Oracle Cloud 리소스 생성

Oracle Cloud Infrastructure GoldenGate를 시작하기 전에 구획, VCN, 서브넷, 사용자 및 사용자 그룹을 생성하는 방법을 알아봅니다.

관련 항목

구획 생성

구획을 통해 클라우드 리소스에 대한 액세스를 구성하고 제어할 수 있습니다. 이 컨테이너는 관련 클라우드 리소스를 함께 그룹화하고 특정 사용자 그룹이 액세스할 수 있도록 하는 데 사용할 수 있는 논리적 컨테이너입니다.

Oracle Cloud Infrastructure에 등록하면 Oracle은 모든 클라우드 리소스를 보유하는 루트 구획인 테넌시를 생성합니다. 그런 후 테넌시 내에서 추가적인 컴파트먼트와 각 컴파트먼트의 리소스에 대한 액세스를 제어하기 위해 해당 정책을 생성할 수 있습니다.

구획을 생성하려면 다음과 같이 하십시오.
  1. Oracle Cloud 콘솔 탐색 메뉴를 열고 ID 및 보안을 누릅니다.
  2. ID에서 구획을 누릅니다. 액세스 권한이 있는 구획 목록이 표시됩니다.
  3. 새 컴파트먼트를 생성할 컴파트먼트로 이동합니다.
    • 테넌시(루트 컴파트먼트)에서 컴파트먼트를 생성하려면 컴파트먼트 생성을 누릅니다.
    • 테넌시(루트 컴파트먼트)가 아닌 컴파트먼트에 컴파트먼트를 생성하려면 컴파트먼트를 생성하려는 컴파트먼트의 세부정보 페이지에 도달할 때까지 컴파트먼트 계층을 누릅니다. 구획 세부정보 페이지에서 구획 생성을 누릅니다.
  4. Create Compartment 대화상자에서 다음과 같이 필드에 정보를 입력합니다.
    1. 이름에 대해 100자(문자, 숫자, 마침표, 하이픈 및 밑줄 포함) 이하의 고유한 컴파트먼트 이름을 입력합니다. 이름은 테넌시의 모든 구획에서 고유해야 합니다. 기밀 정보를 입력하지 마십시오.
    2. 설명에 구획을 다른 구획과 구분하는 데 도움이 되는 설명을 입력합니다.
    3. 상위 컴파트먼트의 경우 컴파트먼트를 생성하려는 컴파트먼트인지 확인하십시오. 다른 컴파트먼트를 선택하려면 드롭다운에서 하나를 선택합니다.
    4. (선택사항) 태그 네임스페이스의 경우 Oracle Cloud 콘솔에서 리소스를 검색하는 데 도움이 되는 자유 형식 태그를 추가할 수 있습니다. + 다른 태그를 눌러 태그를 더 추가합니다.
    5. 구획 생성을 누릅니다.
컴파트먼트가 생성된 후 컴파트먼트 목록에 나타납니다. 이제 정책을 생성하고 리소스를 컴파트먼트에 추가할 수 있습니다.

가상 클라우드 네트워크 및 서브넷 생성

VCN(가상 클라우드 네트워크)은 특정 지역의 Oracle Cloud Infrastructure 데이터 센터에 설정한 네트워크입니다. 서브넷은 VCN을 세분화한 것입니다.

OCI GoldenGate에는 VCN과 NAT 게이트웨이가 있는 하나 이상의 전용 서브넷이 필요합니다. 전용 서브넷에 대한 NAT 게이트웨이로 트래픽을 재지정하는 경로 규칙이 있는 경로 테이블을 사용할 수 있어야 합니다. 퍼블릭 끝점을 사용하여 접속을 사용으로 설정하려면 퍼블릭 서브넷도 필요하며 VCN에 인터넷 게이트웨이가 포함되어야 합니다. 공용 서브넷의 인터넷 게이트웨이로 트래픽을 리디렉션하는 라우트 규칙이 있는 라우트 테이블을 사용할 수 있어야 합니다.
VCN 및 서브넷을 생성하려면 다음과 같이 하십시오.
  1. Oracle Cloud 콘솔 탐색 메뉴를 열고 네트워킹을 누른 다음 가상 클라우드 네트워크를 선택합니다.
  2. 가상 클라우드 네트워크 페이지에서 컴파트먼트 선택을 확인하거나 다른 컴파트먼트를 선택합니다.
  3. 작업 메뉴에서 VCN 마법사 시작을 선택합니다.
  4. [VCN 마법사 시작] 패널에서 인터넷 접속이 있는 VCN 생성을 선택한 다음 VCN 마법사 시작을 누릅니다.
  5. 구성 페이지의 기본 정보 아래에 VCN 이름을 입력합니다.
  6. 구획의 경우 이 VCN을 생성할 구획을 선택합니다.
  7. 다음을 누릅니다.
  8. [검토 및 생성] 페이지에서 구성 세부정보를 확인한 다음 생성을 누릅니다.

VCN 세부 정보 보기를 눌러 공용 서브넷과 전용 서브넷이 모두 생성되었는지 확인합니다.

사용자 생성

OCI GoldenGate 리소스에 액세스할 수 있는 그룹에 추가할 사용자를 생성합니다.

유저를 생성하기 전에 다음을 이해하십시오.

  • OCI GoldenGate 배포 사용자 관리는 테넌시가 ID 도메인과 함께 OCI IAM을 사용하는지 여부에 따라 달라집니다. 배포 사용자 관리를 참조하십시오.
  • 사용자 이름은 테넌시 내의 모든 사용자에 대해 고유해야 합니다.
  • 사용자 이름은 변경할 수 없습니다.
  • 사용자는 그룹에 배치될 때까지 권한이 없습니다.
사용자를 생성하려면:
  1. Oracle Cloud 콘솔 탐색 메뉴를 열고 ID 및 보안을 누른 다음 ID에서 도메인을 누릅니다.
  2. 도메인 페이지에서 컴파트먼트 선택을 확인하거나 다른 컴파트먼트로 변경합니다.
  3. 도메인 목록에서 기본값을 눌러 기본 도메인에 액세스하거나 도메인 생성을 눌러 새 도메인을 생성합니다.
  4. 목록에서 도메인 선택.
  5. 도메인 세부정보 페이지에서 사용자 관리를 누릅니다.
  6. 사용자 페이지에서 사용자 생성을 누릅니다.
  7. Create user 페이지에서 다음과 같이 필드에 정보를 입력합니다.
    1. 사용자의 이름, 전자메일 주소를 입력합니다. 이 주소는 사용자 이름으로도 사용할 수 있습니다.

      주:

      이름은 테넌시의 모든 사용자에 대해 고유해야 합니다. 이 값은 나중에 변경할 수 없습니다. 사용자 이름은 공백을 포함할 수 없으며 기본 라틴 문자(ASCII), 숫자, 하이픈, 마침표, 밑줄, + 및 @로만 구성될 수 있습니다.
    2. 그룹의 경우 사용자를 지정할 그룹을 선택하십시오.
  8. 생성을 누릅니다.
그런 다음 그룹에 사용자를 추가하고 그룹에 리소스에 대한 액세스 권한을 부여하는 정책을 생성할 수 있습니다. 사용자에 대한 자세한 내용은 사용자 관리를 참조하십시오.

그룹 생성

그룹은 리소스 또는 구획 세트에 대해 동일한 유형의 액세스를 필요로 하는 사용자 모음입니다.

그룹을 생성하기 전에 다음을 이해하십시오.
  • 그룹 이름은 테넌시 내에서 고유해야 합니다.
  • 생성된 후에는 그룹 이름을 변경할 수 없습니다.
  • 그룹에 테넌시 또는 컴파트먼트에 그룹 권한을 부여하는 하나 이상의 권한을 기록할 수 있는 권한이 없습니다.
그룹을 생성하려면 다음과 같이 하십시오.
  1. Oracle Cloud 콘솔 탐색 메뉴를 열고 ID 및 보안을 누른 다음 ID에서 도메인을 누릅니다.
  2. 도메인 페이지에서 컴파트먼트 선택을 확인하거나 컴파트먼트를 변경합니다.
  3. 목록에서 도메인 선택.
  4. 도메인 세부정보 페이지에서 사용자 관리를 누릅니다.
  5. 그룹에서 그룹 생성을 누릅니다.
  6. Create group 페이지에서 다음을 수행합니다.
    1. 이름에 대해 그룹의 고유한 이름을 입력합니다.

      주:

      그룹이 생성되면 이름을 변경할 수 없습니다. 그룹 이름은 테넌시 내에서 고유해야 합니다. 그룹 이름은 1~100자의 영숫자, 대문자 또는 소문자일 수 있으며 마침표, 대시, 하이픈을 포함할 수 있지만 공백은 포함할 수 없습니다.
    2. 설명에 대해 친숙한 설명을 입력합니다.
  7. 이 그룹에 대한 사용자가 액세스를 요청할 수 있는지 여부를 선택합니다.
  8. 사용자 목록에서 이 그룹에 지정할 사용자를 선택합니다.
  9. 생성을 누릅니다.
컴파트먼트 또는 테넌시에 그룹 권한을 부여하는 정책을 작성하기 전까지는 그룹에 권한이 없습니다. 그룹에 대한 자세한 내용은 그룹 관리를 참조하십시오.

