テナンシの準備

Compute Cloud@Customerをインストールする前に、認証を管理するためにフェデレーテッド・アイデンティティ・プロバイダを使用するようにテナンシを設定する必要があります。

OracleがCompute Cloud@Customerをインストールすると、Oracleは、同じフェデレーテッド・アイデンティティ・プロバイダを使用するようにCompute Cloud@Customerインフラストラクチャを構成します。これにより、同じ資格証明を使用してOracle Cloud InfrastructureおよびCompute Cloud@Customerにアクセスできます。

OracleのIdentity Cloud Serviceなど、フェデレーテッド・アイデンティティ・プロバイダを使用するようにテナンシがすでに構成されている場合は、すべて設定されます。フェデレーテッド・アイデンティティ情報をOracle担当者と共有します。それ以外の場合は、Oracle担当者と協力してフェデレーテッド・アイデンティティ・プロバイダを確立します。

外部アイデンティティ・プロバイダまたはOracle Identity Cloud Serviceを使用できます。使用できるアイデンティティ・プロバイダのタイプは、テナンシのタイプ(IAMアイデンティティ・ドメインがあるテナンシまたはIAMアイデンティティ・ドメインがないテナンシ)によって異なります。

詳細は、次のリソースを参照してください。

• テナンシ・タイプの決定
• アイデンティティ・ドメインを使用するテナンシ – アイデンティティ・プロバイダによるフェデレーション
• アイデンティティ・ドメインのないテナンシ – アイデンティティ・プロバイダによるフェデレート

IAMフェデレーションの保護の詳細は、IAMフェデレーションを参照してください。

Oracle Cloud Infrastructureテナンシを準備するには、ユーザーを識別し、Compute Cloud@Customerインフラストラクチャを管理する組織内の個人のグループを作成します。

Compute Cloud@CustomerがOracle Cloud Infrastructureに接続する前に、このタスクを実行します。

ユーザーおよびグループの追加方法の詳細は、Oracle Cloud Infrastructure ConsoleでのOracle Identity Cloud Serviceユーザーおよびグループの管理を参照してください。

1. テナンシ管理者を識別します。

2. 次の管理タスクを実行できるユーザーを含むグループを少なくとも1つ作成します。

   • Compute Cloud@Customerインフラストラクチャを作成、更新および削除します。
   • Compute Cloud@Customerのアップグレード・スケジュールを作成、更新および削除します。
   • インフラストラクチャのテナンシへのセキュアな接続を確立する証明書ベースの登録プロセスを実行します。この管理タスク用に特定のグループを作成し、このタスクの実行に限定された権限を付与することをお薦めします。

グループは、後で定義するポリシーに含まれます。必要なポリシーの追加を参照してください。

Compute Cloud@CustomerがOracle Cloud Infrastructureに接続されている場合、1つ以上のコンパートメントが必要です。

コンパートメントとは、関連するリソースの集合です。コンパートメントは、クラウド・リソースを編成および分離するためのOracle Cloud Infrastructureの基本コンポーネントです。これらを使用して、アクセスの制御(ポリシーを使用)、および分離(あるプロジェクトまたはビジネス・ユニットのリソースと区別)のためにリソースを区分します。

Compute Cloud@Customerでは、次のアイテムに少なくとも1つのコンパートメントが必要です:

• Oracle Cloud InfrastructureへのコンピュートCloud@Customerインフラストラクチャ接続。
• 最終的にOracle Cloud Infrastructureへの接続用に作成したVCN。

Compute Cloud@Customerは、テナンシ(ルート・コンパートメント)、既存のコンパートメントまたは新しいコンパートメントに接続できます。複数のコンパートメントを使用できます。たとえば、インフラストラクチャ接続に1つのコンパートメントを使用し、VCNに別のコンパートメントを使用できます。

1. コンパートメントを使用してリソースへのアクセスを制御する方法に基づいてコンパートメントを作成または選択します。

   新しいコンパートメントを作成する場合は、OCIにサインインしてOracle Cloudコンソールを使用するか、CLIまたはAPIを使用してテナンシにコンパートメントを作成します。

   ノート
   
   

   Compute Cloud@Customerに使用されるコンパートメント(インストール用のコンパートメントを含む)は、OCIで作成および管理されます。コンパートメントはCompute Cloud@Customerインフラストラクチャで管理されません。テナンシ内のすべてのコンパートメントは、10分ごとなど、Compute Cloud@Customerインフラストラクチャに自動的に同期されます。

