組織管理の概要
組織管理を使用して、多くのテナントの一元管理、子テナンシの招待と作成、サブスクリプションの表示とマップ、組織内のテナントへのガバナンス・ルールの作成とアタッチを行います。
組織管理では、組織にテナンシを追加し、それらのテナンシがプライマリ有料サブスクリプションから消費するようにできます。分離テナンシを作成してワークロードを構築でき、新しいオーダーを予約する必要はありません。
- 親: プライマリ有料サブスクリプションに関連付けられているテナンシ。
- 子: 組織に参加するテナンシで、親が子のコストとガバナンスを管理します。子テナントは、完全に新しいテナントとして作成することも、同じ組織に参加したり、デフォルト・サブスクリプションを変更するために既存のテナントを招待することもできます。
組織は、親テナンシによって管理される複数の子テナンシを持つことができます。親テナンシは、サブスクリプション・マッピングを使用して、組織内の子テナンシにサブスクリプションを割り当てることができます。
組織管理の利点は次のとおりです:
- 単一のコミットメントを共有することで、コスト超過を回避し、マルチテナンシのコスト管理を可能にします。組織内のリンクされたすべてのテナンシを分析、レポートおよびモニターできます。親テナンシは、コスト分析およびコストおよび使用状況レポートを使用して各テナンシを分析およびレポートでき、予算を介してアラートを受信できます。
- 厳密なデータ分離要件を持つ顧客は、マルチテナンシ戦略を使用してデータを分離し、テナンシ間でリソースを制限できます。
- ガバナンス・ルールを使用して、特定の子テナンシまたは組織全体のリソースを強制および管理します。
SaaSサブスクリプション・サービスは、SaaSサブスクリプションがアクティブ化されたテナンシ(子テナンシも含む)でプロビジョニングできます。
このトピックの残りの部分では、組織管理を使用して子テナンシを作成する方法、既存のテナンシを招待する方法、招待の表示と取消しを行う方法、およびサブスクリプションをテナンシに再マップする方法の概要を示します。コスト・レポート機能についても説明します。この機能を使用して、組織内のすべてのテナンシのコストおよび使用状況の情報を一元管理できます。これらの機能を使用すると、マルチテナンシ環境をより適切に管理できます。
計画に関する考慮事項
テナンシをさらに追加する前に、マルチテナント・アプローチがワークロードに最適であることを確認するために、ニーズを評価してください。テナンシを複数にする主な理由は、ワークロードの分離を支援するための分離の強化です。
管理するテナンシが複数になると管理オーバーヘッドが増えるため、分離する価値があることを確認してください。強力なレベルの分離が必要ない場合は、かわりに、コンパートメントでのワークロードの分離を検討します。
デフォルトでは、各親および子テナンシには次のものが付属しています:
- IAMユーザーの個別のセット(別のアイデンティティ・システムにフェデレートできます)。
- IAMポリシー(権限)の個別のセット。
- 個別のテナンシ管理者。
- 独自のサービス制限。
- 分離された仮想クラウド・ネットワーク(VCN)。
- 個別のセキュリティとガバナンスの設定。
テナンシは親テナンシにでき、テナンシが次の基準を満たす場合は子テナンシを追加できます。
- 親に十分な組織子テナンシ制限があります。これらの制限は、親がアクティブ化されたサブスクリプションに基づいて最初に付与されます。デフォルトでは、Oracle Universal Creditsの年間コミットおよび資金調達済の割当てサブスクリプションは、追加のテナンシを作成または招待するために有効になっています。Pay As You Goまたはトライアル・サブスクリプションには、0個の子テナンシの制限があります。サービス制限の引上げが必要な場合は、サポート・チケットを介してリクエストできます。詳細は、組織サービス制限およびサービス制限引上げのリクエストを参照してください。
- 親テナンシは、子サブスクライブ・リージョンのスーパーセットにサブスクライブする必要があります。
- 子テナンシにホーム・リージョンとして割り当てられるリージョンに関係なく、親テナンシがすでにサブスクライブされているリージョンの数に関係なく、子テナンシを作成するには、親テナンシがホーム・リージョンにサインインする必要があります。子テナンシのホーム・リージョンの選択は、複数の(複数存在する場合)親サブスクライブ済リージョンのいずれかにできます。
招待されたテナンシは、次の基準を満たす場合に組織の子になることができます。
