Oracle Cloudサービスにサインアップまたはサブスクライブすると、Oracleによってテナンシが作成されます。テナンシはアカウントと考えることができますが、クラウド・リソースを作成、編成および管理できるOracle Cloud Infrastructure内のセキュアで分離されたパーティションでもあります。サインアップすると、テナンシがホーム・リージョンに作成されますが、テナンシでは必要な数のリージョンをサブスクライブできます。大規模な組織では、複数のテナンシを持つことができます。テナンシ管理を参照してください。

コンパートメントでは、クラウド・リソースへのアクセスを編成および制御できます。コンパートメントは、管理者によって権限が付与された特定のグループのみがアクセスできる関連リソース(インスタンス、仮想クラウド・ネットワーク、ブロック・ボリュームなど)のコレクションです。コンパートメントは、物理コンテナではなく論理グループと考える必要があります。コンソールでリソースの操作を開始すると、コンパートメントは表示対象のフィルタとして機能します。

Oracle Cloud Infrastructureにサインアップすると、すべてのクラウド・リソースを保持するルート・コンパートメントであるテナンシが作成されます。次に、テナンシ(ルート・コンパートメント)内に追加コンパートメントを作成し、各コンパートメント内のリソースへのアクセスを制御するために対応するポリシーを作成します。インスタンス、ブロック・ボリューム、クラウド・ネットワークなどのクラウド・リソースを作成する場合、リソースが属するコンパートメントを指定する必要があります。

最終的に、各ユーザーが必要なリソースのみにアクセスできるようにすることが目標です。

アイデンティティ・ドメインとは、ユーザーとロールの管理、ユーザーのフェデレートとプロビジョニング、Oracle Single Sign-On (SSO)構成を使用したセキュアなアプリケーション統合、およびOAuth管理を行うためのコンテナです。これは、Oracle Cloud Infrastructureのユーザー人口と、それに関連付けられた構成およびセキュリティ設定(MFAなど)を表します。IAMの概要を参照してください。

ポリシーは、どのユーザーがどのリソースにアクセスできるか、およびその方法を指定するドキュメントです。ポリシーを記述して、Oracle Cloud Infrastructure内のすべてのサービスへのアクセスを制御できます。アクセス権はグループ・レベルおよびコンパートメント・レベルで付与されます。つまり、特定のコンパートメント内またはテナンシ自体への特定のアクセスのタイプをグループに付与するポリシーを記述できます。テナンシへのグループ・アクセス権を付与する場合、グループはテナンシ内のすべてのコンパートメントへの同じアクセスのタイプを自動的に取得します。詳細は、シナリオ例とポリシーの仕組みを参照してください。

セキュリティ・ゾーンを使用すると、コンピュート、ネットワーキング、オブジェクト・ストレージ、データベースおよびその他のリソースがOracleのセキュリティ原則およびベスト・プラクティスに準拠していることを確信できます。セキュリティ・ゾーンは、1つ以上のコンパートメントおよびセキュリティ・ゾーン・レシピに関連付けられます。セキュリティ・ゾーンでリソースを作成および更新すると、Oracle Cloud Infrastructureでは、これらの操作がセキュリティ・ゾーンのレシピのポリシーに対して検証されます。セキュリティ・ゾーン・ポリシーに違反している場合、操作は拒否されます。詳細は、セキュリティ・ゾーンの概要を参照してください。