テナント内での分離パーティション間でのプライベート・ネットワークの共有

ビジネスおよびITの理由から、様々な内部ビジネス・ユニットまたはアカウント間でクラウド・ネットワークをセグメント化することがあります。このドキュメントでは、複数のアカウントで共有される集中管理されたプライベート・ネットワークを作成する方法と、異なるビジネス部門のユーザーが共有プライベート・ネットワークを使用しながらクラウド・リソースを分離する方法について説明します。

次の例では、組織のIT部門が共有プライベート・ネットワークを管理します。HR部門はネットワークのパーティション内のHR関連リソースを管理し、財務部門はネットワークのパーティション内の財務関連リソースを管理します。人事管理および財務で使用する共有サブネットもありますが、マーケティングでは使用できません。

構成

Oracle Cloud Infrastructure Webコンソールで、次のステップを実行します。

1. IT部門の区分を作成します(例: demo-IT)。
   
   

   

   
   
2. demo-ITコンパートメントにVCNを作成します。
3. 次の例に示すように、IAMポリシーを定義して、demo-ITコンパートメント内のリソースを管理する権限をITユーザーにのみ付与します。
   
   

   

   
   
4. demo-IT区分内で、パーティションが必要なビジネス・ユニットのサブパートを作成します。
   また、すべてのビジネス・ユニット間で共有されるリソースのコンパートメントを作成します(例: demo-Shared)。
   
   

   

   
   
5. 次のユーザー、グループおよびポリシーを作成します。
   • ユーザーdemo-it-user、グループdemo-it-users

     ポリシー:

     allow group demo-it-users to manage all-resources in compartment demo-IT
     allow group demo-it-users to manage all-resources in compartment demo-HR
     allow group demo-it-users to manage all-resources in compartment demo-Finance
     allow group demo-it-users to manage all-resources in compartment demo-shared

   • ユーザーdemo-finance-user、グループdemo-finance-users
     ポリシー:

     allow group demo-finance-users to read virtual-network-family in compartment demo-IT
     allow group demo-finance-users to manage all-resources in compartment demo-Finance
     allow group demo-finance-users to manage all-resources in compartment demo-Shared

   • ユーザーdemo-hr-user、グループdemo-hr-users
     ポリシー:

     allow group demo-hr-users to read virtual-network-family in compartment demo-IT
     allow group demo-hr-users to manage all-resources in compartment demo-HR
     allow group demo-hr-users to manage all-resources in compartment demo-Shared

   • ユーザーdemo-marketing-user、グループdemo-marketing-users
     ポリシー:

     allow group demo-marketing-users to read virtual-network-family in compartment demo-IT
     allow group demo-marketing-users to use all-resources in compartment demo-Marketing

6. 以前に作成したVCNで、各コンパートメントに1つずつ、4つのサブネットを作成します。

   サブネット	コンパートメント
   Subnet_Shared	demo-Shared
   Subnet_Finance	demo-Finance
   Subnet_HR	demo-HR
   Subnet_Marketing	demo-Marketing

これで、次の処理をサポートする区分、ネットワークおよびアクセス・ポリシーを構成しました。

• ITユーザーは、すべてのサブネット、VCNおよび関連リソースにアクセスして管理できます。
• 財務ユーザーは、リソースをSubnet_Financeに添付できます。
• HRユーザーは、Subnet_HRにリソースを添付できます。
• マーケティング・ユーザーは、Subnet_Marketingにリソースを添付できます。
• 財務ユーザーおよびHRユーザーはSubnet_Sharedにリソースを添付できますが、マーケティング・ユーザーは共有サブネットを使用できません。

検証

定義したアクセス・ポリシーの影響をテストします。

1. Oracle Cloud Infrastructure Webコンソールにdemo-hr-userとしてサインインします。
2. Subnet_HRを使用して、demo-HRコンパートメントにコンピュート・インスタンスを作成します。
   
   

   

   
   
   インスタンスが正常に作成されます。
   

   

   
   
3. Subnet_Sharedを使用して、demo-Sharedコンパートメントにコンピュート・インスタンスを作成します。
   
   

   

   
   
   インスタンスが正常に作成されます。
   

   

   
   
4. demo-Marketingコンパートメントのインスタンスを表示してみてください。
   
   

   

   
   
   インスタンスを表示できません。
5. demo-Marketingコンパートメントにコンピュート・インスタンスを作成してみます。
   
   

   

   
   
   インスタンスを作成できません。
   

   

   
   

クラウドで共有プライベート・ネットワークを作成し、様々なアカウントおよびユーザー間でパーティション化して柔軟なポリシー制御を実現しながら、IT組織が管理権限を持つようにできます。複数のアカウントで使用できる共有サブネットも構成しました。

このパターンは、さらに展開する場合は複数のVcnで繰り返し実行できます。

詳細

• 区分の管理
• Oracle Cloud Infrastructureのベスト・プラクティス・フレームワーク