정책 생성

정책은 그룹의 멤버가 수행할 수 있는 작업 및 구획을 정의합니다.

Oracle Cloud 콘솔을 사용하여 정책을 생성합니다. Oracle Cloud 콘솔 탐색 메뉴에서 ID 및 보안, ID 순으로 선택하고 정책을 선택합니다. 정책은 다음 구문으로 작성됩니다. 

allow group <identity-domain>/<group-name> to <verb> <resource-type> in <location> where <condition>

매개변수 정의는 다음과 같습니다.

  • <identity-domain>: (선택사항) ID 관리에 OCI IAM을 사용하는 경우 사용자 그룹의 ID 도메인을 포함합니다. 생략할 경우 OCI는 기본 도메인을 사용합니다.
  • <group-name>: 권한을 부여할 사용자 그룹의 이름입니다.
  • <verb>: 그룹에 리소스 유형에 대한 특정 레벨의 액세스 권한을 부여합니다. 동사가 inspect에서 read에서 use에서 manage로 이동하면 액세스 레벨이 증가하고 부여된 권한은 누적됩니다.

    .사용 권한 및 동사 간의 관계에 대해 자세히 알아봅니다.

  • <resource-type>: 그룹에게 작업할 수 있는 권한을 부여하는 리소스 유형입니다. goldengate-deployments, goldengate-pipelinesgoldengate-connections와 같은 개별 리소스가 있으며, 이전에 언급한 개별 리소스를 포함하는 goldengate-family와 같은 리소스 계열이 있습니다.

    자세한 내용은 resource-types를 참조하십시오.

  • <location>: 정책을 컴파트먼트 또는 테넌시에 연결합니다. 이름 또는 OCID별로 단일 컴파트먼트 또는 컴파트먼트 경로를 지정하거나, 전체 테넌시를 처리하도록 tenancy를 지정할 수 있습니다.
  • <condition>: 선택사항. 이 정책이 적용될 하나 이상의 조건입니다.

정책 구문에 대해 자세히 알아봅니다.

정책을 생성하는 방법

정책을 생성하려면 다음과 같이 하십시오.
  1. Oracle Cloud 탐색 메뉴에서 ID 및 보안을 선택한 다음 [식별]에서 정책을 누릅니다.
  2. [정책] 페이지에서 정책 생성을 누릅니다.
  3. [정책 생성] 페이지에서 정책의 이름 및 설명을 입력합니다.
  4. 이 정책을 생성할 구획을 선택합니다.
  5. 정책 작성기 섹션에서 다음 중 하나를 수행할 수 있습니다.
    • 정책 사용 사례 드롭다운에서 GoldenGate 서비스를 선택하고 공통 정책 템플리트(예: 사용자가 GoldenGate 리소스를 관리할 수 있도록 필수 정책)를 선택합니다.
    • 수동 편집기 표시를 눌러 다음 형식으로 정책 규칙을 입력합니다.
      allow <subject> to <verb> <resource-type> in <location> where <condition>

      조건은 선택 사항입니다. Details for Verbs + Resource-Type Combinations를 참조하십시오.

    참고:

    자세한 내용은 최소 권장 정책을 참조하십시오.
  6. 생성을 누릅니다.

정책에 대한 자세한 내용은 정책 작동 방식, 정책 구문정책 참조를 참조하십시오.

최소 권장 정책

참고:

공통 정책 템플리트를 사용하여 필요한 모든 정책을 추가하려면 다음과 같이 하십시오.
  1. 정책 사용 사례의 경우 드롭다운에서 GoldenGate 서비스를 선택합니다.
  2. 공통 사용 템플리트의 경우 드롭다운에서 사용자가 GoldenGate 리소스를 관리할 수 있도록 하는 필수 정책을 선택합니다.

최소한 다음을 위한 정책이 필요합니다.

  • 사용자가 배포 및 연결 작업을 수행할 수 있도록 GoldenGate 리소스를 사용하거나 관리할 수 있습니다. 예:
    allow group <identity-domain>/<group-name> to manage goldengate-family in <location>
  • 사용자가 구획 및 서브넷을 보고 선택할 수 있도록 네트워크 리소스를 관리하고, GoldenGate 리소스를 생성할 때 프라이빗 끝점을 생성 및 삭제할 수 있도록 허용합니다. 예:
    allow group <identity-domain>/<group-name> to manage virtual-network-family in <location>

    선택적으로 세분화된 정책을 조합하여 네트워크 리소스를 더 안전하게 보호할 수 있습니다. Policy Examples for Securing Network Resources를 참조하십시오.

