Compute ServiceとOracle Cloud Agentのポリシー
ディザスタ・リカバリ(DR)がDR中にコンピュート・インスタンスを管理できるようにするには、コンピュート・インスタンスおよびOracle Cloud Agentのポリシーを設定する必要があります。
リソース・プリンシパルを使用して構成するポリシー
For Member Type: COMPUTE_INSTANCE_MOVABLE
Allow dynamic-group <Dynamic_group_Name> to manage instance-family in compartment <compartment_name>
Allow dynamic-group <Dynamic_group_Name> to manage instance-agent-command-execution-family in compartment <compartment_name>
Allow dynamic-group <Dynamic_group_Name> to manage instance-agent-command-family in compartment <compartment_name>
Allow dynamic-group <Dynamic_group_Name> to manage volume-family in compartment <compartment_name>
Allow dynamic-group <Dynamic_group_Name> to read virtual-network-family in compartment <compartment_name>
Allow dynamic-group <Dynamic_group_Name> to use subnets in compartment <compartment_name>
Allow dynamic-group <Dynamic_group_Name> to use vnics in compartment <compartment_name>
Allow dynamic-group <Dynamic_group_Name> to use network-security-groups in compartment <compartment_name>
Allow dynamic-group <Dynamic_group_Name> to use private-ips in compartment <compartment_name>
Allow dynamic-group <Dynamic_group_Name> use tag-namespaces in compartment <compartment_name>
For Member Type: COMPUTE_INSTANCE_NON_MOVABLE
Allow dynamic-group <Dynamic_group_Name> to use instance-family in compartment <compartment_name>
Allow dynamic-group <Dynamic_group_Name> to manage instance-agent-command-execution-family in compartment <compartment_name>
Allow dynamic-group <Dynamic_group_Name> to manage instance-agent-command-family in compartment <compartment_name>
Allow dynamic-group <Dynamic_group_Name> to manage volume-family in compartment <compartment_name>
For Step Type: USER_DEFINED_STEPS
Allow dynamic-group <Dynamic_group_Name> to manage instance-agent-command-execution-family in compartment <compartment_name>
Allow dynamic-group <Dynamic_group_Name> to manage instance-agent-command-family in compartment <compartment_name>
Allow dynamic-group <Dynamic_group_Name> to manage objects in compartment <compartment_name>
For DrPlanExecution
Allow dynamic-group <Dynamic_group_Name> to manage objects in compartment <compartment_name>
Allow dynamic-group <Dynamic_group_Name> to read all-resources in tenancy
ユーザー認証を使用して構成するポリシー:
コンピュート・インスタンスのポリシー
ディザスタ・リカバリ(DR)が、アプリケーション・スタックの一部であるコンピュート・インスタンスを管理できるようにする方法を示します。
Allow group DrAdmins to manage instance-family in compartment compartment_name
Allow group DrAdmins to use instance-agent-command-execution-family in compartment compartment_nameコンピュート・インスタンスのIdentity and Access Management (IAM)ポリシーについてさらに理解するには、コア・サービスの詳細を参照してください。
Oracle Cloud Agentのポリシー
ディザスタ・リカバリ(DR)が、アプリケーション・スタックの一部であるコンピュート・インスタンス上のOracle Cloud Agentを管理および使用できるようにする方法を示します。
ディザスタ・リカバリで使用するためにOracle Cloud Agentを正しく構成するには:
- 新しい動的グループを作成し、この新しい動的グループにコンピュート・インスタンスを追加するか、既存の動的グループにコンピュート・インスタンスを追加します。インスタンスを含むコンパートメントを動的グループに追加することもできます。動的グループを使用すると、ルールに基づいてインスタンスをグループ化でき、ルールにポリシーを割り当てることができます。動的グループの作成および動的グループの管理を参照してください。
Any {instance.compartment.id = 'ocid1.compartment.oc1..comp1', instance.compartment.id = 'ocid1.compartment.oc1..comp2'} - この動的グループに関連付けられたIAMポリシーを作成します。このIAMポリシーは、動的グループ(およびインスタンス)が実行できるアクションを定義します。動的グループに対するポリシーの作成を参照してください
Allow dynamic-group <identity_domain_name>/<Dynamic_group_Name> to use instance-agent-command-execution-family in compartment <compute_compartment> Allow dynamic-group <identity_domain_name>/<Dynamic_group_Name> to use instance-agent-command-family in compartment <compute_compartment> Allow dynamic-group <identity_domain_name>/<Dynamic_group_Name> to manage objects in compartment <compute_compartment> - Linuxでは
rootユーザーとして、Windowsではadministratorユーザーとしてコマンドを実行できるように、インスタンスの管理者権限を構成します。「管理者権限でのコマンドの実行」を参照してください。