Oracle Cloudリソースの作成

Oracle Cloud Infrastructure GoldenGateを開始する前に、コンパートメント、VCN、サブネット、ユーザーおよびユーザー・グループを作成する方法について学習します。

コンパートメントの作成

コンパートメントにより、クラウド・リソースへのアクセス権を整理および制御できます。これは、関連するクラウド・リソースをグループ化し、特定のユーザー・グループによるアクセスを許可するために使用できる論理コンテナです。

Oracle Cloud Infrastructureにサインアップすると、Oracleによってテナンシが作成されます。これは、すべてのクラウド・リソースを保持するルート・コンパートメントです。次に、テナンシ内に追加のコンパートメントを作成し、対応するポリシーを作成して各コンパートメント内のリソースへのアクセスを制御します。

コンパートメントを作成するには:

Oracle Cloudコンソール・ナビゲーション・メニューを開き、「アイデンティティおよびセキュリティ」を選択します。
「アイデンティティ」で、「コンパートメント」を選択します。アクセス権を持つコンパートメントのリストが表示されます。
新しいコンパートメントを作成するコンパートメントに移動します。
- テナンシ(ルート・コンパートメント)にコンパートメントを作成するには、「コンパートメントの作成」を選択します。
- テナンシ(ルート・コンパートメント)以外のコンパートメントにコンパートメントを作成するには、コンパートメントを作成するパーティションの詳細ページに達するまで、コンパートメントの階層を選択します。「コンパートメントの詳細」ページで、「コンパートメントの作成」を選択します。
「コンパートメントの作成」ダイアログで、次のようにフィールドに入力します:
1. 「名前」に、コンパートメントの一意の名前を100文字以下(文字、数字、ピリオド、ハイフン、アンダースコアを含む)で入力します。名前は、テナンシ内のすべてのコンパートメントで一意である必要があります。機密情報を入力しないでください。
2. 「説明」に、コンパートメントを他のコンパートメントから区別するのに役立つ説明を入力します。
3. 「親コンパートメント」で、これがコンパートメントの作成先となるコンパートメントであることを確認します。別のコンパートメントを選択するには、ドロップダウンからコンパートメントを選択します。
4. (オプション)「タグ・ネームスペース」に、フリーフォーム・タグを追加して、Oracle Cloudコンソールでリソースを検索できます。タグを追加するには、「+別のタグ」を選択します。
5. 「コンパートメントの作成」を選択します。

コンパートメントは、作成後に「コンパートメント」リストに表示されます。これで、ポリシーを作成して、リソースをコンパートメントに追加できます。

仮想クラウド・ネットワークおよびサブネットの作成

仮想クラウド・ネットワーク(VCN)は、特定のリージョンのOracle Cloud Infrastructureデータ・センターで設定するネットワークです。サブネットは、VCNの下位区分です。

OCI GoldenGateには、VCNと、NAT Gatewayを含む1つ以上のプライベート・サブネットが必要です。トラフィックをプライベート・サブネットのNAT Gatewayにリダイレクトするルート・ルールを含むルート表が使用可能である必要があります。パブリック・エンドポイントを使用した接続を有効にする場合は、パブリック・サブネットも必要であり、VCNにインターネット・ゲートウェイが含まれている必要があります。パブリック・サブネットのインターネット・ゲートウェイにトラフィックをリダイレクトするルート・ルールを含むルート表が使用可能である必要があります。

VCNおよびサブネットを作成するには:

Oracle Cloudコンソールのナビゲーション・メニューを開き、「ネットワーキング」、「仮想クラウド・ネットワーク」の順に選択します。
「Virtual Cloud Networks」ページで、コンパートメントの選択を確認するか、別のコンパートメントを選択します。
「アクション」メニューから、「VCNウィザードの起動」を選択します。
「VCNウィザードの起動」パネルで、「インターネット接続性を持つVCNの作成」を選択して、「VCNウィザードの起動」を選択します。
「構成」ページの「基本情報」で、「VCN名」を入力します。
「コンパートメント」で、このVCNを作成するコンパートメントを選択します。
「次へ」を選択します。
「確認および作成」ページで、構成の詳細を確認し、「作成」を選択します。

「VCN詳細の表示」を選択して、パブリックとプライベートの両方のサブネットが作成されたことを確認します。

ユーザーの作成

OCI GoldenGateリソースにアクセスできるグループに追加するユーザーを作成します。

ユーザーを作成する前に、次を理解してください:

