必要なIAMグループおよびポリシーの作成

Oracle Cloudコンソールを使用してRoving Edge Infrastructureデバイスのオーダーおよび管理を可能にするポリシーを作成できます。このタスクでは、Oracle Cloudコンソールでポリシーの作成テンプレートを使用します。

1. ナビゲーション・メニューを開き、「アイデンティティおよびセキュリティ」を選択します。「アイデンティティ」で、「ポリシー」を選択します。

2. 「ポリシーの作成」を選択します。「ポリシーの作成」ダイアログ・ボックスが表示されます。

3. 「ポリシーの作成」の説明に従って、必須フィールドに入力します。

4. ポリシー・ビルダーを使用して、「共通ポリシー・テンプレート」の下にある「ユーザーによるRoving Edge Deviceの作成および管理」を選択します。

5. 自己プロビジョニングの場合は、次のポリシーをテンプレートに追加します。

   allow dynamic-group roving-edge-devices to manage rover-family in tenancy

6. ポリシー・ビルダーに表示される指示に従って、ポリシー・グループを構成します。

7. 「作成」を選択します。変更は、通常10秒以内に有効となります。

次の構文を使用して、ユーザー・グループがテナンシ内のRoving Edge Infrastructureリソースにアクセスできるようにします:

allow group <admin_user_group> to manage rover-family in tenancy

allow group <admin_user_group> to manage rover-nodes in tenancy

<admin_user_group>は、Roving Edge Infrastructureの管理のために作成されたグループです。

このアクセスをコンパートメントに絞り込むこともできます。たとえば、ユーザーのグループが、Oracle Cloud Infrastructureのコンパートメント"finance"内のすべてのRoving Edge Infrastructureリソースを管理できるようにする場合は、次を使用します:

allow group rover-admins to manage rover-family in compartment finance

allow group rover-admins to manage rover-nodes in compartment finance

この項では、Roving Edge Infrastructureデバイスが所持している間にデータ同期を実行できるようにするために必要なステップについて説明します。

各Roving Edge Infrastructureデバイス・ノードは、Oracle Cloud Infrastructureのリソースとして機能し、データ同期タスクのためにテナンシ内のコンパートメント内のバケットを読み取る/書き込む権限が必要です。

動的グループを使用して、テナンシ内のすべてのRoving Edgeノード・リソースを表します。動的グループの作成方法の詳細は、動的グループの管理を参照してください。

allow dynamic-group OracleIdentityCloudService/roving-edge-devices to manage rover-family in tenancy

次の一致ルールを使用して、roving-edge-devicesという動的グループを作成します。

All {resource.type='rovernode'}

この動的グループに、バケットに対する読取りおよび書込みのポリシーを付与します:

allow dynamic-group roving-edge-devices to manage object-family in tenancy

オブジェクト・ストレージ・ネームスペースへの動的グループ・アクセス権の付与

allow dynamic-group roving-edge-devices to manage objectstorage-namespaces in tenancy

Roving Edge Infrastructureサービスにバケットへの読取りアクセス権を付与するポリシーを設定します。この読取りアクセス・ポリシーにより、Roving Edge Infrastructureデバイスと同期するオブジェクトに関する情報を含むマニフェスト・ファイルを生成できます。

allow service rover to read object-family in tenancy
allow service rover to manage objectstorage-namespaces in tenancy

オブジェクト・ストレージ・アクセス用の動的グループで以前に作成した動的グループroving-edge-devicesを使用して、オンサイトでデバイス自己プロビジョニングを有効にする動的グループ管理権限を付与します。

allow dynamic-group roving-edge-devices to manage rover-family in tenancy

切断されたアップグレード・バンドルをテナンシに配信できるようにするには、次の手順に従います。

リクエスタ・オブジェクトの作成権限を付与し、宛先バケットに権限を上書きします:

allow group <group_name> to manage object-family in compartment <compartment_name>

リージョン内のオブジェクト・ストレージ・サービスに付与して、テナンシのバケットを管理します:

allow service objectstorage-<region_identifier> to manage object-family in tenancy

次の例を使用して、より狭い権限を作成することもできます。

allow service objectstorage-<region_identifier> to manage object-family in compartment <compartment-name>
where any {request.permission='OBJECT_READ', request.permission='OBJECT_INSPECT', request.permission='OBJECT_CREATE',
request.permission='OBJECT_OVERWRITE', request.permission='OBJECT_DELETE'}

リージョン識別子のリストは、リージョンおよび可用性ドメインを参照してください。

この項では、管理者が認証局を作成し、Roving Edge InfrastructureデバイスがOracle Cloud Infrastructure Cloudの証明書管理リソースにアクセスできるようにするために必要なステップについて説明します。

セキュリティ管理者がボールトおよびマスター・キーを作成するためのポリシーを作成します。

Allow group <security-admin-group> to manage vaults in tenancy
Allow group <security-admin-group> to manage keys in tenancy

認証局を使用するためのポリシーを作成します。

Allow group <security-admin-group> to use certificate-authority-family in tenancy
Allow group <security-admin-group> to use key-delegate in tenancy

一致ルールを使用して、certificate-authority-dynamic-groupという動的グループを作成します。

all {resource.type='certificateauthority'}

認証局がキーを使用するためのポリシーを作成します:

Allow dynamic-group certificate-authority-dynamic-group to use keys in compartment <compartment_name>

認証局を使用して証明書を管理するためのRoving Edge Infrastructureデバイスのポリシーを作成します:

Allow dynamic-group roving-edge-devices to manage leaf-certificate-family in tenancy
Allow dynamic-group roving-edge-devices to use certificate-authority-family in tenancy

Roving Edge Infrastructureノードが証明書構成をフェッチおよび更新するためのポリシーを作成します:

Allow dynamic-group roving-edge-devices to use rover-family in tenancy

グループrover-adminsは、Roving Edge Infrastructureリソースの管理者として定義されています:

allow group rover-admins to manage rover-family in tenancy
allow group rover-admins to manage rover-nodes in tenancy

Roving Edge Infrastructureによるワークロードのアタッチを許可:

allow service rover to read object-family in tenancy
allow service rover to manage objectstorage-namespaces in tenancy

オブジェクト・ストレージへのRoving Edge Infrastructureアクセスを許可します:

allow dynamic-group roving-edge-devices to manage object-family in tenancy
allow dynamic-group roving-edge-devices to manage objectstorage-namespaces in tenancy

Roving Edgeノードの動的グループを自己プロビジョニングし、その証明書構成を管理できるようにします:

allow dynamic-group roving-edge-devices to manage rover-family in tenancy

(オプション)切断されたアップグレード・バンドルの配信を有効にします。

allow group rover-admins to read object-family in tenancy
allow dynamic-group roving-edge-devices to manage object-family in tenancy

(オプション)証明書管理を有効にします。

allow group CertificateAdmins to manage vaults in tenancy
allow group CertificateAdmins to manage keys in tenancy
allow group CertificateAdmins to manage certificate-authority-family in tenancy
allow group CertificateAdmins to use key-delegate in tenancy
allow group rover-admins to read certificate-authority-family in tenancy
allow dynamic-group certificate-authority-dynamic-group to use keys in tenancy
allow dynamic-group roving-edge-devices to manage leaf-certificate-family in tenancy
allow dynamic-group roving-edge-devices to use certificate-authority-family in tenancy

次の手順?

デバイスをリクエストする場合は、デバイスのタイプに基づいて、次のいずれかのセクションを参照してください。

• コンピュート、GPUおよびストレージ・デバイス用のノードの作成および送信
• Roving Edge Ultraノードの作成