Documentazione di Oracle Cloud Infrastructure

Utilizzo dei compartimenti

Scopri come utilizzare i compartimenti per organizzare le tue risorse cloud in OCI.

Quando inizi a lavorare per la prima volta con Oracle Cloud Infrastructure, devi pensare attentamente a come desideri utilizzare i compartimenti per organizzare e isolare le tue risorse cloud. I compartimenti sono fondamentali per questo processo. La maggior parte delle risorse può essere spostata tra i compartimenti. Tuttavia, è importante pensare in anticipo alla progettazione del compartimento per la tua organizzazione, prima di implementare qualsiasi cosa. Per ulteriori informazioni, vedere Ulteriori informazioni sulle best practice per l'impostazione della tenancy.

La console è progettata per visualizzare le risorse in base al compartimento all'interno dell'area corrente. Quando si utilizzano le risorse nella console, è necessario scegliere il compartimento in cui lavorare da una lista nella pagina. Tale lista viene filtrata in modo da mostrare solo i compartimenti nella tenancy a cui si dispone dell'autorizzazione di accesso. Gli amministratori sono autorizzati a visualizzare tutti i compartimenti e a utilizzare le risorse di qualsiasi compartimento. Tuttavia, se si è utenti con accesso limitato, è probabile che non lo si riesca.

I compartimenti sono a livello di tenancy, in tutte le aree. Quando si crea un compartimento, esso è disponibile in ogni area a cui la tenancy è sottoscritta. Puoi ottenere una vista tra più aree delle tue risorse in un compartimento specifico con lo strumento di esplorazione della tenancy. Vedere Visualizzazione di tutte le risorse in un compartimento.

Per una maggiore sicurezza, è possibile associare un compartimento a una zona di sicurezza. Per ulteriori informazioni, vedere Security Zones.

In questa introduzione vengono trattati i seguenti argomenti.

Controllo dell'accesso per i compartimenti

Dopo aver creato un compartimento, è necessario scrivere almeno un criterio per tale compartimento, altrimenti nessuno potrà accedervi (ad eccezione degli amministratori o degli utenti con autorizzazioni impostate a livello di tenancy). Quando si crea un compartimento all'interno di un altro compartimento, il compartimento eredita le autorizzazioni di accesso dai compartimenti al di sopra della gerarchia. Per ulteriori informazioni, vedere Eredità dei criteri.

Quando crei un criterio di accesso, devi specificare a quale compartimento collegarlo. Questo determina chi può modificare o eliminare il criterio in un secondo momento. A seconda della modalità di progettazione della gerarchia del compartimento, è possibile collegarla alla tenancy, a un elemento padre o al compartimento specifico stesso. Per ulteriori informazioni, vedere Allegato ai criteri.

Inserimento delle risorse in un compartimento

Per inserire una nuova risorsa in un compartimento, è sufficiente specificare tale compartimento durante la creazione della risorsa (il compartimento è una delle informazioni necessarie per creare una risorsa). Se si utilizza la console, è sufficiente assicurarsi di visualizzare per la prima volta il compartimento in cui si desidera creare la risorsa. Tenere presente che la maggior parte delle risorse IAM risiede nella tenancy (inclusi utenti, gruppi, compartimenti ed eventuali criteri collegati alla tenancy) e non può essere creata o gestita da un compartimento specifico.

Ricerca automatica delle risorse nei compartimenti

Con Resource Manager è possibile acquisire le risorse distribuite come file di configurazione e stato Terraform utilizzando la ricerca automatica delle risorse. Lo stack creato fornisce una configurazione Terraform che è possibile utilizzare per gestire, eseguire il controllo delle versioni e rendere persistente l'infrastruttura IT come "infrastruttura come codice".

Uno stack creato da un compartimento rappresenta tutte le risorse supportate nell'intero compartimento, nell'ambito appropriato. Se si seleziona il compartimento radice per la tenancy, l'ambito è il livello della tenancy, ad esempio utenti e gruppi. Se si seleziona un compartimento non radice, l'ambito è a livello di compartimento, ad esempio le istanze di computazione.

La creazione dello stack è supportata solo da un singolo compartimento. Impossibile creare stack da compartimenti nidificati.

Per istruzioni, vedere Creazione di uno stack da un compartimento esistente.