OCI GoldenGateデプロイメントのユーザー管理は、テナンシがアイデンティティ・ドメインでOCI IAMを使用するかどうかによって異なります。「デプロイメント・ユーザーの管理」を参照してください。
ユーザー名は、テナンシ内のすべてのユーザーで一意である必要があります
ユーザー名は変更できません
ユーザーは、グループに配置されるまで権限を持ちません

ユーザーを作成するには:

Oracle Cloudコンソールのナビゲーション・メニューを開き、「アイデンティティとセキュリティ」を選択し、「アイデンティティ」で「ドメイン」を選択します。
「ドメイン」ページで、「コンパートメント」の選択を確認するか、別のコンパートメントに変更します。
「ドメイン」リストで、「デフォルト」を選択してデフォルト・ドメインにアクセスするか、「ドメインの作成」を選択して新しいドメインを作成します。
リストからドメインを選択してください。
「ドメインの詳細」ページで、「ユーザー管理」を選択します。
「ユーザー」ページで、「ユーザーの作成」を選択します。
「ユーザーの作成」ページで、次のようにフィールドに入力します。
1. ユーザーの「名」、「姓」および「電子メール・アドレス」を入力します。これは、「ユーザー名」としても使用できます。
  
  ノート:名前は、テナンシ内のすべてのユーザーで一意である必要があります。この値は後で変更できません。ユーザー名にはスペースを使用できず、基本的なラテン文字(ASCII)、数字、ハイフン、ピリオド、アンダースコア、+、および@のみで構成します。
2. 「グループ」で、ユーザーを割り当てるグループを選択してください。
「作成」を選択します。

その後、ユーザーをグループに追加し、リソースへのアクセス権をグループに付与するポリシーを作成できます。ユーザーの詳細は、ユーザーの管理を参照してください。

グループの作成

グループは、リソースまたはコンパートメントのセットに対して同じアクセス・タイプを必要とするユーザーのコレクションです。

グループを作成する前に、次を理解してください:

グループ名は、テナンシ内で一意である必要があります。
グループ名は作成後に変更できません。
グループには権限がありません。ただし、テナンシまたはコンパートメントにグループ権限を付与する権限は1つ以上記述する必要があります。

グループを作成するには:

Oracle Cloudコンソールのナビゲーション・メニューを開き、「アイデンティティとセキュリティ」を選択し、「アイデンティティ」で「ドメイン」を選択します。
「ドメイン」ページで、「コンパートメント」の選択を確認するか、コンパートメントを変更します。
リストからドメインを選択してください。
「ドメインの詳細」ページで、「ユーザー管理」を選択します。
「グループ」で、「グループの作成」を選択します。
「グループの作成」ページで、次の手順を実行します。
1. 「名前」に、グループの一意の名前を入力します。
  
  ノート:グループの作成後は名前を変更できません。グループ名は、テナンシ内で一意である必要があります。グループ名は、1から100文字の長さの英数字で、大文字または小文字にでき、ピリオド、ダッシュ、ハイフンを含めることができますが、スペースは使用できません
2. 「説明」に、わかりやすい説明を入力します。
ユーザーがこのグループへのアクセスをリクエストできるかどうかを選択します。
「ユーザー」リストから、このグループに割り当てるユーザーを選択します。
「作成」を選択します。

グループは、コンパートメントまたはテナンシに対する権限をグループに付与するポリシーを記述するまで、権限を持ちません。グループの詳細は、グループの管理を参照してください。

ポリシーの作成

ポリシーでは、グループのメンバーが実行できるアクションとそのコンパートメントを定義します。

Oracle Cloudコンソールを使用してポリシーを作成します。Oracle Cloudコンソールのナビゲーション・メニューで、「アイデンティティとセキュリティ」、「アイデンティティ」の順に選択し、「ポリシー」を選択します。ポリシーは次の構文で記述されます:

allow group <identity-domain>/<group-name> to <verb> <resource-type> in <location> where <condition>

パラメータの定義は次のとおりです。

<identity-domain>: (オプション)アイデンティティ管理にOCI IAMを使用する場合は、ユーザー・グループのアイデンティティ・ドメインを含めます。省略すると、OCIではデフォルト・ドメインが使用されます。
<group-name>: 権限を付与するユーザー・グループの名前
<verb>: リソース・タイプへの特定のレベルのアクセス権をグループに付与します。動詞がinspect、read、use、manageと進むにつれて、アクセス権のレベルが高くなり、付与された権限は累積します。

