Roving Edge Infrastructureを管理するためのポリシー

次の構文を使用して、ユーザー・グループがテナンシ内のRoving Edge Infrastructureリソースにアクセスできるようにします:

allow group <admin_user_group> to manage rover-family in tenancy

allow group <admin_user_group> to manage rover-nodes in tenancy

<admin_user_group>は、Roving Edge Infrastructureの管理のために作成されたグループです。

このアクセスをコンパートメントに絞り込むこともできます。たとえば、ユーザーのグループが、Oracle Cloud Infrastructureのコンパートメント"finance"内のすべてのRoving Edge Infrastructureリソースを管理できるようにする場合は、次を使用します:

allow group rover-admins to manage rover-family in compartment finance

allow group rover-admins to manage rover-nodes in compartment finance

このポリシーの設定は、Roving Edge Infrastructureサービスにノード・リクエストでワークロードとしてアタッチされているバケットへの読取りアクセス権を付与する場合に必要です。この読取りアクセス・ポリシーにより、Roving Edge Infrastructureデバイスと同期するオブジェクトに関する情報を含むマニフェスト・ファイルを生成できます。

allow service rover to read object-family in tenancy
allow service rover to manage objectstorage-namespaces in tenancy

OCIコンソールの「ポリシーの作成」テンプレートを使用して、Roving Edge Infrastructureデバイスのオーダーおよび管理を可能にするポリシーを作成できます。

1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ポリシー」をクリックします。

2. ポリシーの作成をクリックします。「ポリシーの作成」ダイアログ・ボックスが表示されます。

3. 「ポリシーの作成」の説明に従って、必須フィールドに入力します。

4. ポリシー・ビルダーを使用して、「共通ポリシー・テンプレート」の下にある「ユーザーによるRoving Edge Deviceの作成および管理」を選択します。

5. ポリシー・ビルダーに表示される指示に従って、ポリシー・グループを構成します。

6. 「作成」をクリックします。変更は、通常10秒以内に有効になります。

この項では、Roving Edge InfrastructureデバイスにyourObjectストレージ・ワークロードをプロビジョニングし、デバイスの所有中にデータ同期を実行するために必要なステップについて説明します。

各Roving Edge Infrastructureデバイス・ノードは、Oracle Cloud Infrastructureのリソースとして機能し、データ同期タスクのためにテナンシ内のコンパートメント内のバケットを読み取る/書き込む権限が必要です。ノードのプロビジョニングの送信後、単一ノードを含む動的グループを作成します。動的グループの作成方法の詳細は、動的グループの管理を参照してください。

次の一致ルールを使用して、"roving-edge-devices"という動的グループを作成します。

All {resource.type='rovernode'}

この動的グループに、バケットに対する読取りおよび書込みのポリシーを付与します:

allow dynamic-group roving-edge-devices to manage object-family in tenancy

オブジェクト・ストレージ・ネームスペースへの動的グループ・アクセス権の付与

allow dynamic-group roving-edge-devices to manage objectstorage-namespaces in tenancy

切断されたアップグレード・バンドルをテナンシに配信できるようにするには、次の手順に従います:

リクエスタ・オブジェクトの作成権限を付与し、宛先バケットに権限を上書きします:

allow group <group_name> to manage object-family in compartment <compartment_name>

リージョン内のオブジェクト・ストレージ・サービスに、テナンシ内のバケットを管理するように付与します:

allow service objectstorage-<region_identifier> to manage object-family in tenancy

次を使用して、より狭い権限を作成することもできます。

allow service objectstorage-<region_identifier> to manage object-family in compartment <compartment-name>
where any {request.permission='OBJECT_READ', request.permission='OBJECT_INSPECT', request.permission='OBJECT_CREATE',
request.permission='OBJECT_OVERWRITE', request.permission='OBJECT_DELETE'}

リージョン識別子のリストは、リージョンおよび可用性ドメインを参照してください。

この項では、管理者が認証局を作成し、Roving Edge InfrastructureデバイスがOracle Cloud Infrastructure Cloudの証明書管理リソースにアクセスできるようにするために必要なステップについて説明します。

セキュリティ管理者がボールトおよびマスター・キーを作成するためのポリシーを作成します。

Allow group <security-admin-group> to manage vaults in tenancy
Allow group <security-admin-group> to manage keys in tenancy

認証局を使用するためのポリシーを作成します。

Allow group <security-admin-group> to use certificate-authority-family in tenancy
Allow group <security-admin-group> to use key-delegate in tenancy

一致ルールを使用してcertificate-authority-dynamic-groupと呼ばれる動的グループを作成します。

all {resource.type='certificateauthority'}

認証局がキーを使用するためのポリシーを作成します:

Allow dynamic-group certificate-authority-dynamic-group to use keys in compartment <compartment_name>

Roving Edge Infrastructureノードが証明書構成をフェッチおよび更新するためのポリシーを作成します:

Allow dynamic-group roving-edge-devices to use rover-family in tenancy

認証局を使用して証明書を管理するためのRoving Edge Infrastructureデバイスのポリシーを作成します:

Allow dynamic-group roving-edge-devices to manage leaf-certificate-family in tenancy
Allow dynamic-group roving-edge-devices to use certificate-authority-family in tenancy

グループrover-adminsは、Roving Edge Infrastructureリソースの管理者として定義されています:

allow group rover-admins to manage rover-family in tenancy
allow group rover-admins to manage rover-nodes in tenancy

Roving Edge Infrastructureによるワークロードのアタッチを許可:

allow group rover-admins to read object-family in tenancy
allow group rover-admins to read instance-images in tenancy

オブジェクト・ストレージへのRoving Edge Infrastructureアクセスを許可します:

allow dynamic-group roving-edge-devices to manage object-family in tenancy
allow dynamic-group roving-edge-devices to manage objectstorage-namespaces in tenancy

切断されたアップグレード・バンドル配信を有効にします:

allow group rover-admins to read object-family in tenancy
allow dynamic-group roving-edge-devices to manage object-family in tenancy

証明書管理を使用可能にします。

allow group CertificateAdmins to manage vaults in tenancy
allow group CertificateAdmins to manage keys in tenancy
allow group CertificateAdmins to manage certificate-authority-family in tenancy
allow group CertificateAdmins to use key-delegate in tenancy
allow group rover-admins to read certificate-authority-family in tenancy
allow dynamic-group certificate-authority-dynamic-group to use keys in tenancy
allow dynamic-group roving-edge-devices to use rover-family in tenancy
allow dynamic-group roving-edge-devices to manage leaf-certificate-family in tenancy
allow dynamic-group roving-edge-devices to use certificate-authority-family in tenancy