  • 동적 그룹을 생성하여 정의된 규칙을 기반으로 리소스에 권한을 부여합니다. 이를 통해 GoldenGate 배치 및/또는 파이프라인이 테넌시의 리소스에 액세스할 수 있습니다. <dynamic-group-name>를 선택한 이름으로 바꿉니다. 필요에 따라 여러 동적 그룹을 생성하여 여러 구획 또는 테넌시에 걸친 배포의 권한을 제어할 수 있습니다.
    name: <dynamic-group-name>
Matching rule: ALL {resource.type = 'goldengatedeployment', resource.compartment.id = '<location>'}

    참고:

    이 목록에 나오는 정책은 <dynamic-group-name>을 참조하십시오. 동적 그룹을 두 개 이상 생성하는 경우 다음 정책을 추가할 때 올바른 동적 그룹 이름을 참조해야 합니다.

  • 비밀번호 암호와의 접속을 사용하는 경우 접속에 지정하려는 배치가 접속의 비밀번호 암호에 액세스할 수 있어야 합니다. 컴파트먼트 또는 테넌시에 정책을 추가했는지 확인합니다.
    allow dynamic-group <identity-domain>/<dynamic-group-name> to read secret-bundles in <location>
  • 사용자가 IAM 사용 테넌시에서 검증을 위해 IAM(ID 및 액세스 관리) 사용자 및 그룹을 읽을 수 있도록 허용합니다.
    allow service goldengate to {idcs_user_viewer, domain_resources_viewer} in <location>
    allow dynamic-group <identity-domain>/<dynamic-group-name> to {idcs_user_viewer, domain_resources_viewer} in <location>
  • Oracle Vault: 고객 관리 암호화 키 및 암호 암호에 액세스합니다. 예:
    allow group <identity-domain>/<group-name> to manage secret-family in <location>
allow group <identity-domain>/<group-name> to use keys in <location>
allow group <identity-domain>/<group-name> to use vaults in <location>
allow dynamic-group <identity-domain>/<dynamic-group-name> to use keys in <location>
allow dynamic-group <identity-domain>/<dynamic-group-name> to use vaults in <location> 
allow dynamic-group <identity-domain>/<dynamic-group-name> to read secret-bundles in <location>

다음 서비스를 사용할지 여부에 따라 다음에 대한 정책을 추가해야 할 수도 있습니다.

  • 소스 및/또는 대상 데이터베이스에 대한 Oracle 데이터베이스입니다. 예: 
    allow group <identity-domain>/<group-name> to read database-family in <location>
    allow group <identity-domain>/<group-name> to read autonomous-database-family in <location>
  • Oracle Object Storage - 수동 및 일정이 잡힌 OCI GoldenGate 백업을 저장합니다. 예:
    allow group <identity-domain>/<group-name> to manage objects in <location>
allow dynamic-group <identity-domain>/<dynamic-group-name> to manage objects in <location> where target.bucket.name = '<bucket-name>'
allow group <identity-domain>/<group-name> to inspect buckets in <location>
  • OCI 로깅 - 로그 그룹에 액세스합니다. 예:
    allow group <identity-domain>/<group-name> to read log-groups in <location>
allow group <identity-domain>/<group-name> to read log-content in <location>
  • 로드 밸런서 - 배치 콘솔에 대한 퍼블릭 액세스를 사용으로 설정하는 경우:
    allow group <identity-domain>/<group-name> to manage load-balancers in <location>
allow group <identity-domain>/<group-name> to manage public-ips in <location> 
 
allow group <identity-domain>/<group-name> to manage network-security-groups in <location>
allow group <identity-domain>/<group-name> to manage vcns in <location> where ANY {request.operation = 'CreateNetworkSecurityGroup', request.operation = 'DeleteNetworkSecurityGroup'}
  • 작업 요청:
    allow group <identity-domain>/<group-name> to inspect work-requests in <location>

다음 명령문은 작업 영역에 대한 태그 네임스페이스 및 태그를 관리할 수 있는 권한을 그룹에 부여합니다.

allow group <identity-domain>/<group-name> to manage tag-namespaces in <location>

정의된 태그를 추가하려면 태그 네임스페이스 사용 권한이 있어야 합니다. 태그 지정에 대한 자세한 내용은 리소스 태그를 참조하십시오.

자세한 내용 및 추가 예제 정책은 OCI GoldenGate 정책을 참조하십시오.