Oracle Cloud Infrastructureドキュメント

組織管理の概要

組織管理を使用して、複数のテナンシの一元管理、子テナンシの招待と作成、サブスクリプションの表示とマップ、組織内のテナンシへのガバナンス・ルールの作成とアタッチを行います。

組織管理では、組織にテナンシを追加し、それらのテナンシがプライマリ有料サブスクリプションから消費するようにできます。分離テナンシを作成してワークロードを構築でき、新しいオーダーを予約する必要はありません。

組織管理でサブスクリプションをマップして使用する場合、2つのタイプのテナンシが関係します:
  • テナンシ(プライマリ資金調達サブスクリプションに関連付けられているテナンシ)。
  • テナンシ(自分のものではないサブスクリプションから消費するテナンシ)。子テナンシは、完全に新しいテナンシとして作成することも、親テナンシとともに同じ組織の一部になるように既存のテナンシを招待することもできます。
ノート

親サブスクライブ済リージョンは、子サブスクライブ済リージョンのスーパーセットである必要があります。

組織は、親テナンシによって管理される複数のサブスクリプション(最大50)を持つことができます。親テナンシは、サブスクリプション・マッピングを使用して、組織内の子テナンシにサブスクリプションを割り当てることができます。

組織管理の利点は次のとおりです。

  • コスト超過の回避とマルチテナンシ・コスト管理の有効化に役立つ単一のコミットメントを共有します。組織内のリンクされているすべてのテナンシにわたって分析、レポートおよびモニターできます。親テナンシは、コスト分析およびコストおよび使用状況レポートを使用して各テナンシを分析およびレポートでき、予算を介してアラートを受信できます。
  • 厳密なデータ分離要件を持つ顧客は、マルチテナンシ戦略を使用してデータを分離し、テナンシ全体でリソースを制限できます。
  • ガバナンス・ルールを使用して、特定の子テナンシまたは組織全体にリソースを強制および管理します。
重要

SaaSサブスクリプション・サービスは、サブスクリプションがアクティブ化されたテナンシでのみプロビジョニングできます。子テナンシへのアクティブ化は許可されません。

このトピックの残りの部分では、組織管理を使用して子テナンシを作成する方法、既存のテナンシを招待する方法、招待の表示と取消しを行う方法、およびサブスクリプションをテナンシに再マップする方法の概要を示します。コスト・レポート機能についても説明します。この機能を使用して、組織内のすべてのテナンシのコストおよび使用状況の情報を一元管理できます。これらの機能を使用すると、マルチテナンシ環境をより適切に管理できます。

クラウド・アドバイザの統合

組織管理クラウド・アドバイザとも統合されます。これにより、親テナンシの顧客は、親テナンシ・レベルと子テナンシ・レベル両方での推奨事項を表示できます。詳細は、組織全体の推奨事項の表示を参照してください。

計画に関する考慮事項

テナンシをさらに取得する前に、マルチテナンシにすることがお客様のワークロードに最適であると確認するために、必要性を判断してください。テナンシを複数にする主な理由は、ワークロードを分離しやすくするための分離の強化です。デフォルトでは、各親および子テナンシには次のものが付属しています:

  • IAMユーザーの個別のセット(別のアイデンティティ・システムにフェデレートできます)。
  • IAMポリシー(権限)の個別のセット。
  • 独自のサービス制限
  • 分離された仮想クラウド・ネットワーク(VCN)。
  • 個別のセキュリティとガバナンスの設定。

管理するテナンシが複数になると管理オーバーヘッドが増えるため、分離することにそれだけの価値があるか確認してください。強力なレベルの分離が必要ない場合は、かわりに、コンパートメントでのワークロードの分離を検討します。

必要なIAMポリシー

Oracle Cloud Infrastructureを使用するには、管理者によってポリシーでセキュリティ・アクセス権が付与されている必要があります。このアクセス権は、コンソール、あるいはSDK、CLIまたはその他のツールを使用したREST APIのいずれを使用している場合でも必要です。権限がない、または認可されていないというメッセージが表示された場合は、自分がどのタイプのアクセス権を持っているか、およびどのコンパートメントで作業するかを管理者に確認してください。

ポリシーを初めて使用する場合は、ポリシーの開始共通ポリシーを参照してください。

組織管理を使用するには、次のポリシー・ステートメントが必要です:

Allow group linkUsers to use organizations-family in tenancy
Allow group linkAdmins to manage organizations-family in tenancy

招待を受け入れるが作成しない場合は、次を使用します:

allow group linkAccepters to manage organizations-recipient-invitations in tenancy

現在リンクされているテナンシを表示し、招待を表示しない場合:

allow group linkViewers to read organizations-links in tenancy

新しい子テナンシの作成

親テナンシとして、他のリンクされた子テナンシを組織内に作成できます。新しく作成された子テナンシは、親テナンシのサブスクリプションから消費します。新しい子テナンシが別のサブスクリプションから消費するようにする場合は、「サブスクリプション・マッピング」ページで、作成されたテナンシを別のサブスクリプションに再マップできます。

作成中に新しい子テナンシにガバナンス・ルールをアタッチすることも、後で戻ってルールをアタッチすることもできます。子テナンシの作成前にガバナンス・ルールをアタッチする場合は、最初に「ガバナンス・ルール」ページでガバナンス・ルールを作成して、新しい子テナンシの作成時に選択できるようにします。

ノート

Pay As You GoまたはFree Tierサブスクリプションを使用するテナンシは、新しい子テナンシを追加できません。

子テナンシを作成する場合、必要な情報を指定すると、子テナンシ管理者にサインイン手順が提供されます。作成された(子)テナンシは、組織のデフォルト・サブスクリプションから自動的に消費するため、すべての使用量に対する請求がそのサブスクリプションのレート・カードに基づいて行われます。親テナンシは、子テナンシの使用量についても責任を負います。