Implicazioni per lo spostamento dei compartimenti

È possibile spostare un compartimento in un compartimento padre diverso all'interno della stessa tenancy. Quando si sposta un compartimento, tutti i relativi contenuti (compartimenti secondari e risorse) vengono spostati con esso. Lo spostamento di un compartimento ha implicazioni per il contenuto. Queste implicazioni vengono descritte nelle sezioni seguenti. Assicurarsi di essere a conoscenza di questi elementi prima di spostare un compartimento.

Criteri IAM necessari

Per spostare un compartimento, è necessario appartenere a un gruppo che dispone delle autorizzazioni manage all-resources sul compartimento padre condiviso più basso del compartimento corrente e del compartimento di destinazione.

Limitazioni per lo spostamento dei compartimenti

  • Non è possibile spostare un compartimento se l'origine o la destinazione fa parte di una zona di sicurezza. È necessario utilizzare la console Security Zones per gestire i compartimenti all'interno di una zona di sicurezza.

  • Non è possibile spostare un compartimento in un compartimento di destinazione con lo stesso nome del compartimento in fase di spostamento.

    Ad esempio, si supponga che il compartimento A e il compartimento B si trovino entrambi sotto il compartimento radice. Sotto il compartimento A si trova un sottocompartimento, chiamato anche compartimento B. Non è possibile spostare il compartimento B nel compartimento padre B.

    Il compartimento B non può essere spostato in un compartimento padre denominato anche compartimento B

    Elemento descrizione;
    Callout 1 Due compartimenti all'interno dello stesso padre non possono avere lo stesso nome. Pertanto, non è possibile spostare un compartimento in un compartimento di destinazione in cui esiste già un compartimento con lo stesso nome.

Informazioni sulle implicazioni dei criteri quando si sposta un compartimento

Dopo aver spostato un compartimento in un nuovo compartimento padre, i criteri di accesso del nuovo padre diventano effettivi e i criteri del padre precedente non vengono più applicati. Prima di spostare un compartimento, assicurarsi che:

  • Si è consapevoli dei criteri che regolano l'accesso al compartimento nella posizione corrente.
  • Si è consapevoli dei criteri nel nuovo compartimento padre che diventeranno effettivi quando si sposta il compartimento.

In alcuni casi, quando si spostano compartimenti nidificati con criteri che specificano la gerarchia, i criteri vengono aggiornati automaticamente per garantire la coerenza.

Esempi di criteri

I gruppi con autorizzazioni nel compartimento corrente perdono l'accesso; i gruppi con autorizzazioni nel compartimento di destinazione ottengono l'accesso

La figura seguente mostra una gerarchia di compartimenti in cui il compartimento C, un figlio di A:B, viene spostato nella gerarchia A:D.

Il compartimento C viene spostato da A:B ad A:D

Elemento descrizione;
Callout 1

La tenancy dispone dei criteri seguenti definiti per i compartimenti B e D:

Policy1: Allow group G1 to manage instance-family in compartment A:B
Callout 2

Impatto quando il compartimento C viene spostato da B a D:

Policy2: Allow group G2 to manage instance-family in compartment A:D

  • Il gruppo G1 non può più gestire le famiglie di istanze nel compartimento C.

  • Il gruppo G2 ora può gestire le famiglie di istanze nel compartimento C.

Assicurarsi di essere consapevoli non solo dei gruppi che perdono le autorizzazioni quando si sposta un compartimento, ma anche dei gruppi che otterranno le autorizzazioni.

Aggiornamento automatico dei criteri

Quando si sposta un compartimento, alcuni criteri verranno aggiornati automaticamente. I criteri che specificano la gerarchia del compartimento in basso nel compartimento da spostare verranno aggiornati automaticamente quando il criterio viene collegato a un predecessore condiviso del padre corrente e di destinazione. Esaminare gli esempi riportati di seguito.

Esempio 1: criterio aggiornato automaticamente

Il criterio viene aggiornato automaticamente quando è collegato a un predecessore condiviso

Elemento descrizione;
Callout 1 Criteri:
Allow group G1 to manage buckets in compartment Test:A
Callout 2 Criteri:
Allow group G1 to manage buckets in compartment Dev:A
Callout 3 Il criterio viene aggiornato automaticamente. Il gruppo G1 non perde le autorizzazioni.

In questo esempio il compartimento A viene spostato da Operations:Test a Operations:Dispositivo. Il criterio che regola il compartimento A è collegato all'elemento padre condiviso, Operations. Quando il compartimento viene spostato, l'istruzione dei criteri viene aggiornata automaticamente dal servizio IAM per specificare la nuova posizione del compartimento.

