Utilizzo dei compartimenti
Scopri come utilizzare i compartimenti per organizzare le risorse cloud in OCI.
Quando inizi a lavorare con Oracle Cloud Infrastructure, devi pensare attentamente a come vuoi utilizzare i compartimenti per organizzare e isolare le tue risorse cloud. I compartimenti sono fondamentali per questo processo. La maggior parte delle risorse può essere spostata tra i compartimenti. Tuttavia, è importante pensare in anticipo alla progettazione del compartimento per la tua organizzazione, prima di implementare qualsiasi cosa. Per ulteriori informazioni, vedere Ulteriori informazioni sulle procedure ottimali per l'impostazione della tenancy.
La Console è progettata per visualizzare le risorse in base al compartimento nell'area corrente. Quando si utilizzano le risorse nella console, è necessario scegliere il compartimento in cui lavorare da una lista nella pagina. Tale lista viene filtrata per mostrare solo i compartimenti nella tenancy per i quali si dispone dell'autorizzazione di accesso. Gli amministratori disporranno dell'autorizzazione per visualizzare tutti i compartimenti e lavorare con le risorse di qualsiasi compartimento, ma se si è un utente con accesso limitato, probabilmente non lo sarà.
I compartimenti sono a livello di tenancy, in tutte le aree. Quando si crea un compartimento, esso è disponibile in ogni area a cui la tenancy è sottoscritta. Puoi ottenere una vista tra più aree delle tue risorse in un compartimento specifico con lo strumento di esplorazione della tenancy. Vedere Visualizzazione di tutte le risorse in un compartimento.
Per una maggiore sicurezza, è possibile associare un compartimento a una zona di sicurezza. Per ulteriori informazioni, vedere Security Zones.
Questa introduzione riguarda i seguenti argomenti.
Controllo dell'accesso per i compartimenti
Dopo aver creato un compartimento, è necessario scrivere almeno un criterio per tale compartimento, altrimenti nessuno potrà accedervi (ad eccezione degli amministratori o degli utenti con autorizzazioni impostate a livello di tenancy). Quando si crea un compartimento all'interno di un altro compartimento, il compartimento eredita le autorizzazioni di accesso dai compartimenti più in alto nella relativa gerarchia. Per ulteriori informazioni, vedere Eredità dei criteri.
Quando crei un criterio di accesso, devi specificare a quale compartimento collegarlo. Controlla chi può modificare o eliminare il criterio in un secondo momento. A seconda della modalità di progettazione della gerarchia di compartimenti, è possibile collegarla alla tenancy, a un elemento padre o al compartimento specifico stesso. Per ulteriori informazioni, vedere Allegato criteri.
Inserimento delle risorse in un compartimento
Per posizionare una nuova risorsa in un compartimento, è sufficiente specificare tale compartimento durante la creazione della risorsa (il compartimento è una delle informazioni necessarie per creare una risorsa). Se si sta lavorando nella Console, è sufficiente assicurarsi che si stia visualizzando prima il compartimento in cui si desidera creare la risorsa. Tenere presente che la maggior parte delle risorse IAM risiede nella tenancy (compresi utenti, gruppi, compartimenti e qualsiasi criterio collegato alla tenancy) e non può essere creata o gestita da un compartimento specifico.
Ricerca delle risorse nei compartimenti
Con Resource Manager è possibile acquisire le risorse distribuite come file di configurazione e stato Terraform utilizzando la ricerca automatica delle risorse. Lo stack creato ti offre una configurazione Terraform che puoi utilizzare per gestire, creare versioni e rendere persistente a livello di programmazione l'infrastruttura IT sotto forma di "infrastruttura sotto forma di codice".
Uno stack creato da un compartimento rappresenta tutte le risorse supportate nell'intero compartimento, nell'ambito appropriato. Se si seleziona il compartimento radice per la tenancy, l'ambito sarà il livello di tenancy, ad esempio utenti e gruppi. Se si seleziona un compartimento non root, l'ambito sarà a livello di compartimento, ad esempio le istanze di computazione.
La creazione dello stack è supportata solo da un singolo compartimento. Impossibile creare stack da compartimenti nidificati.
Per istruzioni, vedere Creazione di uno stack da un compartimento esistenti.
