).

Pour Compute Cloud@Customer, au moins un compartiment est nécessaire pour les éléments suivants :

• Connexion de l'infrastructure Compute Cloud@Customer à Oracle Cloud Infrastructure.
• VCN que vous avez finalement créé pour la connexion à Oracle Cloud Infrastructure.

Compute Cloud@Customer peut être connecté à votre location (compartiment racine), à un compartiment existant ou à un nouveau compartiment. Vous pouvez utiliser plusieurs compartiments. Par exemple, vous pouvez utiliser un compartiment pour la connexion à l'infrastructure et un autre pour le VCN.

1. Créez ou sélectionnez un compartiment en fonction de la façon dont vous utilisez les compartiments pour contrôler l'accès aux ressources.

   Si vous prévoyez de créer un nouveau compartiment, connectez-vous à OCI et utilisez la console Oracle Cloud, ou utilisez l'interface de ligne de commande OCI ou l'API OCI pour créer le compartiment dans votre location.

   Note
   
   

   Les compartiments utilisés pour Compute Cloud@Customer, y compris les compartiments pour l'installation, sont créés et gérés dans OCI. Les compartiments ne sont pas gérés dans l'infrastructure Compute Cloud@Customer. Tous les compartiments de la location sont synchronisés automatiquement avec l'infrastructure Compute Cloud@Customer, toutes les dix minutes environ.

   Pour une présentation des compartiments et pour des instructions sur la gestion de ces derniers, voir Gestion des compartiments.

Certaines politiques IAM doivent être configurées avant que Compute Cloud@Customer soit connecté à votre location.

1. Configurez les politiques suivantes dans votre location.

   Pour plus d'informations sur l'utilisation des politiques, voir Gestion des politiques.

   Si votre location prend en charge les domaines d'identité, vous pouvez créer des politiques qui spécifient le groupe dynamique. Pour déterminer si votre location comporte des domaines d'identité ou non, voir Détermination du type de location.

   Note
   
   

   Différents énoncés de politique peuvent être construits pour atteindre le même niveau d'accès aux ressources. La liste de politiques suivante fournit des exemples. Vous pouvez utiliser l'exemple ou créer des variations de politique, à condition que les politiques autorisent l'accès à l'utilisateur ou au groupe approprié pour la ressource particulière.

   Politique 1 - Permet aux utilisateurs de créer, lire, mettre à jour et supprimer les infrastructures et les programmes de mise à niveau de Compute Cloud@Customer.

   Important
   
   Spécifiez un groupe IAM qui inclut uniquement les utilisateurs qui ont besoin d'autorisations pour gérer les infrastructures et les programmes de mise à niveau. L'administration de ces ressources est essentielle aux fonctionnalités de Compute Cloud@Customer et ne doit pas être autorisée pour les utilisateurs non autorisés.

   Exemple de politique pour le service IAM avec ou sans domaines d'identité :

   allow group <group_name> to manage ccc-family in tenancy

   Politique 2 - Autorise Compute Cloud@Customer à utiliser vos données IAM pour la gestion des identités et des accès sur les ressources Compute Cloud@Customer.

   Exemple de politique pour le service IAM avec ou sans domaines d'identité :

   allow any-user to {COMPARTMENT_INSPECT, USER_INSPECT, GROUP_INSPECT, DYNAMIC_GROUP_INSPECT, POLICY_READ, TAG_NAMESPACE_INSPECT, USER_READ, TAG_DEFAULT_INSPECT, TAG_NAMESPACE_READ, DOMAIN_READ, DOMAIN_INSPECT } in tenancy where all { request.principal.id='<ccc-infrastructure_OCID>', request.principal.type='cccinfrastructure' }

   Exemple de politique pour le service IAM avec domaines d'identité :

   allow dynamic-group <dynamic-group> to {COMPARTMENT_INSPECT, USER_INSPECT, GROUP_INSPECT, DYNAMIC_GROUP_INSPECT, POLICY_READ, TAG_NAMESPACE_INSPECT, USER_READ, TAG_DEFAULT_INSPECT, TAG_NAMESPACE_READ, DOMAIN_READ, DOMAIN_INSPECT} in tenancy

   Politique 3 - Permet au service d'infrastructure Compute Cloud@Customer de vous envoyer des avis sur les mises à niveau.

   Pour plus d'informations sur les avis de mise à niveau et sur la façon de s'abonner pour les recevoir, voir Abonnement aux avis de mise à niveau.

   Les exemples suivants présentent des politiques pour le service IAM avec ou sans domaines d'identité :

   allow any-user to manage ons-topics in tenancy where request.principal.type ='cccinfrastructurenotifier'

   Vous pouvez modifier la politique pour restreindre l'accès au compartiment racine, comme illustré dans l'exemple suivant :

   allow any-user to manage ons-topics in tenancy where all {request.principal.type='cccinfrastructurenotifier', target.compartment.name = 'root_compartment' }

   Si vous limitez l'accès à un compartiment, celui-ci doit se trouver dans le compartiment racine (location).

   Politique 4 - Permet à un utilisateur du groupe spécifié de lancer le processus d'enregistrement qui permet à l'infrastructure de communiquer avec votre location OCI.

   Note
   
   

   Ne spécifiez pas de groupe d'administrateurs standard. Créez plutôt un groupe avec un utilisateur dont le seul but est d'exécuter le processus d'inscription.

   Pour plus d'informations, voir Connexion d'une infrastructure Compute Cloud@Customer à OCI.

   Les exemples de politique suivants concernent le service IAM avec ou sans domaines d'identité.

   Cet exemple définit la politique au niveau de la location :

   allow group <group_name> to { CCC_CERTIFICATE_REGISTER } in tenancy

   Cet exemple montre comment définir la politique au niveau du compartiment. Le compartiment doit être le compartiment associé à l'infrastructure :

   allow group <group_name> to { CCC_CERTIFICATE_REGISTER } in compartment '<compartment_name>'

Pour plus d'informations sur les politiques Compute Cloud@Customer, que vous pouvez utiliser pour contrôler l'accès à l'infrastructure Compute Cloud@Customer et les opérations de programme de mise à niveau, voir Informations de référence sur les politiques Compute Cloud@Customer.

Avant que Compute Cloud@Customer soit connecté à votre location, créez un VCN avec un sous-réseau dans la location.