  1. ナビゲーション・メニューを開き、「ガバナンスと管理」をクリックします。「組織管理」で、「テナンシ」をクリックします。
  2. 「新規テナンシの作成」をクリックします。「新規テナンシの作成」パネルが表示されます。
  3. 「テナンシ詳細」ステップの「テナンシ名」に、新しい子テナンシの名前を入力します。テナンシ名は一意であり、すべて小文字で特殊文字を含まないようにする必要があります。機密情報を入力しないでください。
  4. 「ホーム・リージョン」で、リストからリージョンを選択します。ホーム・リージョンは、親がサブスクライブされているリージョンの1つです。
  5. 「管理者の電子メール」および「電子メールの確認」に、テナンシ管理者の電子メール・アドレスを入力して確認します。
  6. 「次」をクリックします。ガバナンス・ルール・ステップが表示され、テナンシにアタッチするガバナンス・ルールを選択するか、スキップして後でアタッチできます。ルールのアタッチやデタッチ、組織ガバナンスからのテナンシのオプト・アウトは、今後いつでも実行できます。
  7. 「ガバナンス・ルール」で、「ガバナンス・ルールをすぐに選択」(デフォルト)を選択するか、「スキップしてガバナンス・ルールを後で選択」を選択します。ここでガバナンス・ルールを選択する場合は、表から選択します。ルール・タイプ(タグ、許可されるリージョン、割当て制限)またはターゲット・テナンシによって表をフィルタできます。いずれのルールでも、下矢印(ロギングの下矢印)をクリックしてルール・エントリを展開し、その詳細を表示します。

    1つ以上のルールを選択し、「次」をクリックします。

  8. サマリー・ステップを確認して、指定した新しい子テナンシ設定が正しいことを確認します。テナンシの詳細には、テナンシ名、ホーム・リージョンおよび管理者の電子メールが表示され、ガバナンス・ルール表には、ルール名、ルール・タイプおよびターゲット・テナンシが表示されます。
  9. 「テナンシの作成」をクリックします。子テナンシの作成が正常にリクエストされたことを示す通知が表示されます。リクエストが正常に完了すると、認証資格証明が電子メールですぐに送信されます。

子テナンシ管理者にサインインの手順が送信されます。新しい子テナンシへの初回サインインには、提供された一時パスワードを使用します。パスワードは変更する必要があります。

ノート

子テナンシが作成された場合、そのテナンシはOracle Identity Cloud Serviceに自動的にフェデレートされません。詳細は、Oracle Identity Cloud Serviceのフェデレートを参照してください。My Oracle Servicesにアクセスするには次のURLを使用します: https://myservices-<account name>.console.oraclecloud.com/mycloud/cloudportal/gettingStarted。

既存のテナンシの招待

適切な制限がある場合、組織に加わるように別のテナンシを招待できます。テナンシが組織に加わると、そのサブスクリプションは親テナンシによって管理されます。

別のテナンシの招待に関連する制限の詳細は、組織制限を参照してください。

招待を受け入れるには、受信者テナンシが子テナンシでサブスクリプション共有を管理するための適切な権限を持っている必要があります。詳細は、必要なIAMポリシーを参照してください。

作成中に招待されたテナンシにガバナンス・ルールをアタッチすることも、後で戻ってルールをアタッチすることもできます。招待の送信前にガバナンス・ルールをアタッチする場合は、最初に「ガバナンス・ルール」ページでガバナンス・ルールを作成して、テナンシの招待プロセス中に選択できるようにします。

招待されたテナンシ(受信者テナンシとも呼ばれる)は、組織内のデフォルト・サブスクリプションから自動的に消費するため、すべての使用量に対する請求がデフォルト・サブスクリプションのレート・カードに対して行われます。招待された受信者テナンシがデフォルト・サブスクリプションから消費しないようにする場合は、招待されたテナンシが組織に加わった後で、サブスクリプションを元のPay As You Goサブスクリプションに再マップできます。

テナンシを招待するには:

  1. サブスクリプション共有を管理する権限を持つユーザーとして、招待を送信する(送信者)テナンシにサインインします。
  2. ナビゲーション・メニューを開き、「ガバナンスと管理」をクリックします。「組織管理」で、「テナンシ」をクリックします。
  3. 「テナンシの招待」をクリックします。「テナンシの招待」パネルが表示されます。
  4. 「招待名」に、受信者に表示される招待の名前を入力します。機密情報を入力しないでください。
    ノート

    招待名には、招待の送信の方向と試行回数を示す表記法を使用すると便利です。たとえば、a1 to b1 v1と入力すると、テナンシa1がb1に招待を送信していることを表し、v1は最初の試行であることを示すことができます。このような規則により、送信者および受信者の詳細を表示するために招待の詳細ページにアクセスしなくても、コンソール・ユーザーが招待を判読できるようになります。詳細は、招待の表示を参照してください。
  5. 「受信者テナンシOCID」に、受信者のOCIDを入力します。「テナンシ詳細」ページでOCIDを確認できます。
  6. 「受信者電子メール」に、受信者の電子メール・アドレスを入力して確認します。
    ノート

