Oracle Cloud Infrastructureドキュメント

DRGピアリングに関連するIAMポリシー

両方の側から必要な明示的合意

ピアリングおよび転送ルーティングには、同じ当事者または2つの異なる当事者が所有する2つのVCNが含まれます。2つの当事者は、どちらも自分の会社に存在していても、異なる部門に属する場合があります。または、2つの当事者は、完全に異なる会社に属することもあります(サービス・プロバイダ・モデルなど)。クロステナント・ポリシーの追加の例は、テナンシをまたがったオブジェクト・ストレージ・リソースへのアクセスを参照してください。

この合意は、各当事者が独自のVCNのコンパートメントまたはテナンシに対して実装するOracle Cloud Infrastructure Identity and Access Managementポリシーの形式になります。VCNが異なるテナンシにある場合、各管理者はテナンシOCIDを提供し、ピアリングを有効にする特別なポリシー・ステートメントを用意する必要があります。別のテナンシのVCNに接続するために必要なIAMポリシーの詳細は、RPCを使用した他のテナンシ内のVCNへのアクセスを参照してください。

RPCを使用した同じテナンシ内のVCNへのアクセス

このユースケースの詳細は、タスクC: IAMポリシーの設定(同じテナンシ内のVCN)を参照してください。

VCNアタッチメントを使用した同じテナンシ内のVCNへのアクセス

管理者グループがVCNアタッチメントを作成および管理し、DRGルート表をアタッチメントに割り当てる場合は、次のポリシーを実装します: 

Allow group <administrators> to manage vcns in tenancy
Allow group <administrators> to manage drgs in tenancy
ノート

VCNルート表をアタッチメントに関連付けるには、管理者がテナンシでルート表を管理するためのポリシーも必要です。

RPCを使用した他のテナンシ内のVCNへのアクセス

リクエスタとアクセプタの両方が、適切なポリシーが有効であることを確認する必要があります最小限のポリシーは次で構成されます:

この例では、クロステナンシ・リモート・ピアリング接続を作成するために必要な最小限のアイデンティティ・ポリシーを示します:

  • ポリシーR (リクエスタによる実装):

    Define tenancy Acceptor as <acceptor-tenancy-ocid>
Allow group <requestor-group-name> to manage remote-peering-from in compartment <<requestor-compartment-name>>
Endorse group <requestor-group-name> to manage remote-peering-to in tenancy Acceptor

  • ポリシーA (アクセプタによる実装):

    Define tenancy Requestor as <requestor-tenancy-ocid>
Define group <requestor-group-name> as <requestor-group-ocid>
Admit group <requestor-group-name> of tenancy Requestor to manage remote-peering-to in compartment <acceptor-compartment-name>

VCNアタッチメントを使用した他のテナンシ内のVCNへのアクセス

このポリシー・セットの例では、次のアクション・セットを使用できます:

  • DRGテナントのDRG管理者は、VCNテナントにDRGアタッチメントを作成し、特定のVCNルート表を関連付けることもできます。
  • VCNテナントのVCN管理者は、VCNルート表をアタッチメントに関連付けることができます(アタッチされたVCNが転送VCNの場合に使用されます)。VCN管理者がVCNテナント内のすべてのリソースを管理するポリシーを持っている場合、VCNアタッチメントはVCNテナンシに存在するため、すでにこの権限を持っています。
  • VCN管理者は、DRGアタッチメントのDRGルート表関連付けを変更できません。

  • リクエスタIAMポリシー(このテナンシ内のDRG)

    define tenancy VCN as <vcn-tenant-ocid>
define group VCN-Admin as <vcn-group-ocid>

endorse group DRG-Admin to manage drg-attachment in tenancy VCN
admit group VCN-Admin of tenancy VCN to manage drg in tenancy

  • アクセプタIAMポリシー(このテナンシ内のVCN)

    define tenancy DRG as <drg-tenant-ocid>
define group DRG-Admin as <drg-group-ocid>
admit group DRG-Admin of tenancy DRG to manage drg-attachment in tenancy
endorse group VCN-Admin to manage drg in tenancy DRG

ピアリングの確立の制御

IAMポリシーを使用すると、次のことを制御できます: