IAM 모듈 생성

IAM 모듈에는 그룹 및 정책에 대한 구성이 포함되어 있습니다. 각 그룹 및 정책을 구성의 리소스로 정의하고 필수 변수를 선언합니다.

정책 및 그룹 정보

토폴로지의 리소스에 대한 사용자 액세스를 제어하려면 그룹을 생성하고 정책을 지정하여 각 그룹에 필요한 권한을 부여합니다.

다음 표에는 일반적으로 다중 계층 구조에 필요한 그룹 및 권한이 나열됩니다.

그룹	권한
DBAdmins	테넌시의 모든 리소스를 읽습니다. 데이터베이스 리소스를 관리합니다.
IAMAdminManagers	사용자를 관리합니다. Administrators 및 NetSecAdmins 그룹을 관리합니다. 주: Oracle 는 Oracle Cloud 에 가입할 때 Administrators 그룹을 생성합니다. 이 그룹의 사용자는 사용자 및 그룹 관리를 포함하여 테넌시의 모든 리소스에 대해 전체 액세스 권한을 갖습니다. 이 그룹으로 멤버쉽을 제한합니다.
IAMManagers	사용자를 관리합니다. Administrators 및 NetSecAdmins 를 제외한 모든 그룹을 관리합니다.
NetworkAdmins	테넌시의 모든 리소스를 읽습니다. 보안 목록, 인터넷 게이트웨이, IPSec VPN 연결 및 고객 프리미엄 장비를 제외한 모든 네트워킹 리소스를 관리합니다.
NetSecAdmins	테넌시의 모든 리소스를 읽습니다. 보안 목록, 인터넷 게이트웨이, 고객 프리미스 장비, IPSec VPN 연결 및 로드 밸런서를 관리합니다. 모든 가상 네트워크 리소스를 사용합니다.
ReadOnly	테넌시를 보고 검사합니다. 이 그룹은 리소스를 생성하거나 관리할 필요가 없는 사용자를 위한 것입니다 (예: 감사자 및 수습).
StorageAdmins	테넌시의 모든 리소스를 읽습니다. 객체 저장 영역 및 블록 볼륨 리소스를 관리합니다.
SysAdmins	테넌시의 모든 리소스를 읽습니다. 컴퓨트 및 스토리지 리소스를 관리합니다. 구획을 관리합니다. 로드 밸런서, 서브넷 및 Vnic를 사용합니다.

그룹 및 정책 정의

필요한 Oracle Cloud Infrastructure Identity and Access Management 정책 및 그룹을 정의하는 Terraform 구성 파일을 생성합니다.

iam 하위 디렉토리에서 다음 단계를 수행합니다.

1. variables.tf 라는 텍스트 파일을 생성하고 다음 코드를 파일에 붙여넣습니다.
   이 코드는 이 모듈에서 사용되는 변수를 선언합니다.

   variable "tenancy_ocid" {}
   variable "app_tag" {}
   variable "environment" {}

2. groups.tf 라는 텍스트 파일을 생성하고 다음 코드를 파일에 붙여넣습니다.

   resource "oci_identity_group" "db_admins" {
     description = "Group for users allowed to manage the databases in the tenancy."
     name        = "DBAdmins.grp"
   }
   resource "oci_identity_group" "iam_admin_managers" {
     description = "Group for users allowed to modify the Administrators and NetSecAdmins group."
     name        = "IAMAdminManagers.grp"
   }
   
   resource "oci_identity_group" "iam_managers" {
     description = "Group for users allowed to modify all users and groups except the Administrators and NetSecAdmin groups."
     name        = "IAMManagers.grp"
   }
   
   resource "oci_identity_group" "net_sec_admins" {
     description = "Administrators of the VCNs, but restricted from the following resources: vcns, subnets, route-tables, dhcp-options, drgs, drg-attachments, vnics, vnic-attachments"
     name        = "NetSecAdmins.grp"
   }
   
   resource "oci_identity_group" "network_admins" {
     description = "Administrators of the VCNs, but restricted from the following resources: security-lists, internet-gateways, cpes, ipsec-connections"
     name        = "NetworkAdmins.grp"
   }
   
   resource "oci_identity_group" "read_only" {
     description = "Groups for users allowed to view and inspect the tenancy configuration; for example, trainees"
     name        = "ReadOnly.grp"
   }
   
   resource "oci_identity_group" "storage_admins" {
     description = "Group for users allowed manage the Storage resources in the tenancy."
     name        = "StorageAdmins.grp"
   }
   
   resource "oci_identity_group" "sys_admins" {
     description = "Group for users allowed manage the Compute and Storage resources in the tenancy. Tenant administrators should be in this group."
     name        = "SysAdmins.grp"
   }

3. policies.tf 라는 텍스트 파일을 생성하고 다음 코드를 파일에 붙여넣습니다.

   resource "oci_identity_policy" "iam_admin_managers" {
     name           = "IAMAdminManagers.pl"
     description    = "IAMAdminManagers.pl"
     compartment_id = "${var.tenancy_ocid}"
   
     statements = [
       "ALLOW GROUP ${oci_identity_group.iam_admin_managers.name} to read users IN TENANCY",
       "ALLOW GROUP ${oci_identity_group.iam_admin_managers.name} to read groups IN TENANCY",
       "ALLOW GROUP ${oci_identity_group.iam_admin_managers.name} to manage users IN TENANCY",
       "ALLOW GROUP ${oci_identity_group.iam_admin_managers.name} to manage groups IN TENANCY where target.group.name = 'Administrators'",
       "ALLOW GROUP ${oci_identity_group.iam_admin_managers.name} to manage groups IN TENANCY where target.group.name = '${oci_identity_group.net_sec_admins.name}'",
     ]
   }
   
   resource "oci_identity_policy" "iam_managers" {
     name           = "IAMManagers.pl"
     description    = "IAMManagers.pl"
     compartment_id = "${var.tenancy_ocid}"
   
     statements = [
       "ALLOW GROUP ${oci_identity_group.iam_managers.name} to read users IN TENANCY",
       "ALLOW GROUP ${oci_identity_group.iam_managers.name} to read groups IN TENANCY",
       "ALLOW GROUP ${oci_identity_group.iam_managers.name} to manage users IN TENANCY",
       "ALLOW GROUP ${oci_identity_group.iam_managers.name} to manage groups IN TENANCY where all {target.group.name ! = 'Administrators', target.group.name ! = '${oci_identity_group.net_sec_admins.name}'}",
     ]
   }
   
   resource "oci_identity_policy" "sys_admins" {
     name           = "SysAdmins.pl"
     description    = "SysAdmins.pl"
     compartment_id = "${var.tenancy_ocid}"
   
     statements = [
       "ALLOW GROUP ${oci_identity_group.sys_admins.name} to manage instance-family IN TENANCY where all {target.compartment.name=/*/, target.compartment.name!=/${var.app_tag}_${var.environment}_networks/}",
       "ALLOW GROUP ${oci_identity_group.sys_admins.name} to manage object-family IN TENANCY where all {target.compartment.name=/*/, target.compartment.name!=/${var.app_tag}_${var.environment}_networks/}",
       "ALLOW GROUP ${oci_identity_group.sys_admins.name} to manage volume-family IN TENANCY where all {target.compartment.name=/*/ , target.compartment.name!=/${var.app_tag}_${var.environment}_networks/}",
       "ALLOW GROUP ${oci_identity_group.sys_admins.name} to use load-balancers IN TENANCY where all {target.compartment.name=/*/ , target.compartment.name!=/${var.app_tag}_${var.environment}_networks/}",
       "ALLOW GROUP ${oci_identity_group.sys_admins.name} to use subnets IN TENANCY where target.compartment.name=/${var.app_tag}_${var.environment}_networks/",
       "ALLOW GROUP ${oci_identity_group.sys_admins.name} to use vnics IN TENANCY where target.compartment.name=/${var.app_tag}_${var.environment}_networks/",
       "ALLOW GROUP ${oci_identity_group.sys_admins.name} to use vnic-attachments IN TENANCY where target.compartment.name=/${var.app_tag}_${var.environment}_networks/",
       "ALLOW GROUP ${oci_identity_group.sys_admins.name} to manage compartments in Tenancy where all {target.compartment.name=/*/ , target.compartment.name!=/${var.app_tag}_${var.environment}_networks/, target.compartment.name!=/Shared-Infra-Services/}",
       "ALLOW GROUP ${oci_identity_group.sys_admins.name} to read all-resources IN TENANCY",
     ]
   }
   
   resource "oci_identity_policy" "storage_admins" {
     name           = "StorageAdmins.pl"
     description    = "StorageAdmins.pl"
     compartment_id = "${var.tenancy_ocid}"
   
     statements = [
       "ALLOW GROUP ${oci_identity_group.storage_admins.name} to manage object-family IN TENANCY",
       "ALLOW GROUP ${oci_identity_group.storage_admins.name} to manage volume-family IN TENANCY",
       "ALLOW GROUP ${oci_identity_group.storage_admins.name} to read all-resources IN TENANCY",
     ]
   }
   
   resource "oci_identity_policy" "db_admins" {
     name           = "DBAdmins.pl"
     description    = "DBAdmins.pl"
     compartment_id = "${var.tenancy_ocid}"
   
     statements = [
       "ALLOW GROUP ${oci_identity_group.db_admins.name} manage database-family IN TENANCY",
       "ALLOW GROUP ${oci_identity_group.db_admins.name} read all-resources IN TENANCY",
     ]
   }
   
   resource "oci_identity_policy" "network_admins" {
     name           = "NetworkAdmins.pl"
     description    = "NetworkAdmins.pl"
     compartment_id = "${var.tenancy_ocid}"
   
     statements = [
       "ALLOW GROUP ${oci_identity_group.network_admins.name} to manage vcns IN TENANCY",
       "ALLOW GROUP ${oci_identity_group.network_admins.name} to manage subnets IN TENANCY",
       "ALLOW GROUP ${oci_identity_group.network_admins.name} to manage route-tables IN TENANCY",
       "ALLOW GROUP ${oci_identity_group.network_admins.name} to manage dhcp-options IN TENANCY",
       "ALLOW GROUP ${oci_identity_group.network_admins.name} to manage drgs IN TENANCY",
       "ALLOW GROUP ${oci_identity_group.network_admins.name} to manage cross-connects IN TENANCY",
       "ALLOW GROUP ${oci_identity_group.network_admins.name} to manage cross-connect-groups IN TENANCY",
       "ALLOW GROUP ${oci_identity_group.network_admins.name} to manage virtual-circuits IN TENANCY",
       "ALLOW GROUP ${oci_identity_group.network_admins.name} to manage vnics IN TENANCY",
       "ALLOW GROUP ${oci_identity_group.network_admins.name} to manage vnic-attachments IN TENANCY",
       "ALLOW GROUP ${oci_identity_group.network_admins.name} to manage load-balancers IN TENANCY",
       "ALLOW GROUP ${oci_identity_group.network_admins.name} to use virtual-network-family IN TENANCY",
       "ALLOW GROUP ${oci_identity_group.network_admins.name} to read all-resources IN TENANCY",
     ]
   }
   
   resource "oci_identity_policy" "net_sec_admins" {
     name           = "NetSecAdmins.pl"
     description    = "NetSecAdmins.pl"
     compartment_id = "${var.tenancy_ocid}"
   
     statements = [
       "ALLOW GROUP ${oci_identity_group.net_sec_admins.name} to manage security-lists IN TENANCY",
       "ALLOW GROUP ${oci_identity_group.net_sec_admins.name} to manage internet-gateways IN TENANCY",
       "ALLOW GROUP ${oci_identity_group.net_sec_admins.name} to manage cpes IN TENANCY",
       "ALLOW GROUP ${oci_identity_group.net_sec_admins.name} to manage ipsec-connections IN TENANCY",
       "ALLOW GROUP ${oci_identity_group.net_sec_admins.name} to use virtual-network-family IN TENANCY",
       "ALLOW GROUP ${oci_identity_group.net_sec_admins.name} to manage load-balancers IN TENANCY",
       "ALLOW GROUP ${oci_identity_group.net_sec_admins.name} to read all-resources IN TENANCY",
     ]
   }
   
   resource "oci_identity_policy" "read_only" {
     name           = "ReadOnly.pl"
     description    = "ReadOnly.pl"
     compartment_id = "${var.tenancy_ocid}"
   
     statements = ["ALLOW GROUP ${oci_identity_group.read_only.name} to read all-resources IN TENANCY"]
   }

4. iam_outputs.tf 라는 파일을 생성하고 파일에 다음 코드를 붙여넣습니다.
   이 코드는 리소스 Id가 생성된 후 리소스 id를 표시합니다.

   output "db_admins_id" {
     value = "${oci_identity_group.db_admins.id}"
   }
   
   output "iam_admin_managers_id" {
     value = "${oci_identity_group.iam_admin_managers.id}"
   }
   
   output "iam_managers_id" {
     value = "${oci_identity_group.iam_managers.id}"
   }
   
   output "net_sec_admins_id" {
     value = "${oci_identity_group.net_sec_admins.id}"
   }
   
   output "network_admins_id" {
     value = "${oci_identity_group.network_admins.id}"
   }
   
   output "read_only_id" {
     value = "${oci_identity_group.read_only.id}"
   }
   
   output "storage_admins_id" {
     value = "${oci_identity_group.storage_admins.id}"
   }
   
   output "sys_admins_id" {
     value = "${oci_identity_group.sys_admins.id}"
   }