    招待を受け入れるには、受信者が受信者テナンシでサブスクリプション共有を管理するための適切な権限を持っている必要があります。詳細は、必要なIAMポリシーを参照してください。
  7. 「拡張オプションの表示」をクリックし、タグ付けの詳細を入力します。詳細は、リソース・タグを参照してください。
  8. 「次」をクリックします。ガバナンス・ルール・ステップが表示され、テナンシにアタッチするガバナンス・ルールを選択するか、スキップして後でアタッチできます。ルールのアタッチやデタッチ、組織ガバナンスからのテナンシのオプト・アウトは、今後いつでも実行できます。
  9. 「ガバナンス・ルール」で、「ガバナンス・ルールをすぐに選択」(デフォルト)を選択するか、「スキップしてガバナンス・ルールを後で選択」を選択します。ここでガバナンス・ルールを選択する場合は、表から選択します。ルール・タイプ(タグ、許可されるリージョン、割当て制限)またはターゲット・テナンシによって表をフィルタできます。いずれのルールでも、下矢印(ロギングの下矢印)をクリックしてルール・エントリを展開し、その詳細を表示します。
    ノート

    一部のルールは組織全体で設定されているため、そのようなルールはすでに選択されており、無効にすることはできません。

    1つ以上の追加ルールを選択し、「次」をクリックします。

  10. サマリー・ステップを確認して、指定した招待されたテナンシ設定が正しいことを確認します。テナンシの詳細には、招待名および受信者テナンシOCIDが表示され、ガバナンス・ルール表には、ルール名、ルール・タイプおよびターゲット・テナンシが表示されます。招待されたテナンシが組織ガバナンスに参加する必要がある(つまり、ガバナンス・ルールを使用する)かどうかも表示されます(「はい」または「いいえ」)。
  11. 「テナンシの招待」をクリックします。招待が、組織に追加してサブスクリプションおよび任意のガバナンス・ルール(選択されている場合)を共有するために招待しているテナンシに送信されます。組織に加わるように(関連付けられたOCIDを持つ)テナンシを招待するリクエストが正常に行われたという通知が表示されます。リクエストが正常に完了すると、受信者テナンシに受け入れる招待が送信されます。招待は30日で失効します。
    ノート

    親テナンシとまだ共有関係にないテナンシは、招待を送信できます。子テナンシは招待を送信できません

    受信者テナンシの認可ユーザーが招待を受け入れ、受信者テナンシがPay As You Goサブスクリプションにサブスクライブされている場合、受信者テナンシのすべての使用量が自分のサブスクリプションに対して測定されます。招待が受け入れられた後に、受信者のテナンシとのサブスクリプションの共有を停止する場合は、サブスクリプションを再マップできます。

  12. 受信者(子)テナンシで: ナビゲーション・メニューを開き、「ガバナンスと管理」をクリックします。「組織管理」で、「招待」をクリックします。「招待」ページが表示されます。

    招待を送信したテナンシからの招待が、「招待」ページ・リストに次の情報とともに表示されます:

    • 招待名: リンクの付いた名前をクリックすると、招待の詳細ページに移動します。

    • ステータス: 招待のステータスが表示されます。たとえば、招待が受信されたがまだ受け入れられていない場合、ステータスは「アクティブ」になります。親テナンシから見ると、送信されたがまだ受け入れられていない招待の場合、このフィールドには「保留中」と表示されます。

      送信者および受信者の招待のステータスは、次のいずれかになります:
      送信者招待 受信者招待
      • PENDING
      • CANCELED
      • ACCEPTED
      • EXPIRED
      • FAILED
      • PENDING
      • CANCELED
      • ACCEPTED
      • IGNORED
      • EXPIRED
      • FAILED
    • タイプ: 招待タイプ(「送信した招待」または「受信した招待」)。一方、送信リクエストまたは受信リクエストの招待は、組織ガバナンスに参加する(ガバナンス・ルールを使用する)ための招待が送信または受信されたことを意味します。
    • 作成日: 招待のUTC作成日時。
  13. 受信者(子)テナンシ: 「アクション」メニューをクリックし、「招待に応じる」を選択します。テナンシからの招待を受け入れようとしていることを示す確認受諾メッセージが表示されます。

    「同意」をクリックすると、招待が処理され、招待の「ステータス」フィールドが「受入れ済」に変わります。テナンシは、組織内の親テナンシの下位にある子テナンシになります。

    共有招待が受け入れられた後、測定が親テナンシのサブスクリプションへのフローを開始するまでに1時間から2時間かかります。ただし、それ以降、子テナンシのすべての使用量は、親テナンシのサブスクリプションに対して測定されます。また、新しいテナンシが組織に加わった後、数時間待ってからリソースを起動することをお薦めします(つまり、すべての支出が親テナンシのサブスクリプションに対して発生するようにする場合)。

    残りのサブスクリプション残高が存在する場合は、営業担当に連絡して、送信側テナンシのプライマリ・サブスクリプションに残高を移動してください。

    ノート

    テナンシが組織内の子テナンシになると、別のテナンシを子テナンシになるように招待できません。
  14. 「組織管理」の子テナンシの「テナンシ」ページを開きます。このページは組織に属する親テナンシに対してのみ使用可能であるため、テナンシ詳細を表示することはできません。この状況を示すメッセージが表示されます。「サブスクリプション・マッピング」ページも、親テナンシの組織に加わった子テナンシでは使用できません。
    ノート

    テナンシが組織に加わった場合、そのサブスクリプションは親テナンシによって管理されます。子テナンシを元のサブスクリプションに再マップするには、サブスクリプション・マッピングを使用できます。

    一方、「組織管理」の親テナンシの「テナンシ」ページでは、子テナンシと親テナンシ、および組織のサブスクリプションに対して測定されている他の(子)テナンシを表示できます。次が表示されます:

    • テナンシ名
    • テナンシOCID
    • ステータス: 招待のステータスが表示されます。
    • 組織ガバナンス: テナンシがガバナンス・ルールを使用している(参加済)か、または使用していない(不参加)かを指定します。
    • 加入日: テナンシが加わってサブスクリプション共有が開始されたUTC日時。

