Préparation de la location

Pour que Compute Cloud@Customer soit installé, votre location doit être configurée pour utiliser un fournisseur d'identités fédéré afin de gérer l'authentification.

Lorsque Oracle installe Compute Cloud@Customer, Oracle configure l'infrastructure Compute Cloud@Customer pour qu'elle utilise le même fournisseur d'identités fédéré. Vous pouvez ainsi utiliser les mêmes informations d'identification pour accéder à Oracle Cloud Infrastructure et à Compute Cloud@Customer.

Si votre location est déjà configurée pour utiliser un fournisseur d'identités fédérées, y compris Identity Cloud Service d'Oracle, vous êtes tous définis. Partagez vos informations d'identité fédérées avec votre représentant Oracle. Sinon, contactez votre représentant Oracle pour établir un fournisseur d'identités fédérées.

Vous pouvez utiliser un fournisseur d'identités externe ou Oracle Identity Cloud Service. Le type de fournisseur d'identités que vous pouvez utiliser dépend du type de location dont vous disposez (une location avec des domaines d'identité IAM ou sans domaines d'identité IAM).

Pour plus d'informations, reportez-vous à ces ressources :

• Détermination du type de location
• Locations avec domaines d'identité - Fédération avec les fournisseurs d'identités
• Locations sans domaine d'identité - Fédération avec les fournisseurs d'identités

Pour plus d'informations sur la sécurisation de la fédération IAM, reportez-vous à Fédération IAM.

Afin de préparer votre location Oracle Cloud Infrastructure, identifiez les utilisateurs et créez des groupes pour les personnes de votre organisation qui administrent l'infrastructure Compute Cloud@Customer.

Effectuez cette tâche avant la connexion de Compute Cloud@Customer à Oracle Cloud Infrastructure.

Pour plus d'informations sur l'ajout d'utilisateurs et de groupes, reportez-vous à Gestion des utilisateurs et groupes Oracle Identity Cloud Service dans la console Oracle Cloud Infrastructure.

1. Identifiez l'administrateur de location.

2. Créez au moins un groupe avec des utilisateurs qui peuvent effectuer les tâches d'administration suivantes :

   • Créez, mettez à jour et supprimez des infrastructures Compute Cloud@Customer.
   • Créez, mettez à jour et supprimez les programmations de mise à niveau de Compute Cloud@Customer.
   • Exécutez le processus d'inscription basé sur un certificat qui établit la connexion sécurisée de l'infrastructure à votre location. Nous vous recommandons de créer un groupe spécifique pour cette tâche d'administration et d'accorder uniquement des droits d'accès limités à l'exécution de cette tâche.

Les groupes sont inclus dans les stratégies que vous définissez ultérieurement. Reportez-vous à Ajout de stratégies requises.

Lorsque Compute Cloud@Customer est connecté à Oracle Cloud Infrastructure, des compartiments sont nécessaires.

Un compartiment est un ensemble de ressources associées. Les compartiments représentent un composant fondamental d'Oracle Cloud Infrastructure pour l'organisation et l'isolement des ressources cloud. Vous les utilisez pour séparer les ressources dans le but de contrôler l'accès (à l'aide de stratégies) et de les isoler (en séparant les ressources d'un projet ou d'une unité opérationnelle des autres).

Pour Compute Cloud@Customer, au moins un compartiment est nécessaire pour les éléments suivants :

• Connexion de l'infrastructure Compute Cloud@Customer à Oracle Cloud Infrastructure.
• VCN que vous avez finalement créé pour la connexion à Oracle Cloud Infrastructure.

Compute Cloud@Customer peut être connecté à votre location (compartiment racine), à un compartiment existant ou à un nouveau compartiment. Vous pouvez utiliser plusieurs compartiments. Par exemple, vous pouvez utiliser un compartiment pour la connexion à l'infrastructure et un autre pour le VCN.

1. Créez ou choisissez un compartiment en fonction de la façon dont vous utilisez les compartiments pour contrôler l'accès aux ressources.

   Si vous prévoyez de créer un compartiment, connectez-vous à OCI et utilisez la console Oracle Cloud, ou utilisez l'interface de ligne de commande OCI ou l'API OCI pour créer le compartiment dans votre location.

   Remarque
   
   

   Les compartiments utilisés pour Compute Cloud@Customer, y compris les compartiments pour l'installation, sont créés et gérés dans OCI. Les compartiments ne sont pas gérés dans l'infrastructure Compute Cloud@Customer. Tous les compartiments de la location sont automatiquement synchronisés avec l'infrastructure Compute Cloud@Customer, toutes les dix minutes environ.

   Pour obtenir une introduction aux compartiments et des instructions sur la gestion de ces derniers, reportez-vous à Gestion des compartiments.

Certaines stratégies IAM doivent être configurées pour que Compute Cloud@Customer soit connecté à votre location.