権限と動詞の関係についてさらに学習します。
<resource-type>: 付与するグループ権限で作業できるリソースのタイプ。goldengate-deployments、goldengate-pipelines、goldengate-connectionsなどの個別のリソースがあり、goldengate-family (前述した個々のリソースを含む)などのリソース

詳細は、リソース・タイプを参照してください。
<location>: ポリシーをコンパートメントまたはテナンシにアタッチします。名前またはOCIDで単一のコンパートメントまたはコンパートメント・パスを指定するか、tenancyを指定してテナンシ全体を対象とします。
<condition>: オプション。このポリシーが適用される1つ以上の条件。

ポリシー構文の詳細を参照してください。

ポリシーの作成方法

ポリシーを作成するには:

Oracle Cloudのナビゲーション・メニューで、「アイデンティティとセキュリティ」を選択し、「識別」で「ポリシー」を選択します。
ポリシー・ページで、「ポリシーの作成」を選択します。
ポリシーの作成ページで、ポリシーの名前および説明を入力します。
このポリシーを作成するコンパートメントを選択します。
「ポリシー・ビルダー」セクションでは、次のいずれかを実行できます。
- 「ポリシー・ユース・ケース」ドロップダウンから「GoldenGateサービス」を選択し、ユーザーがGoldenGateリソースを管理できるようにするために必要なポリシーなどの共通ポリシー・テンプレートを選択します。
- 次のフォーマットでポリシー・ルールを入力するには、「手動エディタの表示」を選択します:
```
allow <subject> to <verb> <resource-type> in <location> where <condition>
```
  条件はオプションです。動詞+リソース・タイプの組合せの詳細を参照してください。
ヒント:詳細は、「最小推奨ポリシー」を参照してください。
「作成」を選択します。

ポリシーの詳細は、ポリシーの仕組み、ポリシー構文およびポリシー・リファレンスを参照してください。

最小限の推奨ポリシー

ヒント:

共通ポリシー・テンプレートを使用して必要なすべてのポリシーを追加するには:

「ポリシーのユース・ケース」で、ドロップダウンから「GoldenGateサービス」を選択します。
「共通使用テンプレート」で、ドロップダウンから「ユーザーがGoldenGateリソースを管理できるようにするために必要なポリシー」を選択します。

少なくとも、次のポリシーが必要です:

ユーザーがGoldenGateリソースを使用または管理することを許可し、ユーザーがデプロイメントおよび接続を操作できるようにします。たとえば:
```
allow group <identity-domain>/<group-name> to manage goldengate-family in <location>
```
ユーザーにネットワーク・リソースを管理することを許可し、ユーザーがGoldenGoldenGateリソースの作成時にコンパートメントとサブネットを表示および選択し、プライベート・エンドポイントを作成および削除できるようにします。たとえば:
```
allow group <identity-domain>/<group-name> to manage virtual-network-family in <location>
```
ノート:
- 専用エンドポイントを使用してデプロイメントまたは接続を作成する場合、選択したサブネットに1つ以上のIPが割り当てられます。サービスでネットワーク・リソースを作成できるようにするには、サブネットとデプロイメントまたは接続のコンパートメントの両方で、必要なネットワーク・アクセス権限を指定する必要があります。
- 同様に、専用エンドポイントを使用してデプロイメントまたは接続を削除し、サービスがネットワーク・リソースを削除できるようにする場合は、適切なネットワーク・アクセス権限が必要です。
オプションで、粒度の細かいポリシーの組合せを使用して、ネットワーク・リソースをさらに保護できます。ネットワーク・リソースを保護するためのポリシーの例を参照してください。
動的グループの作成: 定義済ルールに基づいてリソースに権限を付与し、GoldenGateデプロイメントまたはパイプライン(あるいはその両方)がテナンシのリソースにアクセスできるようにします。<dynamic-group-name>は、選択した名前に置き換えます。たとえば、異なるコンパートメントまたはテナンシにわたるデプロイメントの権限を制御するために、必要な数の動的グループを作成できます。
```
name: <dynamic-group-name>
Matching rule: ALL {resource.type = 'goldengatedeployment', resource.compartment.id = '<location>'}
```
ヒント:このリストの後に続くポリシーは、<dynamic-group-name>を参照してください。複数の動的グループを作成する場合は、後続のポリシーを追加するときに、正しい動的グループ名を参照するようにしてください。
パスワード・シークレットで接続を使用する場合は、接続に割り当てているデプロイメントが、接続のパスワード・シークレットにアクセスできる必要があります。ポリシーをコンパートメントまたはテナンシに追加していることを確認します:
```
allow dynamic-group <identity-domain>/<dynamic-group-name> to read secret-bundles in <location>
```