Implicazioni per lo spostamento dei compartimenti
È possibile spostare un compartimento in un compartimento padre diverso all'interno della stessa tenancy. Quando si sposta un compartimento, tutti i relativi contenuti (compartimenti secondari e risorse) vengono spostati con esso. Lo spostamento di un compartimento ha implicazioni per il contenuto. Queste implicazioni vengono descritte nelle sezioni seguenti. Assicurarsi di essere consapevoli di questi elementi prima di spostare un compartimento.
- Criterio IAM necessario
- Limitazioni allo spostamento dei compartimenti
- Informazioni sulle implicazioni dei criteri quando si sposta un compartimento
- Esempi di criteri
- I gruppi con autorizzazioni nel compartimento corrente perdono l'accesso; i gruppi con autorizzazioni nel compartimento di destinazione ottengono l'accesso
- Aggiornamento automatico dei criteri
- Descrizione delle implicazioni delle quote del compartimento quando si sposta un compartimento
- Descrizione dell'applicazione di tag alle implicazioni quando si sposta un compartimento
Criterio IAM necessario
Per spostare un compartimento, è necessario appartenere a un gruppo che dispone delle autorizzazioni manage all-resources sul compartimento padre condiviso più basso del compartimento corrente e del compartimento di destinazione.
Limitazioni allo spostamento dei compartimenti
- Non è possibile spostare un compartimento se l'origine o la destinazione fa parte di una zona di sicurezza. È necessario utilizzare la console Security Zones per gestire i compartimenti all'interno di una zona di sicurezza.
-
Non è possibile spostare un compartimento in un compartimento di destinazione con lo stesso nome del compartimento in fase di spostamento.
Ad esempio, si supponga che il compartimento A e il compartimento B si trovino entrambi sotto il compartimento radice. Sotto il compartimento A si trova un sottocompartimento, chiamato anche compartimento B. Impossibile spostare il compartimento B nel compartimento padre B.
Elemento Descrizione 
Due compartimenti all'interno dello stesso padre non possono avere lo stesso nome. Pertanto, non è possibile spostare un compartimento in un compartimento di destinazione in cui esiste già un compartimento con lo stesso nome.
Informazioni sulle implicazioni dei criteri quando si sposta un compartimento
Dopo aver spostato un compartimento in un nuovo compartimento padre, i criteri di accesso del nuovo padre diventano effettivi e i criteri del padre precedente non vengono più applicati. Prima di spostare un compartimento, assicurarsi che:
- Sei a conoscenza dei criteri che regolano l'accesso al compartimento nella sua posizione corrente.
- Si è consapevoli dei criteri nel nuovo compartimento padre che diventeranno effettivi quando si sposta il compartimento.
In alcuni casi, quando si spostano compartimenti nidificati con criteri che specificano la gerarchia, i criteri vengono aggiornati automaticamente per garantire la coerenza.
Esempi di criteri
I gruppi con autorizzazioni nel compartimento corrente perdono l'accesso; i gruppi con autorizzazioni nel compartimento di destinazione ottengono l'accesso
La figura seguente mostra una gerarchia di compartimenti in cui il compartimento C, figlio di A:B, viene spostato nella gerarchia A:D.
| Elemento | Descrizione |
|---|---|
|
|
La tenancy prevede i criteri seguenti definiti per i compartimenti B e D: Policy1: |
|
Impatto quando il compartimento C viene spostato da B a D: Policy2: |
-
Il gruppo G1 non è più in grado di gestire le famiglie di istanze nel compartimento C.
-
Il gruppo G2 ora può gestire le famiglie di istanze nel compartimento C.
Assicurarsi di sapere non solo quali gruppi perdono le autorizzazioni quando si sposta un compartimento, ma anche quali gruppi otterranno le autorizzazioni.
Aggiornamento automatico dei criteri
Quando si sposta un compartimento, alcuni criteri verranno aggiornati automaticamente. I criteri che specificano la gerarchia dei compartimenti fino al compartimento da spostare verranno aggiornati automaticamente quando il criterio viene collegato a un predecessore condiviso dell'elemento padre corrente e di destinazione. Esaminare gli esempi riportati di seguito.
Esempio 1: criterio aggiornato automaticamente
| Elemento | Descrizione |
|---|---|
|
|
Criteri: |
|
|
Criteri: |
|
Il criterio viene aggiornato automaticamente. Il gruppo G1 non perde le autorizzazioni. |
In questo esempio, si sposta il compartimento A da Operations:Test a Operations:Dev. Il criterio che regola il compartimento A è collegato all'elemento padre condiviso Operations. Quando il compartimento viene spostato, l'istruzione dei criteri viene aggiornata automaticamente dal servizio IAM per specificare la nuova posizione del compartimento.
Non è necessario alcun intervento manuale per consentire al gruppo G1 di continuare ad accedere al compartimento A nella relativa posizione.
Esempio 2: criterio non aggiornato
| Elemento | Descrizione |
|---|---|
|
|
Criterio: consentire al gruppo G1 di gestire i bucket nel compartimento A |
|
|
Criterio: consentire al gruppo G1 di gestire i bucket nel compartimento A |
|
|
Il criterio non è aggiornato. Il gruppo G1 perde questa autorizzazione. Questo criterio non è valido e deve essere rimosso manualmente. |
In questo esempio, si sposta il compartimento A da Operations:Test a Operations:Dev. Tuttavia, il criterio che regola il compartimento A qui è collegato direttamente al compartimento di test. Quando il compartimento viene spostato, il criterio non viene aggiornato automaticamente. Il criterio che specifica il compartimento A non è più valido e deve essere rimosso manualmente. Il gruppo G1 non dispone più dell'accesso al compartimento A nella nuova posizione in Dev. A meno che un altro criterio esistente non conceda l'accesso al gruppo G1, è necessario creare un nuovo criterio per consentire a G1 di continuare a gestire i bucket nel compartimento A.
Esempio 3: il criterio collegato alla tenancy viene aggiornato
| Elemento | Descrizione |
|---|---|
|
|
Criterio: consente al gruppo G1 di gestire i bucket nel compartimento. Operazioni: Test:A |
|
|
Criterio: consente al gruppo G1 di gestire i bucket nel compartimento HR:Prod:A |
|
|
Il criterio viene aggiornato automaticamente. Il gruppo G1 non perde le autorizzazioni. |
In questo esempio, si sposta il compartimento A da Operations:Test a HR:Prod. Il criterio che regola il compartimento A è collegato alla tenancy, che è un predecessore condiviso dal compartimento padre originale e dal nuovo compartimento padre. Pertanto, quando il compartimento viene spostato, l'istruzione dei criteri viene aggiornata automaticamente dal servizio IAM per specificare la nuova posizione del compartimento.
Descrizione delle implicazioni delle quote del compartimento quando si sposta un compartimento
Quando si sposta un compartimento in un altro, le quote risorsa nel compartimento di destinazione non vengono verificate e non vengono applicate. Pertanto, se lo spostamento del compartimento comporta una violazione della quota nel compartimento di destinazione, lo spostamento non viene bloccato. Una volta completato lo spostamento, il compartimento di destinazione si troverà in uno stato di quota eccessiva. Non sarà possibile creare nuove risorse oltre quota fino a quando non si adeguano le quote per il compartimento di destinazione o non si rimuovono le risorse in modo da rispettare la quota esistente. Per ulteriori informazioni sulla gestione delle quote di compartimento, vedere Panoramica delle quote di compartimento.
Descrizione dell'applicazione di tag alle implicazioni quando si sposta un compartimento
Le tag non vengono aggiornate automaticamente dopo lo spostamento di un compartimento. Se hai implementato una strategia di applicazione tag basata sul compartimento, devi aggiornare le tag nelle risorse dopo lo spostamento. Ad esempio, si supponga che CompartmentA disponga di un compartimento figlio, CompartmentB. CompartmentA viene impostato con le impostazioni predefinite delle tag in modo che ogni risorsa in CompartmentA venga contrassegnata con TagA. Pertanto, CompartmentB e tutte le relative risorse sono contrassegnate con il tag predefinito TagA. Quando si sposta CompartmentB in CompartmentC, saranno comunque presenti le tag predefinite da CompartmentA. Se sono state impostate tag predefinite per CompartmentC, sarà necessario aggiungerle alle risorse nel compartimento spostato.
| Elemento | Descrizione |
|---|---|
|
|
Tutte le risorse in CompartmentB sono contrassegnate con le tag predefinite definite per il relativo padre, CompartmentA. |
|
|
Quando CompartmentB viene spostato in CompartmentC, le tag predefinite non vengono aggiornate. In CompartmentB sono ancora applicate le tag predefinite di CompartmentA. |