1. Configurez les stratégies suivantes dans votre location.

   Pour plus d'informations sur l'utilisation des stratégies, reportez-vous à Gestion des stratégies.

   Si votre location prend en charge les domaines d'identité, vous pouvez créer des stratégies qui indiquent le groupe dynamique. Pour déterminer si votre location comporte des domaines d'identité, reportez-vous à Détermination du type de location.

   Remarque
   
   

   Différentes instructions de stratégie peuvent être créées pour atteindre le même niveau d'accès aux ressources. La liste suivante fournit des exemples de stratégies. Vous pouvez utiliser l'exemple ou créer des variations de stratégie, à condition que les stratégies autorisent l'accès à l'utilisateur ou au groupe approprié pour la ressource donnée.

   Stratégie 1 : permet aux utilisateurs de créer, de lire, de mettre à jour et de supprimer des infrastructures Compute Cloud@Customer, ainsi que des programmations de mise à niveau.

   Important
   
   Indiquez un groupe IAM qui inclut uniquement les utilisateurs qui ont besoin de droits d'accès pour gérer les infrastructures et mettre à niveau les programmations. L'administration de ces ressources est essentielle pour les fonctionnalités de Compute Cloud@Customer et ne doit pas être autorisée pour les utilisateurs non autorisés.

   Exemple de stratégie pour IAM avec ou sans domaine d'identité :

   allow group <group_name> to manage ccc-family in tenancy

   Stratégie 2 : permet à Compute Cloud@Customer d'utiliser vos données IAM pour la gestion des identités et des accès sur les ressources Compute Cloud@Customer.

   Exemple de stratégie pour IAM avec ou sans domaine d'identité :

   allow any-user to {COMPARTMENT_INSPECT, USER_INSPECT, GROUP_INSPECT, DYNAMIC_GROUP_INSPECT, POLICY_READ, TAG_NAMESPACE_INSPECT, USER_READ, TAG_DEFAULT_INSPECT, TAG_NAMESPACE_READ, DOMAIN_READ, DOMAIN_INSPECT } in tenancy where all { request.principal.id='<ccc-infrastructure_OCID>', request.principal.type='cccinfrastructure' }

   Exemple de stratégie pour IAM avec des domaines d'identité :

   allow dynamic-group <dynamic-group> to {COMPARTMENT_INSPECT, USER_INSPECT, GROUP_INSPECT, DYNAMIC_GROUP_INSPECT, POLICY_READ, TAG_NAMESPACE_INSPECT, USER_READ, TAG_DEFAULT_INSPECT, TAG_NAMESPACE_READ, DOMAIN_READ, DOMAIN_INSPECT} in tenancy

   Stratégie 3 : permet au service d'infrastructure Compute Cloud@Customer de vous envoyer des notifications sur les mises à niveau.

   Pour plus d'informations sur les notifications de mise à niveau et sur la façon de s'abonner pour les recevoir, reportez-vous à Abonnement à des notifications de mise à niveau.

   Les exemples suivants présentent les stratégies pour IAM avec ou sans domaine d'identité :

   allow any-user to manage ons-topics in tenancy where request.principal.type ='cccinfrastructurenotifier'

   La stratégie peut être modifiée pour restreindre l'accès au compartiment racine, comme indiqué dans l'exemple suivant :

   allow any-user to manage ons-topics in tenancy where all {request.principal.type='cccinfrastructurenotifier', target.compartment.name = 'root_compartment' }

   Si vous limitez l'accès à un compartiment, il doit s'agir du compartiment racine (location).

   Stratégie 4 : permet à un utilisateur du groupe indiqué de lancer le processus d'inscription qui permet à l'infrastructure de communiquer avec votre location OCI.

   Remarque
   
   

   Ne spécifiez pas de groupe d'administrateurs standard. Créez plutôt un groupe avec un utilisateur dont le seul but est d'exécuter le processus d'enregistrement.

   Pour plus d'informations, reportez-vous à Connexion d'une infrastructure Compute Cloud@Customer à OCI.

   Les exemples de stratégie suivants concernent IAM avec ou sans domaine d'identité.

   Cet exemple définit la stratégie au niveau de la location :

   allow group <group_name> to { CCC_CERTIFICATE_REGISTER } in tenancy

   Cet exemple définit la stratégie au niveau du compartiment. Le compartiment doit être le compartiment associé à l'infrastructure :

   allow group <group_name> to { CCC_CERTIFICATE_REGISTER } in compartment '<compartment_name>'

Pour plus d'informations sur les stratégies Compute Cloud@Customer que vous pouvez utiliser pour contrôler l'accès à l'infrastructure Compute Cloud@Customer et les opérations de programmation de mise à niveau, reportez-vous à Référence de stratégie Compute Cloud@Customer.

Avant que Compute Cloud@Customer ne soit connecté à votre location, créez un VCN avec un sous-réseau dans la location.