- 招待されたテナンシには、Oracle Universal Credits、Pay As You Go、コミット、資金調達された割当てなどの有料サブスクリプションが必要です。
- 招待されたテナンシをFree Tierまたはトライアルにすることはできません。
- 招待されたテナンシには、同じレルム内にホーム・リージョンが必要です。
- 招待されたテナンシはスタンドアロンである必要があります(親テナンシにすることも、別の組織の一部にすることもできません)。
組織内のサブスクリプションの共有に関して:
- Oracle Universal Creditsサブスクリプションは複数のテナンシ間で共有できますが、SaaSサブスクリプションは共有できません。
- サブスクリプションが共有されると、テナンシ使用量がサブスクリプションに対して測定されます。使用コストは、サブスクリプションのレート・カードおよび通貨に基づいて計算されます。コストはサブスクリプション・クレジットから消費されます。
- サブスクリプションは、契約国に関係なく共有できます。
- サブスクリプション・マッピングを使用すると、特定のサブスクリプションを1つ以上のテナンシにマップできます。
必要なIAMポリシー
Oracle Cloud Infrastructureを使用するには、管理者によってポリシーでセキュリティ・アクセス権が付与されている必要があります。このアクセス権は、コンソール、あるいはSDK、CLIまたはその他のツールを使用したREST APIのいずれを使用している場合でも必要です。権限がない、または認可されていないというメッセージが表示された場合は、自分がどのタイプのアクセス権を持っているか、およびどのコンパートメントで作業するかを管理者に確認してください。
ポリシーを初めて使用する場合は、ポリシーの開始と共通ポリシーを参照してください。
組織管理を使用するには、次のポリシー・ステートメントが必要です:
Allow group linkUsers to use organizations-family in tenancy
Allow group linkAdmins to manage organizations-family in tenancy
招待を受け入れるが作成しない場合は、次を使用します:
allow group linkAccepters to manage organizations-recipient-invitations in tenancy
現在リンクされているテナンシを表示し、招待を表示しない場合:
allow group linkViewers to read organizations-links in tenancy
新しい子テナンシの作成
親テナントとして、新しい子テナントを作成したり、既存のテナントを組織に招待したりできます。新しく作成された子テナンシは、組織のデフォルトのサブスクリプションから消費します。新しい子テナンシが別のサブスクリプションから消費するようにする場合は、「サブスクリプション・マッピング」ページで、作成されたテナンシを別のサブスクリプションに再マップできます。
作成中に新しい子テナンシにガバナンス・ルールをアタッチすることも、後で戻ってルールをアタッチすることもできます。子テナンシの作成前にガバナンス・ルールをアタッチするには、最初に「ガバナンス・ルール」ページでガバナンス・ルールを作成して、新しい子テナンシの作成時に選択できるようにします。
作成された子テナンシは、親テナンシの現在のデフォルト制限を継承します。子テナンシは、他のテナンシと共有されない独自の制限セットを受け取ります。
Free Tierまたはトライアル・テナンシは、最初に有料に変換されないかぎり、新しい子テナンシを追加したり、組織の一部になるように招待することはできません。アップグレードの詳細は、アカウント・アップグレードの概要を参照してください。
次の表では、価格設定モデルに基づいて実行できる子テナンシの作成および招待アクションについて説明します。
価格設定モデル | テナンシの作成可能 | テナンシを招待可能 | 招待可能 |
---|---|---|---|
Pay As You Go | いいえ | はい | はい |
年間コミット | はい | はい | はい |
資金調達割当て | はい | はい | はい |
カスタム | はい | はい | はい |
トライアル/Free Tier | いいえ | いいえ | いいえ |
