Roving Edge Infrastructureを管理するためのポリシー
Oracle Cloud InfrastructureでRoving Edge Infrastructureデバイスの注文を作成するポリシーを設定する方法、およびRoving Edge Infrastructureデバイスのプロビジョニングと操作を有効にする方法について説明します。
ノードをオーダーする前に、Oracle Cloud Infrastructureでポリシーを設定して、必要なユーザーがRoving Edge Infrastructureに関連付けられた様々な機能にアクセスできるようにする必要があります。
OCIでのRoving Edge Infrastructureリソースへのアクセスの許可
次の構文を使用して、ユーザー・グループがテナンシ内のRoving Edge Infrastructureリソースにアクセスできるようにします:
allow group <admin_user_group> to manage rover-family in tenancy
allow group <admin_user_group> to manage rover-nodes in tenancy
<admin_user_group>
は、Roving Edge Infrastructureの管理のために作成されたグループです。
このアクセスをコンパートメントに絞り込むこともできます。たとえば、ユーザーのグループが、Oracle Cloud Infrastructureのコンパートメント"finance"内のすべてのRoving Edge Infrastructureリソースを管理できるようにする場合は、次を使用します:
allow group rover-admins to manage rover-family in compartment finance
allow group rover-admins to manage rover-nodes in compartment finance
Roving Edge Infrastructureサービスによるワークロードのアタッチの許可
このポリシーの設定は、Roving Edge Infrastructureサービスにノード・リクエストでワークロードとしてアタッチされているバケットへの読取りアクセス権を付与する場合に必要です。この読取りアクセス・ポリシーにより、Roving Edge Infrastructureデバイスと同期するオブジェクトに関する情報を含むマニフェスト・ファイルを生成できます。
allow service rover to read object-family in tenancy
allow service rover to manage objectstorage-namespaces in tenancy
コンパートメントへのアクセスを絞り込むことができます。すべてのワークロード・バケットに関連付けられているすべてのコンパートメントへの読取りアクセスを許可してください。たとえば、2つのバケット・ワークロードがあり、1つはコンパートメント"finance"に、もう1つはコンパートメント"accounts"にある場合、両方のコンパートメントに対してこのポリシーを設定します。
コンソールを使用したRoving Edge Infrastructureデバイスの順序付け
OCIコンソールの「ポリシーの作成」テンプレートを使用して、Roving Edge Infrastructureデバイスのオーダーおよび管理を可能にするポリシーを作成できます。
-
ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ポリシー」をクリックします。
-
ポリシーの作成をクリックします。「ポリシーの作成」ダイアログ・ボックスが表示されます。
-
「ポリシーの作成」の説明に従って、必須フィールドに入力します。
-
ポリシー・ビルダーを使用して、「共通ポリシー・テンプレート」の下にある「ユーザーによるRoving Edge Deviceの作成および管理」を選択します。
-
ポリシー・ビルダーに表示される指示に従って、ポリシー・グループを構成します。
-
「作成」をクリックします。変更は、通常10秒以内に有効になります。
Roving Edge Infrastructureデバイスのオブジェクト・ストレージ・アクセスの許可
この項では、Roving Edge InfrastructureデバイスにyourObjectストレージ・ワークロードをプロビジョニングし、デバイスの所有中にデータ同期を実行するために必要なステップについて説明します。
各Roving Edge Infrastructureデバイス・ノードは、Oracle Cloud Infrastructureのリソースとして機能し、データ同期タスクのためにテナンシ内のコンパートメント内のバケットを読み取る/書き込む権限が必要です。ノードのプロビジョニングの送信後、単一ノードを含む動的グループを作成します。動的グループの作成方法の詳細は、動的グループの管理を参照してください。
次の一致ルールを使用して、"roving-edge-devices"という動的グループを作成します。
All {resource.type='rovernode'}
この動的グループに、バケットに対する読取りおよび書込みのポリシーを付与します:
allow dynamic-group roving-edge-devices to manage object-family in tenancy
オブジェクト・ストレージ・ネームスペースへの動的グループ・アクセス権の付与
allow dynamic-group roving-edge-devices to manage objectstorage-namespaces in tenancy
切断されたアップグレード・バンドル配信の有効化
切断されたアップグレード・バンドルをテナンシに配信できるようにするには、次の手順に従います:
リクエスタ・オブジェクトの作成権限を付与し、宛先バケットに権限を上書きします:
allow group <group_name> to manage object-family in compartment <compartment_name>
リージョン内のオブジェクト・ストレージ・サービスに、テナンシ内のバケットを管理するように付与します:
allow service objectstorage-<region_identifier> to manage object-family in tenancy