IAM対応テナンシでの検証のためにIdentity and Access Management (IAM)ユーザーおよびグループを読み取ることをユーザーに許可します:

allow service goldengate to {idcs_user_viewer, domain_resources_viewer} in <location>

allow dynamic-group <identity-domain>/<dynamic-group-name> to {idcs_user_viewer, domain_resources_viewer} in <location>

Oracle Vaultでお客様が管理する暗号化キーとパスワード・シークレットにアクセスします。たとえば:

allow group <identity-domain>/<group-name> to manage secret-family in <location>
allow group <identity-domain>/<group-name> to use keys in <location>
allow group <identity-domain>/<group-name> to use vaults in <location>
allow dynamic-group <identity-domain>/<dynamic-group-name> to use keys in <location>
allow dynamic-group <identity-domain>/<dynamic-group-name> to use vaults in <location>
allow dynamic-group <identity-domain>/<dynamic-group-name> to read secret-bundles in <location>

次のサービスを使用するかどうかに応じて、次のポリシーの追加が必要になる場合があります:

ソース・データベースまたはターゲット・データベース(あるいはその両方)用のOracle AIデータベース。たとえば:

allow group <identity-domain>/<group-name> to read database-family in <location>

allow group <identity-domain>/<group-name> to read autonomous-database-family in <location>

手動のOCI GoldenGateバックアップを格納するためのOracle Object Storage。たとえば:

allow group <identity-domain>/<group-name> to manage objects in <location>
allow dynamic-group <identity-domain>/<dynamic-group-name> to manage objects in <location> where target.bucket.name = '<bucket-name>'
allow group <identity-domain>/<group-name> to inspect buckets in <location>

ログ・グループにアクセスするためのOCIロギング。たとえば:

allow group <identity-domain>/<group-name> to read log-groups in <location>
allow group <identity-domain>/<group-name> to read log-content in <location>

ロード・バランサ(デプロイメント・コンソールへのパブリック・アクセスを有効にした場合):

allow group <identity-domain>/<group-name> to manage load-balancers in <location>
allow group <identity-domain>/<group-name> to manage public-ips in <location>

allow group <identity-domain>/<group-name> to manage network-security-groups in <location>
allow group <identity-domain>/<group-name> to manage vcns in <location> where ANY {request.operation = 'CreateNetworkSecurityGroup', request.operation = 'DeleteNetworkSecurityGroup'}

作業リクエスト:

allow group <identity-domain>/<group-name> to inspect work-requests in <location>

Zero Trust Packet Routing (ZPR)。接続およびパブリック・デプロイメントへのアクセスを制御するためにVCNまたはロード・バランサ(あるいはその両方)にセキュリティ属性を追加した場合にのみ必要です。ロード・バランサとプライベート・エンドポイント間のロード・バランサおよびトラフィック・フローへのパブリック・インターネット・トラフィックを許可するには、次のポリシーを追加します:
- VCNとロード・バランサの両方にセキュリティ属性が追加された場合:
```
in <vcn-sa-key>:<vcn-sa-value> VCN allow <lb-sa-key>:<lb-sa-value> endpoints to connect to <pe-sa-key>:<pe-sa-value> endpoints
in <vcn-sa-key>:<vcn-sa-value> VCN allow all-endpoints to connect to <lb-sa-key>:<lb-sa-value> endpoints
```
- ロード・バランサではなくVCNに対してのみセキュリティ属性が追加され、ロード・バランサがCIDR 10.0.1.0/24を持つパブリック・サブネットにある場合:
```
in <vcn-sa-key>:<vcn-sa-value> VCN allow '10.0.1.0/24' to connect to <pe-sa-key>:<pe-sa-value> endpoints
```
  ノート:専用接続やプライベート・デプロイメントなどの他のリソースの場合、セキュリティ属性は作成されたプライベート・エンドポイントに追加されます。ロード・バランサはプライベート・デプロイメントではデフォルトで作成されないため、前述のZPRの例は適用されません。この場合、ZPRはプライベート・エンドポイントを保護するため、ZPRポリシーが必要になる場合があります。正確なポリシーはユースケースによって異なります。
ZPRポリシー構文についてさらに学習します。

次のステートメントは、ワークスペースのタグ・ネームスペースおよびタグを管理するためのグループ権限を付与します:

allow group <identity-domain>/<group-name> to manage tag-namespaces in <location>

定義済のタグを追加するには、タグ・ネームスペースを使用する権限が必要です。タグ付けの詳細は、リソース・タグを参照してください。