招待の表示

招待の詳細は、親と子の両方のテナンシから表示できます。

招待を表示するには:

  1. ナビゲーション・メニューを開き、「ガバナンスと管理」をクリックします。「組織管理」で、「招待」をクリックします。「招待」ページが表示されます。
  2. 「招待名」フィールドでリンクの付いた招待名をクリックするか、「アクション」メニューをクリックして「招待の詳細の表示」を選択します。「招待の詳細」ページが表示されます。
  3. このページには、招待ステータスが「招待情報」タブに次の詳細とともに表示されます:
    • 送信元テナンシOCID
    • タイプ: このフィールドには、両方の招待(親テナンシが、テナンシを組織に参加する子テナンシになるようにする)、またはリクエスト(ガバナンス・ルールを使用する)が表示されます。
    • 最新ステータス変更
    • 送信先テナンシOCID
    • 送信日

    「タグの追加」をクリックしてタグ付け情報を追加し、「タグ」タブで表示することもできます。詳細は、リソース・タグを参照してください。

招待の取消し

組織に加わるように別のテナンシに招待を送信した親テナンシは、後で「招待」ページでそのような招待を取り消すことを選択できます。

招待を取り消すには:

  1. 招待およびサブスクリプション共有を管理する権限を持つユーザーとして、プライマリ(親)テナンシにサインインします。
  2. 親テナンシとして、ナビゲーション・メニューを開き、「ガバナンスと管理」をクリックします。「組織管理」で、「招待」をクリックします。「招待」ページが表示されます。
  3. 取り消す招待について、「アクション」メニューをクリックし、「招待の取消」を選択します。招待の詳細ページで、「取消」をクリックすることもできます。招待の取消の確認が表示されます。招待を取り消すには、「取消」をクリックします。
  4. 「招待」ページで、招待の「ステータス」「取消済」に変わります。

招待したテナンシの削除

親テナンシとして、招待した子テナンシを組織から削除できます。削除できるのは、招待した子テナンシのみです。

招待した子テナンシを削除するには、まずテナンシの割当てを元のサブスクリプションに戻す必要があります。再マップした後に、子テナンシを削除できます。

子テナンシを削除すると、親テナンシで子テナンシを管理できなくなります。親テナンシは、子のコストや使用状況の情報を表示することも、子のサブスクリプション・マッピングを管理することもできません。子テナンシが組織内の別のサブスクリプションから消費するようにする場合は、テナンシを削除する必要はありません。かわりに、サブスクリプション・マッピングで、テナンシを別のサブスクリプションに再マップできます。テナンシは次のようにして削除します:

  1. ナビゲーション・メニューを開き、「ガバナンスと管理」をクリックします。「組織管理」で、「サブスクリプション・マッピング」をクリックします。「サブスクリプション・マッピング」ページが表示されます。
  2. 「サブスクリプション・マッピング」ページで、「サブスクリプションID」列から、子テナンシの元のユニバーサル・クレジット・サブスクリプションを選択します。「サブスクリプション・マッピング詳細」ページが開きます。
  3. 「マップされたテナンシ」で、「サブスクリプションのマップ」をクリックします。「サブスクリプションのマップ」パネルが開きます。
  4. 再マップする子テナンシを選択し、「サブスクリプションのマップ」をクリックします。
    ノート

    他のテナンシがこのサブスクリプションにマップされている場合は、サブスクリプションから他のテナンシのマップを解除する必要があります。詳細は、「サブスクリプション・マッピング」を参照してください。
  5. 「組織管理」で、「テナンシ」をクリックします。「テナンシ」ページが表示されます。
  6. 削除するテナンシの「アクション」メニューを開き、「テナンシの削除」を選択します。テナンシを削除することを確認し、「テナンシの削除」をクリックします。

    「テナンシの削除」ダイアログに、子が自身のUCMサブスクリプションから消費していませんというエラーが表示された場合は、子テナンシが自身のユニバーサル・クレジット・サブスクリプションに再マップされていないことを意味します。

子テナンシは、元のサブスクリプションとともに、組織から削除されます。子テナンシを元のサブスクリプションにマッピングすると、そのテナンシは自身のサブスクリプションから消費し、サブスクリプションの使用量に対する支払を行うことになります。

サブスクリプション・マッピング

組織管理内でテナンシを表示し、サブスクリプションに再マップできます。

組織は、親テナンシによって管理される複数のサブスクリプションを持つことができます。たとえば、組織は常に単一のサブスクリプション(サブスクリプション"A")のみで開始しますが、後で組織に参加する独自のサブスクリプション(サブスクリプション"B")を持つ子テナンシは独自のサブスクリプションBを持ち込むことができます。親テナンシは、サブスクリプション・マッピングを使用して、サブスクリプションBを組織内の他のテナンシにマップできます。その結果、組織のサブスクリプションは、組織内の任意のテナンシにマップできます。

サブスクリプションにマップされたテナンシは、サブスクリプションのクレジット(ユニバーサル・クレジット・コミットメント・サブスクリプションの場合)から消費し、そのレート・カードを使用します。テナンシをサブスクリプションに再マップすることで、テナンシの使用量は、サブスクリプションの条件(レート・カード、クレジット消費、サブスクリプションの契約内のその他の契約など)に適用されます。

サブスクリプションをマップするには:

  1. ナビゲーション・メニューを開き、「ガバナンスと管理」をクリックします。「組織管理」で、「サブスクリプション・マッピング」をクリックします。「サブスクリプション・マッピング」ページが表示されます。
  2. 「サブスクリプションID」フィールドでサブスクリプション名をクリックします。サブスクリプション・マッピングの詳細ページが表示されます。

    このページには、サブスクリプションの詳細とサブスクリプションに割り当てられているテナンシが次の観点から表示されます:

    • サブスクリプションID
    • サブスクリプションOCID
    • サブスクリプション・タイプ
    • サブスクリプション開始日
    • サブスクリプション終了日
    • サブスクリプション説明
  3. 「マップされたテナンシ」で、「サブスクリプションのマップ」をクリックして「サブスクリプションのマップ」パネルを開き、このサブスクリプションにマップする他のテナンシを追加できます。選択したサブスクリプションをテナンシに再マップすると、テナンシは以前にマップされたサブスクリプションからの消費を停止します。
  4. 「サブスクリプションのマップ」パネルで選択を行い、「サブスクリプションのマップ」をクリックします。

ガバナンス・ルールの使用

ガバナンス・ルールを使用して、組織内のテナンシにコントロールを構成およびアタッチできます。ガバナンス・ルールがテナンシにアタッチされると、対応するリソースが作成され、ターゲット・テナンシに固定されます。

ガバナンス・ルールは、親テナンシが作成する強制の一種であり、子テナンシのリソースを管理できます。親テナンシはガバナンス・ルールを作成し、1つ以上の子テナンシにターゲット指定できます。設定後、ガバナンス・ルールの強制はロックされ、子テナンシ内のユーザーはルールを変更できなくなります。その結果、このようなリソースのインタフェースにロック・アイコンが表示されます。たとえば、親テナンシが子テナンシに対して許可されているリージョン・ガバナンス・ルールを作成した場合、子テナンシの「割当て制限ポリシー」ページでは、割当て制限名に隣接するロック・アイコンが表示されます。割当て制限ポリシーの詳細ページを表示すると、ガバナンス・ルールを使用してリソースが親テナンシによって作成およびロックされたことを示すメッセージが表示されます。詳細は、リソース・ロックを参照してください。

ガバナンス・ルールを使用すると、次のことを強制できます:

  • 許可されたリージョン: ターゲット・テナンシがサブスクライブできる1つ以上のリージョン。コンプライアンス標準で許可されているリージョンの許容リストを設定します。
    ノート

    ターゲット・テナンシが、許可されたリージョンのリストにないリージョンにすでにサブスクライブしている場合は、テナンシがそのリージョンにサブスクライブされたままになります。
  • 割当て制限ポリシー: リソース割当て制限を設定して、サービス内のリソース数を制限するか、特定のサービスを無効にします。このような割当て制限は、テナンシ・レベルで設定できます。次に例を示します:
    zero compute-core quotas in tenancy
set compute-core quota to 20 in tenancy
  • タグ: 組織全体でタグを定義します。一貫したタグ付けのためにタグ・ネームスペースを共有することも、すべてのリソースがタグ付けされるようにタグのデフォルトを定義することもできます。
    ノート

    ガバナンス・ルールの作成に使用された親テナンシのリソース(タグ・ネームスペースなど)を更新する場合は、ガバナンス・ルールも更新する必要があります。更新しないと、変更が子テナンシに伝播されません。

ガバナンス・ルールを作成し、それを1つ以上のテナンシにアタッチするには:

  1. ナビゲーション・メニューを開き、「ガバナンスと管理」をクリックします。「組織管理」で、「ガバナンス・ルール」をクリックします。
  2. 「ルールの作成」をクリックします。「ルールの作成」パネルが開きます。
  3. 「名前」に、新しいガバナンス・ルールの名前を入力します。機密情報を入力しないでください。
  4. 「タイプ」から、「許可されたリージョン」「割当て制限ポリシー」または「タグ」のいずれかのガバナンス・ルール・タイプを選択します。
    1. 「許可されたリージョン」を選択した場合は、「ルール構成」で、ターゲット・テナンシがサブスクライブを許可されている1つ以上のリージョンを選択します。

      「説明」に、許可されたリージョンのルール構成の名前を入力します。機密情報を入力しないでください。「リージョン」で、許可するリージョンを選択します。

    2. 「割当て制限ポリシー」を選択した場合は、「ルール構成」で、ターゲット・テナンシにアタッチする割当て制限ポリシーを作成します。

      「説明」に、割当て制限ポリシーのルール構成の名前を入力します。機密情報を入力しないでください。「割当て制限ポリシー・ステートメント」で、設定する割当て制限ポリシー・ステートメントを追加します。割当て制限の作成、構文およびサンプルの詳細は、割当て制限ポリシーの管理割当て制限ポリシーの構文およびサンプル割当てを参照してください。

    3. 「タグ」を選択した場合は、「ルール構成」で、ルート・コンパートメントからタグ・ネームスペースを作成して、ターゲット・テナンシにクローニングするか、デフォルト・タグを定義します。

      「タグ・ネームスペース」リストからタグ・ネームスペースを選択します。「詳細の表示」をクリックして、「タグ・ネームスペースの詳細」パネルにネームスペースの詳細を表示します。パネルでは、「タグ・キー」「値タイプ」および「コスト・トラッキング」タグの詳細、およびタグ・キーの説明を表示できます。

      デフォルト・タグを追加する場合は、対応する「デフォルト・タグの追加」オプションを選択し、リストからタグ・キーを選択します。「必須のタグ値オプション」を設定することもできます。「デフォルト値」を使用して、「デフォルト値」フィールドに値を入力するか、「ユーザー適用値」を選択します。

  5. 「ルールのアタッチ」で、ルールを特定のテナンシにアタッチするか、(ガバナンス・ルールを使用して)組織ガバナンスに参加した現在および将来のすべてのテナンシにルールをアタッチするかを選択できます。