子テナントを作成するには、テナンシ名や指定された管理者電子メールなどの必要な情報を指定する必要があり、子テナンシ管理者への電子メール通知にサインイン手順が提供されます。作成された(子)テナンシは、組織のデフォルト・サブスクリプションから自動的に消費するため、すべての使用量に対する請求が、サブスクリプションのレート・カードに基づいて行われます。親テナンシは、子テナンシの使用量についても責任を負います。
子テナンシ管理者は、テナンシをアクティブ化する手順を受信し、パスワードおよびMFAを設定します。
既存のテナンシの招待
適切な制限がある場合、組織に加わるように別のテナンシを招待できます。テナンシが組織に加わると、そのサブスクリプションは親テナンシによって管理されます。
別のテナンシの招待に関連する制限の詳細は、組織の制限を参照してください。
招待を受け入れるには、受信者テナンシが子テナンシでサブスクリプション共有を管理するための適切な権限を持っている必要があります。詳細は、必要なIAMポリシーを参照してください。受信者テナンシも、同じレルム内のホーム・リージョンに存在する必要があります。
親テナントおよびまだ共有関係にないテナンシは、招待を送信できます。子テナンシは招待を送信できません。
受信者テナンシの認可ユーザーが招待を受け入れ、受信者テナンシがPay As You Goサブスクリプションにサブスクライブされている場合、受信者テナンシのすべての使用量が自分のサブスクリプションに対して測定されます。招待の受入れ後に、サブスクリプションを受信テナンシとの共有を停止するには、サブスクリプションを再マップします。
作成中に招待されたテナンシにガバナンス・ルールをアタッチすることも、後でルールをアタッチすることもできます。招待の送信前にガバナンス・ルールをアタッチするには、最初に「ガバナンス・ルール」ページでガバナンス・ルールを作成して、テナンシの招待プロセス中に選択できるようにします。
招待されたテナンシは、引き続き独自のサービス制限を保持します。制限の増加については、サポート・リクエストを介してリクエストできます。詳細は、サービス制限の引上げのリクエストを参照してください。
招待されたテナント(受信者テナンシとも呼ばれる)は、組織内のデフォルト・サブスクリプションに自動的にマップされるため、すべての使用量が計算され、デフォルト・サブスクリプションのレート・カードに対して請求されます。招待された受信者テナンシがデフォルト・サブスクリプションから消費しないようにする場合は、招待されたテナンシが組織に加わった後で、サブスクリプションを元のサブスクリプションに再マップできます。
テナンシを招待するには:
子テナンシと親テナンシの「テナンシ」ページの両方に、子テナンシが親テナンシとともに表示されます。親テナンシの「テナント」ページで、子テナンシと親テナンシ、および組織のサブスクリプションに対して測定されている他の子テナンシを表示できます。次が表示されます:
- テナンシ名
- テナンシOCID
- ステータス: (親テナンシのみ)招待のステータスが表示されます。
- 組織ガバナンス: テナンシがガバナンス・ルールを使用している(参加済)か、または使用していない(不参加)かを指定します。
- 加入日: (親テナンシのみ)テナンシが加わってサブスクリプション共有が開始されたUTC日時。
招待の表示
招待の詳細は、親と子(または受信者)の両方のテナンシから表示できます。
招待を表示するには:
招待の取消し
組織に加わるように別のテナンシに招待を送信した親テナンシは、後で「招待」ページでそのような招待を取り消すことを選択できます。
招待を取り消すには:
招待したテナンシの削除
親テナンシとして、招待した子テナンシを組織から削除できます。削除できるのは、招待した子テナンシのみです。
招待されたテナンシの削除では、親にコストまたはガバナンス・アクセス権がないように、テナンシが組織からリンク解除されます。作成済子テナンシの場合、CLIを使用してテナンシを別の組織に転送できます。oci organizations organization-tenancy approval-organization-tenancy-tenancy-for-transferおよびoci organizations organization-tenancy unapprove-organization-tenancy-for-transferコマンドの使用の詳細は、作成された子テナンシの別の組織への転送を参照してください。