   コンパートメントの概要およびコンパートメントの管理手順は、コンパートメントの管理を参照してください。

Compute Cloud@Customerがテナンシに接続する前に、特定のIAMポリシーを構成する必要があります。

1. テナンシで次のポリシーを構成します。

   ポリシーの使用方法の詳細は、ポリシーの管理を参照してください。

   テナンシでアイデンティティ・ドメインがサポートされている場合、動的グループを指定するポリシーを作成できます。テナンシにアイデンティティ・ドメインがあるかどうかを判断するには、テナンシ・タイプの決定を参照してください。

   ノート
   
   

   異なるポリシー・ステートメントを構成して、リソースへの同じレベルのアクセスを実現できます。次のポリシーのリストに例を示します。ポリシーによって特定のリソースの正しいユーザーまたはグループへのアクセスが許可されているかぎり、この例を使用するか、ポリシー・バリエーションを作成できます。

   ポリシー1– ユーザーは、Compute Cloud@Customerインフラストラクチャおよびアップグレード・スケジュールを作成、読取り、更新および削除できます。

   重要
   
   インフラストラクチャおよびアップグレード・スケジュールの管理権限が必要なユーザーのみを含むIAMグループを指定します。これらのリソースの管理は、Compute Cloud@Customerの機能にとって重要であり、権限のないユーザーには許可しないでください。

   アイデンティティ・ドメインの有無にかかわらずIAMのポリシーの例:

   allow group <group_name> to manage ccc-family in tenancy

   ポリシー2–Compute Cloud@Customerで、Compute Cloud@Customerリソースでのアイデンティティおよびアクセス管理にIAMデータを使用できます。

   アイデンティティ・ドメインの有無にかかわらずIAMのポリシーの例:

   allow any-user to {COMPARTMENT_INSPECT, USER_INSPECT, GROUP_INSPECT, DYNAMIC_GROUP_INSPECT, POLICY_READ, TAG_NAMESPACE_INSPECT, USER_READ, TAG_DEFAULT_INSPECT, TAG_NAMESPACE_READ, DOMAIN_READ, DOMAIN_INSPECT } in tenancy where all { request.principal.id='<ccc-infrastructure_OCID>', request.principal.type='cccinfrastructure' }

   アイデンティティ・ドメインのIAMのポリシー例:

   allow dynamic-group <dynamic-group> to {COMPARTMENT_INSPECT, USER_INSPECT, GROUP_INSPECT, DYNAMIC_GROUP_INSPECT, POLICY_READ, TAG_NAMESPACE_INSPECT, USER_READ, TAG_DEFAULT_INSPECT, TAG_NAMESPACE_READ, DOMAIN_READ, DOMAIN_INSPECT} in tenancy

   ポリシー3–Compute Cloud@Customerインフラストラクチャ・サービスがアップグレードに関する通知を送信できるようにします。

   アップグレード通知およびその受信をサブスクライブする方法の詳細は、アップグレード通知のサブスクライブを参照してください。

   次の例は、アイデンティティ・ドメインがある場合とない場合のIAMのポリシーを示しています:

   allow any-user to manage ons-topics in tenancy where request.principal.type ='cccinfrastructurenotifier'

   次の例に示すように、ポリシーを変更してルート・コンパートメントへのアクセスを制限できます:

   allow any-user to manage ons-topics in tenancy where all {request.principal.type='cccinfrastructurenotifier', target.compartment.name = 'root_compartment' }

   コンパートメントへのアクセスを制限する場合は、ルート・コンパートメント(テナンシ)にアクセスする必要があります。

   ポリシー4– 指定したグループのユーザーが、インフラストラクチャがOCIテナンシと通信できるようにする登録プロセスを開始できるようにします。

   ノート
   
   

   通常の管理グループを指定しないでください。かわりに、登録プロセスを実行する唯一の目的を持つユーザーを含むグループを作成します。

   詳細は、コンピュートCloud@CustomerインフラストラクチャのOCIへの接続を参照してください。

   次のポリシー例は、アイデンティティ・ドメインの有無にかかわらずIAM用です。

   この例では、テナンシ・レベルでポリシーを設定します:

   allow group <group_name> to { CCC_CERTIFICATE_REGISTER } in tenancy

   この例では、コンパートメント・レベルでポリシーを設定します。コンパートメントは、インフラストラクチャに関連付けられているコンパートメントである必要があります:

   allow group <group_name> to { CCC_CERTIFICATE_REGISTER } in compartment '<compartment_name>'

Compute Cloud@Customerインフラストラクチャへのアクセスおよびアップグレード・スケジュール操作を制御するために使用できるCompute Cloud@Customerポリシーの詳細は、Compute Cloud@Customerポリシー・リファレンスを参照してください。

Compute Cloud@Customerがテナンシに接続する前に、テナンシにサブネットがあるVCNを作成します。