    「特定のテナンシへのアタッチ」を選択した場合は、「テナンシ」フィールドから1つ以上のテナンシを選択します。また、この時点でテナンシを選択しないこともできます(このようなルールでは、関連するガバナンス・ルールの詳細ページの「ターゲット・テナンシ」フィールドに0が表示されます)。

    「組織全体へのアタッチ」を選択した場合は、ルールは、テナンシ、および組織ガバナンスに参加している組織のテナンシのすべてにアタッチされます。ルール・アタッチメントは、現在と将来の両方のテナンシに適用されます。

  6. テナンシ内のリソースを整理およびトラッキングするためのタグ付け設定を指定します。
  7. 「ルールの作成」をクリックします。作成したルールに関連付けられた新しいガバナンス・ルールの詳細ページが表示されます。

    ガバナンス・ルールの詳細ページには、ルール全体のステータスが表示されます。ルールの編集または削除、アタッチメント・メソッドの変更(ターゲット固有のテナンシまたは組織全体)、タグの追加、ルール詳細の表示、およびテナンシからのルールのアタッチまたはデタッチを行うことができます。各テナンシについて、ルール・アタッチメントの作業リクエストの進行状況を表示することもできます。アタッチに失敗した場合は、「アクション」メニューから「アタッチの再試行」を選択します。

    ガバナンス・ルールの詳細ページの「ルールの詳細」タブには、次の情報が表示されます。「一般情報」では:

    • OCID: ガバナンス・ルールのOCID。
    • 作成日時: UTCフォーマットでの作成時間。
    • ターゲット・テナンシ: ターゲット・テナンシの数。
    • アタッチメント・メソッド: 特定のテナンシまたは組織全体にアタッチされます。

    「ルール構成」では、ルールが、許可されたリージョン、割当て制限ポリシーまたはタグのいずれに対するものかに応じて、一部の情報が変わります:

    • ルール・タイプ
    • (許可されたリージョン・ルールのみ)許可されたリージョン: ルール内の許可されたリージョンをリストします。
    • (割当て制限ポリシー・ルールのみ)ステートメント: 「詳細の表示」リンクをクリックすると、ステートメントが「割当て制限ポリシー・ステートメント」パネルに表示されます。
    • (タグ・ルールのみ)タグ・ネームスペース: ネームスペースがリストされます。「詳細の表示」リンクをクリックすると、タグ・ネームスペースが「タグ・ネームスペースの詳細」パネルに表示されます。
    • (タグ・ルールのみ)タグのデフォルト: タグのデフォルト数がリストされます。「詳細の表示」リンクをクリックすると、タグのデフォルトが「タグ・デフォルトの詳細」パネルに表示されます。
  8. 「テナンシ」セクションで、ガバナンス・ルールからアタッチ(またはデタッチ)する1つ以上のテナンシを選択できます。

    ガバナンス・ルールの詳細ページの「テナンシ」セクションには、すべてのテナンシについて次の情報がリストされます:

    • テナンシ: テナンシ名。
    • ルール・ステータス: ルール・ステータス(「未アタッチ」または「アタッチ済」)。
    • 組織ガバナンス: テナンシが組織ガバナンスに参加したかどうかを示します。ルールにアタッチできるのは、組織ガバナンスに参加したテナンシのみです。
    テナンシをアタッチするには、「テナンシ」で1つ以上のテナンシを選択し、「アタッチ」をクリックします。どのテナンシにルールをアタッチするかの確認が表示されます。「ルールのアタッチ」をクリックします。ガバナンス・ルールの詳細ページがリロードされ、新しい作業リクエストが開始されます。作業リクエストが完了すると、ルールがテナンシにアタッチされ、「ルール・ステータス」「アタッチ済」に変わります。

これで、ガバナンス・ルールが構成され、子テナンシ(または指定されている場合は組織全体および組織に参加する将来のテナンシ)に制限が適用されるようになりました。「組織管理」「テナンシ」ページにアクセスして、関連するガバナンス・ルールを表示することもできます。「テナンシ」ページで、リンクされたテナンシ名をクリックすると、リンクされたテナンシの詳細ページが開きます。「ガバナンス・ルール」で、テナンシにアタッチされているガバナンス・ルールのリスト(名前およびルール・タイプを含む)を表示できます。リンクされたガバナンス・ルール名をクリックすると、関連するガバナンス・ルールの詳細ページに移動します。

一方、ガバナンス・ルールをアタッチした子テナンシも、「ガバナンス・ルール」ページにルールを表示できますが、親テナンシがルール構成を制御するため、ルールとはやり取りできず、ルールに関する基本情報の表示のみ行えます。

ガバナンス・ルールを作成した後、ルールの編集または削除、ルールのデタッチ、またはアタッチメント・メソッドの変更を行うことができます。また、ガバナンス・ルールを使用してテナンシをオプト・インするように選択することも可能です。

ガバナンス・ルールを編集するには
  1. ナビゲーション・メニューを開き、「ガバナンスと管理」をクリックします。「組織管理」で、「ガバナンス・ルール」をクリックします。
  2. ガバナンス・ルールの詳細ページで、「ルール構成の編集」をクリックします。「ルール構成の編集」パネルが開きます。
  3. ルール構成を編集し、「保存」をクリックします。
ガバナンス・ルールのアタッチメント・メソッドを変更するには
  1. ナビゲーション・メニューを開き、「ガバナンスと管理」をクリックします。「組織管理」で、「ガバナンス・ルール」をクリックします。
  2. ガバナンス・ルールの詳細ページで、「アタッチメント・メソッドの変更」をクリックします。「アタッチメント・メソッドの変更」の確認が表示されます。
  3. 優先アタッチメント・メソッドを選択し、「ルールのアタッチ」をクリックします。
ガバナンス・ルールをデタッチするには
  1. ナビゲーション・メニューを開き、「ガバナンスと管理」をクリックします。「組織管理」で、「ガバナンス・ルール」をクリックします。
  2. ガバナンス・ルールの詳細ページの「テナンシ」で1つ以上のテナンシを選択し、「デタッチ」をクリックします。ルールがターゲット・テナンシに適用されなくなり、関連付けられたリソースが削除されることを示す確認が表示されます。
  3. 「ルールのデタッチ」をクリックします。ガバナンス・ルールの詳細ページがリロードされ、新しい作業リクエストが開始されます。作業リクエストが完了すると、ルールはテナンシにアタッチされなくなり、「ルール・ステータス」「デタッチ済」に変わります。
ガバナンス・ルールを削除するには
  1. ナビゲーション・メニューを開き、「ガバナンスと管理」をクリックします。「組織管理」で、「ガバナンス・ルール」をクリックします。
  2. ガバナンス・ルールの詳細ページで、「ルールの削除」をクリックします。「ルールの削除」の確認が表示されます。
  3. 「ルールの削除」をクリックします。削除すると元に戻せなくなります。また、ターゲット・テナンシで、ルールに関連付けられているリソースも削除されます。
ガバナンス・ルールを使用するように既存のテナンシをオプト・インするには

組織にすでに含まれている特定のタイプのテナンシは、ガバナンス・ルールを使用するようにオプト・インできます。

具体的には:

  • 親テナンシは、自身をオプト・インまたはオプト・アウトできます。
  • 親テナンシは、子テナンシがオプト・インに同意するか、子テナンシをオプト・アウトするようにリクエストできます。
  • 子テナンシは、親テナンシによってオプト・インされるか、自身をオプト・インすることができますが、子テナンシが自身をオプト・アウトすることはできません

テナンシをガバナンス・ルールにオプト・インするには:

  1. ナビゲーション・メニューを開き、「ガバナンスと管理」をクリックします。「組織管理」で、「テナンシ」をクリックします。
  2. 「テナンシ」ページで、「テナンシ名」フィールドからリンクされたテナンシをクリックし、その詳細ページを開きます。
  3. 「ガバナンスに参加するようリクエスト」をクリックします。「ガバナンスに参加するようリクエスト」パネルが開き、テナンシにオプト・インをリクエストできます。受信者は、子テナンシへのアクセス権を持ち、リクエストが失効するまでの14日間のうちに応答する必要があります。
  4. オプションで、「受信者電子メール」に、受信者の電子メール・アドレスを入力します。
  5. 「ガバナンス・ルール」で、選択したガバナンス・ルールをすぐに選択するか、スキップしてガバナンス・ルールを後で選択します。
  6. 「リクエストの送信」をクリックします。ガバナンスの招待リクエストが送信されたことを示すメッセージが表示されます。リクエストの受入れを決定した場合、子テナンシはすぐに組織ガバナンスを使用します。

    送信側テナンシの「招待」ページで、「タイプ」フィールドに「送信済リクエスト」がある新しいガバナンス招待を表示できます。リンクされた招待をクリックすると、招待の詳細ページが表示され、そのステータス(受信側テナンシがガバナンスの招待を受け入れるまで、最初は「保留中」)を表示できます。「リクエスト」フィールドは、テナンシが組織ガバナンスに参加するようにリクエストし、その「ステータス」「保留中」であることを示します。受信者テナンシがリクエストを受け入れると、ガバナンス・ルールを作成して、テナンシにアタッチできます。

    「取消」をクリックして、ガバナンスの招待を取り消すこともできます。

  7. 受信者(子)テナンシで、ナビゲーション・メニューを開き、「ガバナンスと管理」をクリックします。「組織管理」で、「招待」をクリックします。新しいガバナンスの招待の「ステータス」「保留中」で、その「タイプ」「受信リクエスト」です。
  8. リンクされた招待をクリックして、「リクエスト詳細: 組織ガバナンスに参加」ページに移動します。招待の「タイプ」「受信リクエスト」で、「リクエスト」フィールドは、リクエストを受け入れることで、組織ガバナンスに参加し、親テナンシがご使用のテナンシにガバナンス・ルールを作成およびアタッチすることに同意していることを示します。参加後、組織ガバナンスからテナンシを削除できるのは、親テナンシのみです。

    「アクション」メニューから直接「リクエストの承認」をクリックして、ガバナンスの招待をメインの「招待」ページから直接受け入れることもできます。

  9. 「同意」をクリックします。「招待に応じる」の確認で、組織ガバナンスへの参加リクエストを承認する場合は、「同意」をクリックします。

    「拒否」をクリックすると、招待は拒否され、送信側テナンシは後で別のガバナンスの招待を送信できます。

    数分後、招待ステータスは「受入れ済」に変わります。招待ステータスは、送信側(親)テナンシと受信者(子)テナンシの両方に表示できます。

    送信側テナンシの「テナンシ」ページでは、テナンシがガバナンス・ルールを使用していることを示すために、「組織ガバナンス」フィールドに「参加済」と表示されます。また、テナンシの詳細ページの「ガバナンスの状態」フィールドには、テナンシがガバナンス・ルールを使用していることを示すために、「組織ガバナンス」と表示されます。

ガバナンス・ルールから既存のテナンシをオプト・アウトするには

ガバナンス・ルールからテナンシをオプト・アウトするには:

  1. ナビゲーション・メニューを開き、「ガバナンスと管理」をクリックします。「組織管理」で、「テナンシ」をクリックします。
  2. 「テナンシ」ページで、「テナンシ名」フィールドからリンクされたテナンシをクリックし、その詳細ページを開きます。
  3. 「組織ガバナンスから削除」をクリックします。
  4. 確認で、「組織ガバナンスから削除」をクリックします。ガバナンスをオプト・アウトするリクエストは受け入れられ、テナンシはまもなく組織ガバナンスから削除されることを示すメッセージが表示されます。