Non è necessario alcun intervento manuale per consentire al gruppo G1 di continuare ad accedere al compartimento A nella relativa posizione.

Esempio 2: criterio non aggiornato

Il criterio non è stato aggiornato

Elemento descrizione;
Callout 1 Criterio: consenti al gruppo G1 di gestire i bucket nel compartimento A
Callout 2 Criterio: consenti al gruppo G1 di gestire i bucket nel compartimento A
Callout 3 Criteri non aggiornati. Il gruppo G1 perde questa autorizzazione. Questo criterio non è valido e deve essere rimosso manualmente.

In questo esempio il compartimento A viene spostato da Operations:Test a Operations:Dispositivo. Tuttavia, il criterio che regola il compartimento A qui viene collegato direttamente al compartimento di test. Quando il compartimento viene spostato, il criterio non viene aggiornato automaticamente. Il criterio che specifica il compartimento A non è più valido e deve essere rimosso manualmente. Il gruppo G1 non ha più accesso al compartimento A nella nuova posizione in Sviluppo. A meno che un altro criterio esistente non conceda l'accesso al gruppo G1, è necessario creare un nuovo criterio per consentire a G1 di continuare a gestire i bucket nel compartimento A.

Esempio 3: il criterio collegato alla tenancy viene aggiornato

Il criterio viene aggiornato automaticamente quando è collegato a un predecessore condiviso

Elemento descrizione;
Callout 1 Criterio: consenti al gruppo G1 di gestire i bucket nel compartimento Operazioni:Test:A
Callout 2 Criterio: consenti al gruppo G1 di gestire i bucket nel compartimento HR:Prod:A
Callout 3 Il criterio viene aggiornato automaticamente. Il gruppo G1 non perde le autorizzazioni.

In questo esempio il compartimento A viene spostato da Operations:Test a HR:Prod. Il criterio che regola il compartimento A è collegato alla tenancy, ovvero un predecessore condiviso dal compartimento padre originale e dal nuovo compartimento padre. Pertanto, quando il compartimento viene spostato, l'istruzione dei criteri viene aggiornata automaticamente dal servizio IAM per specificare la nuova posizione del compartimento.

Informazioni sulle implicazioni delle quote del compartimento durante lo spostamento di un compartimento

Quando si sposta un compartimento in un altro, le quote di risorse nel compartimento di destinazione non vengono verificate e non vengono applicate. Pertanto, se lo spostamento del compartimento determina una violazione della quota nel compartimento di destinazione, lo spostamento non viene bloccato. Una volta completato lo spostamento, lo stato del compartimento di destinazione sarà Over-quota. Non sarà possibile creare nuove risorse che superano la quota fino a quando non si adeguano le quote per il compartimento di destinazione o si rimuovono le risorse per garantire la conformità alla quota esistente. Per ulteriori informazioni sulla gestione delle quote del compartimento, vedere Panoramica delle quote del compartimento.

Informazioni sulle implicazioni dell'applicazione di tag quando si sposta un compartimento

Le tag non vengono aggiornate automaticamente dopo lo spostamento di un compartimento. Se è stata implementata una strategia di applicazione tag basata sul compartimento, è necessario aggiornare le tag nelle risorse dopo lo spostamento. Si supponga, ad esempio, che CompartmentA abbia un compartimento figlio, CompartmentB. CompartmentA è impostato con i valori predefiniti delle tag in modo che ogni risorsa in CompartmentA sia contrassegnata con TagA. Pertanto, CompartmentB e tutte le relative risorse vengono contrassegnate con la tag predefinita TagA. Quando si sposta CompartmentB in CompartmentC, verranno comunque visualizzate le tag predefinite da CompartmentA. Se hai impostato le tag predefinite per CompartmentC, dovrai aggiungerle alle risorse nel compartimento spostato.

I valori predefiniti delle tag non vengono aggiornati dopo lo spostamento di un compartimento
Elemento descrizione;
Callout 1 Tutte le risorse in CompartmentB sono contrassegnate con le tag predefinite definite per il relativo padre, CompartmentA.
Callout 2 Quando CompartmentB viene spostato in CompartmentC, le tag predefinite non vengono aggiornate. A CompartmentB sono ancora applicate le tag predefinite di CompartmentA.