次を使用して、より狭い権限を作成することもできます。
allow service objectstorage-<region_identifier> to manage object-family in compartment <compartment-name>
where any {request.permission='OBJECT_READ', request.permission='OBJECT_INSPECT', request.permission='OBJECT_CREATE',
request.permission='OBJECT_OVERWRITE', request.permission='OBJECT_DELETE'}
リージョン識別子のリストは、リージョンおよび可用性ドメインを参照してください。
証明書管理の有効化
この項では、管理者が認証局を作成し、Roving Edge InfrastructureデバイスがOracle Cloud Infrastructure Cloudの証明書管理リソースにアクセスできるようにするために必要なステップについて説明します。
セキュリティ管理者がボールトおよびマスター・キーを作成するためのポリシーを作成します。
Allow group <security-admin-group> to manage vaults in tenancy
Allow group <security-admin-group> to manage keys in tenancy
認証局を使用するためのポリシーを作成します。
Allow group <security-admin-group> to use certificate-authority-family in tenancy
Allow group <security-admin-group> to use key-delegate in tenancy
一致ルールを使用してcertificate-authority-dynamic-group
と呼ばれる動的グループを作成します。
all {resource.type='certificateauthority'}
認証局がキーを使用するためのポリシーを作成します:
Allow dynamic-group certificate-authority-dynamic-group to use keys in compartment <compartment_name>
Roving Edge Infrastructureノードが証明書構成をフェッチおよび更新するためのポリシーを作成します:
Allow dynamic-group roving-edge-devices to use rover-family in tenancy
認証局を使用して証明書を管理するためのRoving Edge Infrastructureデバイスのポリシーを作成します:
Allow dynamic-group roving-edge-devices to manage leaf-certificate-family in tenancy
Allow dynamic-group roving-edge-devices to use certificate-authority-family in tenancy
ポリシーの例
グループrover-admins
は、Roving Edge Infrastructureリソースの管理者として定義されています:
allow group rover-admins to manage rover-family in tenancy
allow group rover-admins to manage rover-nodes in tenancy
Roving Edge Infrastructureによるワークロードのアタッチを許可:
allow group rover-admins to read object-family in tenancy
allow group rover-admins to read instance-images in tenancy
オブジェクト・ストレージへのRoving Edge Infrastructureアクセスを許可します:
allow dynamic-group roving-edge-devices to manage object-family in tenancy
allow dynamic-group roving-edge-devices to manage objectstorage-namespaces in tenancy
切断されたアップグレード・バンドル配信を有効にします:
allow group rover-admins to read object-family in tenancy
allow dynamic-group roving-edge-devices to manage object-family in tenancy
証明書管理を使用可能にします。
allow group CertificateAdmins to manage vaults in tenancy
allow group CertificateAdmins to manage keys in tenancy
allow group CertificateAdmins to manage certificate-authority-family in tenancy
allow group CertificateAdmins to use key-delegate in tenancy
allow group rover-admins to read certificate-authority-family in tenancy
allow dynamic-group certificate-authority-dynamic-group to use keys in tenancy
allow dynamic-group roving-edge-devices to use rover-family in tenancy
allow dynamic-group roving-edge-devices to manage leaf-certificate-family in tenancy
allow dynamic-group roving-edge-devices to use certificate-authority-family in tenancy