    ガバナンス・ルールからテナンシを削除すると、ガバナンス・ルールをテナンシにアタッチできなくなります。将来ルールをアタッチするには、テナンシを再度オプト・インするようにリクエストする必要があります。

    「テナンシ」ページでは、テナンシがガバナンス・ルールを使用していないことを示すために、「組織ガバナンス」フィールドに「不参加」と表示されます。また、テナンシの詳細ページの「ガバナンスの状態」フィールドには、テナンシがガバナンス・ルールを使用せずに、かわりにコスト管理の詳細のみが共有されていることを示すために、「コスト管理のみ」と表示されます。

注意が必要なルールのトラブルシューティング

ガバナンス・ルールは、組織内の1つ以上のテナンシにアタッチする際に注意が必要な場合があります。特定のテナンシの作業リクエストでは、問題に関する詳細なログおよびエラー・メッセージが表示されます。いくつかの一般的なシナリオは次のとおりです:
  • タグ・ガバナンス・ルールを作成してテナンシに適用しますが、テナンシには同じ名前のタグ・ネームスペースがすでにあります。たとえば、この種のルールを親テナンシに適用すると、テンプレート・タグ・ネームスペースでは、一致する名前を持つ別のタグ・ネームスペースが作成されなくなります。
  • 割当て制限ポリシー・ステートメントの構文エラーまたはミスによって、割当て制限ポリシー・ガバナンス・ルールを引き続き作成することはできますが、そのようなルールはいずれのテナンシにもアタッチできません。

APIの使用

APIの使用およびリクエストの署名の詳細は、REST APIおよびセキュリティ資格証明を参照してください。SDKの詳細は、ソフトウェア開発キットとコマンドライン・インタフェースを参照してください。

組織管理には、組織APIの次のものを使用します。

サブスクリプションおよびサブスクリプション・マッピングの管理用:

テナンシおよび組織の管理用:

子テナンシの再アクティブ化の管理用:

組織間で子テナンシを移動するには:

招待の管理用:

作業リクエストの管理用:

ガバナンス・ルールの管理用:

コスト・レポート統合

Oracleの請求およびコスト・レポート機能を使用すると、組織内のすべてのテナンシにわたってコストおよび使用状況の情報を集中管理できます。

テナンシが作成されるか、組織に加わったら、コスト分析のレポート・オプションを使用して、組織の支出でフィルタまたはグループ化できます。親テナンシとして、コスト分析を使用し、次を使用して組織の支出に焦点を当てることができます:

子テナンシもテナントIDテナント名およびサブスクリプションID別にグループ化できますが、表示されるコストは子テナンシに関するもののみです(これとは対照的に、親テナンシは自身のコストに加えて子テナンシのコストも表示できます)。

また、コストおよび使用状況レポートを使用して詳細なコストおよび使用状況の情報を表示することもできます。このレポートでは、時間レベルの情報を取得して支出に関するインサイトを獲得できます。

サブスクリプションに対するすべての支出(親およびすべての子テナンシ)は、親テナンシのコスト・レポートに含まれ、子テナンシは、自身のテナンシでの支出の表示に制限されます。コストおよび使用状況レポートは親テナンシでのみ生成され、親およびそのすべての子のすべての使用状況が含まれます。親テナンシと子テナンシの両方で予算を作成できます。親テナンシは、自身と子テナンシの両方の予算を作成できますが、子テナンシが作成できるのは自身の予算のみです。

重要

サブスクリプションが再割当てされたテナンシは、それ以降、2つのサブスクリプション(つまり、再割当ての前と後)にデータが分割されます。コスト分析およびコストおよび使用状況レポートでは、データは一定期間のスナップショットであり、問合せのフィルタリングおよびグループ化の選択肢に影響を与えます。たとえば、"tenancy1"のデータのレポート先が10月15日までは"subscription1"、10月16日からは"subscription2"である場合、10月15日までの消費については"subscription1"を参照し、10月15日より後の消費については"subscription2"を参照する必要があります。
ノート

コンソールのホーム・ページで確認できる請求詳細については、請求詳細のモニタリングも参照してください。

次の表では、すべてのOracle Cloud Infrastructureの請求およびコスト管理機能に関して、組織管理がコスト・レポートに与える影響を説明します。

親テナンシ 子テナンシ
コスト分析 親およびすべての子のすべての使用量およびコストについてレポートし、テナンシまたはサブスクリプションID別にグループ化できます。親テナンシは、親およびすべての子テナンシのサブスクリプション詳細を表示することもできます。

子テナンシのすべての使用量およびコストについてレポートします。子テナンシがコスト分析内でサブスクリプション詳細を表示することはできません(サブスクリプション詳細は親テナンシの観点からのみ表示できます)。

ノート: 子テナンシがコンソールからコスト分析を使用する場合は、親テナンシのホーム・リージョンをサブスクライブする必要があります。
コストおよび使用状況レポート(CSV) 親とすべての子のすべての使用量とコストが含まれます。 使用できません。
予算 予算は、プライマリ・テナンシのサブスクリプション、子テナンシ、コンパートメントおよびタグに対して作成できます。 予算は、子テナンシ内のサブスクリプション、コンパートメントまたはタグに対して作成できます。

サポート

テナンシの作成方法に応じて、次のいずれかを持ちます:
  • テナンシごとに別々のCSI (カスタマ・サポートID)番号およびサポート・アカウント。
  • または、両方の組合せ。
複数のCSI番号を取得する必要がある場合は、アカウント・チームと協力して、新しいCSIが作成される方法でテナンシを作成してください。