Preparazione della tenancy personale

Prima di installare Compute Cloud@Customer, è necessario impostare la tenancy per utilizzare un provider di identità federato per gestire l'autenticazione.

Quando Oracle installa Compute Cloud@Customer, Oracle configura l'infrastruttura Compute Cloud@Customer in modo che utilizzi lo stesso provider di identità federato. Ciò consente di utilizzare le stesse credenziali per accedere a Oracle Cloud Infrastructure and Compute Cloud@Customer.

Se la tenancy è già configurata per utilizzare un provider di identità federato, incluso Identity Cloud Service di Oracle, si è tutti impostati. Condividere le informazioni sull'identità federata con il rappresentante Oracle. In caso contrario, rivolgersi al rappresentante Oracle per creare un provider di identità federato.

È possibile utilizzare un provider di identità esterno o Oracle Identity Cloud Service. Il tipo di provider di identità che è possibile utilizzare dipende dal tipo di tenancy di cui si dispone (una tenancy con domini di Identity IAM o senza domini di Identity IAM).

Per ulteriori informazioni, consultare le risorse riportate di seguito.

• Determinazione del tipo di tenancy
• Tenancy con domini di Identity - Federazione con provider di identità
• Tenancy senza domini di Identity - Federazione con provider di identità

Per informazioni sulla protezione della federazione IAM, vedere Federazione IAM.

Per preparare la tenancy Oracle Cloud Infrastructure, identificare gli utenti e creare gruppi per le persone dell'organizzazione che amministrano l'infrastruttura Compute Cloud@Customer.

Eseguire questo task prima di connettere Compute Cloud@Customer a Oracle Cloud Infrastructure.

Per informazioni su come aggiungere utenti e gruppi, vedere Gestione degli utenti e dei gruppi di Oracle Identity Cloud Service nella console di Oracle Cloud Infrastructure.

1. Identificare l'amministratore della tenancy.

2. Creare almeno un gruppo con gli utenti che possono eseguire i seguenti task amministrativi:

   • Crea, aggiorna ed elimina le infrastrutture Compute Cloud@Customer.
   • Crea, aggiorna ed elimina le pianificazioni di upgrade di Compute Cloud@Customer.
   • Eseguire il processo di registrazione basato su certificati che stabilisce la connessione sicura dell'infrastruttura alla tenancy. Si consiglia di creare un gruppo specifico per questo task amministrativo e di concedere solo autorizzazioni limitate all'esecuzione di questo task.

I gruppi sono inclusi nei criteri definiti in seguito. Vedere Aggiungi criteri obbligatori.

Quando Compute Cloud@Customer è connesso a Oracle Cloud Infrastructure, sono necessari uno o più compartimenti.

Un compartimento è una raccolta di risorse correlate. I compartimenti sono un componente fondamentale di Oracle Cloud Infrastructure per organizzare e isolare le tue risorse cloud. Le risorse vengono utilizzate per separare le risorse allo scopo di controllare l'accesso (utilizzando i criteri) e l'isolamento (separando le risorse per un progetto o una business unit da un altro).

Per Compute Cloud@Customer, è necessario almeno un compartimento per i seguenti elementi:

• Connessione dell'infrastruttura Compute Cloud@Customer a Oracle Cloud Infrastructure.
• La VCN creata alla fine per la connessione a Oracle Cloud Infrastructure.

Compute Cloud@Customer può essere connesso alla tua tenancy (compartimento radice), a un compartimento esistente o a un nuovo compartimento. È possibile utilizzare più compartimenti. Ad esempio, puoi utilizzare un compartimento per la connessione all'infrastruttura e un altro per la VCN.

1. Creare o scegliere un compartimento in base al modo in cui si utilizzano i compartimenti per controllare l'accesso alle risorse.

   Se si prevede di creare un nuovo compartimento, collegarsi a OCI e utilizzare la console di Oracle Cloud oppure utilizzare l'interfaccia CLI OCI o l'API OCI per creare il compartimento nella tenancy.

   Nota
   
   

   I compartimenti utilizzati per Compute Cloud@Customer, inclusi i compartimenti per l'installazione, vengono creati e gestiti in OCI. I compartimenti non vengono gestiti nell'infrastruttura Compute Cloud@Customer. Tutti i compartimenti della tenancy vengono sincronizzati automaticamente all'infrastruttura Compute Cloud@Customer, ogni dieci minuti o giù di lì.

   Per un'introduzione ai compartimenti e per istruzioni sulla gestione dei compartimenti, vedere Gestione dei compartimenti.

Alcuni criteri IAM devono essere configurati prima di connettere Compute Cloud@Customer alla tenancy.

