例A-1 Exadata Cloud上のコンテナに対するオペレータ・ポリシーの作成

この仮想ケースでは、6つのコンパートメントと、コンパートメントを管理する5つのユーザー・グループがあります。

Payment Card Industry (PCI)、Service Organization Control 2 (SOC-2)、Health Insurance Portability and Accountability Act (HIPAA)の各コンプライアンス・システムは、異なるコンプライアンス制度によって管理されているため、それらを管理するオペレータ・コントロールの作成方法は2つあります。1つの方法は、各コンプライアンス制度に個別のオペレータ・コントロールを作成することです。もう1つの方法は、必要とされる最も厳格なオペレータ・コントロールを作成し、3つのコンプライアンス・カテゴリのシステムすべてを同じオペレータ・コントロールで管理することです。このシナリオでは、Functional-QA (func-qa)コンパートメントとPerformance-QA (perf-qa)コンパートメントは、どのコンプライアンス制度の対象ではありません。また、これらのコンパートメントは同じユーザー・グループによって管理されるため、これら両方を管理する1つのオペレータ・コントロールを設定できます。

自分がこれらのシステムのポリシー管理者であるとします。この構成のオペレータ・ポリシー・コントロールを作成するには、コンプライアンス制度の対象となるすべてのシステムを管理するために1つのポリシー、開発操作(devops)デプロイメント用に1つのポリシー、および品質保証(QA)システム用に1つのオプションを作成します。コントロールそのものはpoliciesという名前のコンパートメントに配置され、これはtop-security-usersグループのみが管理できます。次のCLIコマンドで確認できます。これは、OCIDのかわりに名前が使用されるなど、読みやすく調整されています。詳細は、CLIのガイドを参照してください。

/* Ensure only the top_security group has permission on the policies compartment */
allow group top_security to manage operator-control in compartment policies

/* create operator controls */
oci opctl operator-control create --operator-control-name "prod-opctl-policy" --pre-approved-op-action-list ‘[“INFRA_DIAG”]’ --approver-groups-list '["top_security_group"]' --is-fully-pre-approved false --description “Production Operator Control” --compartment-id “policies"
oci opctl operator-control create --operator-control-name "devops-opctl-policy" --pre-approved-op-action-list ‘[“INFRA_DIAG”, "INFRA_UPDATE_RESTART"] --approver-groups-list '["devops-admin"]' --is-fully-pre-approved false --description “Devops Operator Control” --compartment-id “policies"
oci opctl operator-control create --operator-control-name "qa-opctl-policy" --is-fully-pre-approved true --approver-groups-list '["qa-admin, psr-admin"]' --description “QA/Test Operator Control” --compartment-id “policies"

/* Ensure users have assignment permissions on the target Exadata. They also need read privileges on the policies. An example for pci-admin is given below*/
allow group pci-admin to manage operator-control-assignment in compartment prod-pci;

/* Ensure the user groups have manage operator control request privileges in there respective compartments */
allow group pci-sec-controller to manage operator-control-access-request in compartment prod-pci
allow group hipaa-sec-controller to manage operator-control-access-request in compartment prod-hipaa
allow group soc-sec-controller to manage operator-control-access-request in compartment prod-soc
allow group devops-sec-controller to manage operator-control-access-request in compartment devops
allow group qa-sec-controller to manage operator-control-access-request in compartment func-qa
allow group perf-sec-controller to manage operator-control-access-request in compartment perf-qa
allow group pci-admin to read operator-control in compartment policies;

これで、関連するユーザー・グループを作成し、権限を付与しました。これらのユーザー・グループのユーザーは作業に着手し、それぞれのExadataシステムを管理できます。Exadataシステムには、それぞれのコントロールを割り当てる必要があります。割当てそのものは、Exadataシステムと同じコンパートメントに存在します。前述したように、読みやすいように調整されている次のコマンドで確認できます。詳細は、CLIのガイドを参照してください。

次に、関連するオペレータ・コントロール・ポリシー・ユーザー・グループを作成し、これらのグループ・メンバーが管理するオペレータ・コントロールを含むコンパートメントへの読取りアクセス権を付与します:

oci opctl operator-control-assignment create --operator-control-id "prod-opctl-policy" --compartment-id "prod-pci" --resource-compartment-id "prod-pci" --resource-id "exadata-OCID..E1..E10" --resource-name "Exadata E1-E10" --is-enforced-always true
oci opctl operator-control-assignment create --operator-control-id "prod-opctl-policy" --compartment-id "prod-hipaa" --resource-compartment-id "prod-hipaa" --resource-id "exadata-OCID..E11..E15" --resource-name "Exadata E11-E15" --is-enforced-always true
oci opctl operator-control-assignment create --operator-control-id "prod-opctl-policy" --compartment-id "prod-soc" --resource-compartment-id "prod-soc" --resource-id "exadata-OCID..E16..E20" --resource-name "Exadata E16-E20" --is-enforced-always true
oci opctl operator-control-assignment create --operator-control-id "devops-opctl-policy" --compartment-id "devops" --resource-compartment-id "devops" --resource-id "exadata-OCID..E21..E25" --resource-name "Exadata E21-E25" --is-enforced-always true
oci opctl operator-control-assignment create --operator-control-id "qa-opctl-policy" --compartment-id "func-qa" --resource-compartment-id "func-qa" --resource-id "exadata-OCID..E26..E30" --resource-name "Exadata E26-E30" --is-enforced-always true
oci opctl operator-control-assignment create --operator-control-id "qa-opctl-policy" --compartment-id "perf-qa" --resource-compartment-id "perf-qa" --resource-id "exadata-OCID..E31..E40" --resource-name "Exadata E31-E40" --is-enforced-always true

次に、上記で作成したグループを使用して、各オペレータ・コントロールのアクセス・リクエスト権限の承認、却下または取消を行います。

例A-2 アクセス・リクエストを承認するためのオペレータDBA権限の付与

複数のシステムでグループtop-security-usersにオペレータ・コントロール・ユーザー・グループを付与していますが、テナンシ内のユーザーのサブセットにオペレータ・アクセス・コントロール・リクエストの承認または取消を許可することにしたとします。このときに、このユーザーのサブセットをtop-security-usersグループのメンバーにはしません。そうすると他のテナンシに対する権限や他の管理権限を付与することになるためです。この目標を達成するために、次のステップを実行します

1. IAMグループopctl-prod-pci-operatorsを作成します。
2. このグループのメンバーに、prod-pciコンパートメントに対するアクセス・リクエストの許可または取消の権限を付与します。
3. これらの権限を与えたいユーザーをopctl-prod-pci-operatorsグループに追加します。

次の例は、グループがアクセス・リクエストの許可または取消に必要なIAMポリシーのリストです:

Allow group opctl-prod-pci-operators to use operator-control-accessrequest in compartment prod-pci
Allow group opctl-prod-pci-operators to inspect identity-providers in tenancy 
Allow group opctl-prod-pci-operators to inspect groups in tenancy
Allow group opctl-prod-pci-operators to inspect users in tenancy