1. Configurare i criteri seguenti nella tenancy.

   Per informazioni su come utilizzare i criteri, vedere Gestione dei criteri.

   Se la tenancy supporta i domini di Identity, è possibile creare criteri che specificano il gruppo dinamico. Per determinare se la tenancy dispone o meno di domini di Identity, vedere Determinazione del tipo di tenancy.

   Nota
   
   

   È possibile creare istruzioni criteri diverse per ottenere lo stesso livello di accesso alle risorse. Di seguito sono riportati alcuni esempi di criteri. È possibile utilizzare l'esempio o creare variazioni di criteri, purché i criteri consentano l'accesso all'utente o al gruppo corretto per la risorsa specifica.

   Criterio 1: consente agli utenti di creare, leggere, aggiornare ed eliminare le infrastrutture Compute Cloud@Customer e le pianificazioni degli aggiornamenti.

   Importante
   
   Specificare un gruppo IAM che includa solo gli utenti che richiedono le autorizzazioni per gestire le infrastrutture e le pianificazioni dell'upgrade. L'amministrazione di queste risorse è fondamentale per le funzionalità di Compute Cloud@Customer e non deve essere consentita per gli utenti non autorizzati.

   Esempio di criterio per IAM con o senza domini di Identity:

   allow group <group_name> to manage ccc-family in tenancy

   Criterio 2: consente a Compute Cloud@Customer di utilizzare i dati IAM per la gestione delle identità e degli accessi nelle risorse di Compute Cloud@Customer.

   Esempio di criterio per IAM con o senza domini di Identity:

   allow any-user to {COMPARTMENT_INSPECT, USER_INSPECT, GROUP_INSPECT, DYNAMIC_GROUP_INSPECT, POLICY_READ, TAG_NAMESPACE_INSPECT, USER_READ, TAG_DEFAULT_INSPECT, TAG_NAMESPACE_READ, DOMAIN_READ, DOMAIN_INSPECT } in tenancy where all { request.principal.id='<ccc-infrastructure_OCID>', request.principal.type='cccinfrastructure' }

   Esempio di criterio per IAM con domini di identità:

   allow dynamic-group <dynamic-group> to {COMPARTMENT_INSPECT, USER_INSPECT, GROUP_INSPECT, DYNAMIC_GROUP_INSPECT, POLICY_READ, TAG_NAMESPACE_INSPECT, USER_READ, TAG_DEFAULT_INSPECT, TAG_NAMESPACE_READ, DOMAIN_READ, DOMAIN_INSPECT} in tenancy

   Criterio 3: consente al servizio dell'infrastruttura Compute Cloud@Customer di inviare notifiche sugli upgrade.

   Per ulteriori informazioni sulle notifiche di upgrade e su come eseguire la sottoscrizione per riceverle, vedere Sottoscrizione alle notifiche di upgrade.

   Gli esempi riportati di seguito mostrano i criteri per IAM con o senza domini di Identity.

   allow any-user to manage ons-topics in tenancy where request.principal.type ='cccinfrastructurenotifier'

   Il criterio può essere modificato per limitare l'accesso al compartimento radice come mostrato nell'esempio riportato di seguito.

   allow any-user to manage ons-topics in tenancy where all {request.principal.type='cccinfrastructurenotifier', target.compartment.name = 'root_compartment' }

   Se limiti l'accesso a un compartimento, deve trovarsi nel compartimento radice (tenancy).

   Criterio 4: consente a un utente del gruppo specificato di avviare il processo di registrazione che consente all'infrastruttura di comunicare con la tenancy OCI.

   Nota
   
   

   Non specificare un gruppo di amministratori regolare. Creare invece un gruppo con un utente il cui unico scopo è quello di eseguire il processo di registrazione.

   Per ulteriori informazioni, consulta la sezione Connessione di un'infrastruttura Compute Cloud@Customer a OCI.

   Gli esempi di criteri riportati di seguito riguardano IAM con o senza domini di Identity.

   In questo esempio il criterio viene impostato a livello di tenancy:

   allow group <group_name> to { CCC_CERTIFICATE_REGISTER } in tenancy

   Questo esempio imposta il criterio a livello di compartimento. Il compartimento deve essere il compartimento associato all'infrastruttura:

   allow group <group_name> to { CCC_CERTIFICATE_REGISTER } in compartment '<compartment_name>'

Per informazioni sui criteri di Compute Cloud@Customer che è possibile utilizzare per controllare l'accesso all'infrastruttura Compute Cloud@Customer e le operazioni di pianificazione dell'upgrade, vedere Riferimento ai criteri di Compute Cloud@Customer.

Prima di connettere Compute Cloud@Customer alla tenancy, creare una VCN con una subnet nella tenancy.