子テナンシを削除すると、親テナンシで子テナンシを管理できなくなります。親テナンシは、子の将来のコストおよび使用状況情報を表示したり、子のサブスクリプション・マッピングを管理したりできません。子テナントが組織内の別のサブスクリプションから消費するようにする場合は、テナンシを削除する必要はありません。かわりに、サブスクリプション・マッピングで、テナンシを別のサブスクリプションに再マップできます。
招待された子テナンシを削除するには、最初に組織ガバナンスから削除し、「サブスクリプション・マッピング」ページを使用してテナンシの割当てを元のサブスクリプションに戻し、テナンシが元のサブスクリプションに再マップされた後に「テナンシ」ページからテナンシを削除する必要があります。
招待された子テナンシを削除するには:
子テナンシは、元のサブスクリプションとともに、組織から削除されます。子テナンシを元のサブスクリプションにマップして戻したため、テナンシはそれ以降の自身のサブスクリプションから消費し、サブスクリプションの使用量に対する支払を行うことになります。さらに、テナンシは組織から削除されたため、独自のスタンドアロン親テナンシとなり、削除されたテナンシの独自の「テナンシ」ページに表示されます(「テナンシ名」の下には、「親テナンシ」が示されます)。
作成された子テナンシの別の組織への転送
oci organizations organization-tenancy approve-organization-tenancy-for-transfer
コマンドを使用して、作成された子テナンシを別の組織に転送します。
次のシナリオの例では、既存のMyOldParentTenancyテナンシから新しいPay As You Go MyNewParentTenancyテナンシに転送する子テナンシが作成されていることを前提としています。子テナンシがMyOldParentTenancyから転送された後、新しいMyNewParentTenancyテナンシに参加するように子テナンシを招待できます。最後に、新しいMyNewParentTenancyテナンシのサブスクリプション・マッピングを更新して、すべてのテナンシ(将来のテナンシを含む)でMyOldParentTenancyテナンシの既存のサブスクリプションが使用されるようにする必要があります。
テナントの詳細は次のとおりです。
テナント名 | OCID |
---|---|
MyOldParentTenancy | ocid1.tenancy.oc1..<old-parent-tenancy-unique_ID> |
MyNewParentTenancy | ocid1.tenancy.oc1..<new-parent-tenancy-unique_ID> |
childtenancy1 | ocid1.tenancy.oc1..<child-tenancy1-unique_ID> |
作成された子テナンシを転送するには:
子テナンシの削除
OCI管理者は、子テナンシのタイプに応じて、子テナンシを削除できます。
組織から作成された子テナンシと、組織に招待され、後で子テナンシになるスタンドアロン・テナンシの両方を削除できます。ただし、この2つのタイプの子テナンシのプロシージャは異なります。
- テナンシが組織から作成された場合は、「組織の作成済子テナンシの削除」のステップに従って、作成された子テナンシを削除します。
- テナンシがもともとスタンドアロン・テナンシであり、組織の一部になるよう招待された場合、テナンシを削除する前に、まずテナンシを組織から削除する必要があります。削除の詳細は、招待済テナンシの削除を参照してください。
削除後、組織の招待された子テナンシの削除を参照してテナンシを削除し、テナンシおよびそれに関連付けられたサブスクリプションを削除します。
サブスクリプション・マッピング
組織管理内でテナンシを表示し、サブスクリプションに再マップできます。
組織は、複数のサブスクリプションを持つことができ、それらは親テナンシによって管理されます。たとえば、組織は常に単一のサブスクリプション(サブスクリプション"A")のみで開始しますが、後で組織に参加する独自のサブスクリプション(サブスクリプション"B")を持つ子テナンシは独自のサブスクリプションBを持ち込むことができます。親テナンシは、サブスクリプション・マッピングを使用して、サブスクリプションBを組織内の他のテナンシにマップできます。その結果、組織のサブスクリプションは、組織内の任意のテナンシにマップできます。
サブスクリプションにマップされたテナンシは、(ユニバーサル・クレジット・コミットメントのサブスクリプションの場合)サブスクリプションのクレジットから消費し、サブスクリプションのレート・カードを使用します。テナンシをサブスクリプションに再マップすることで、テナンシの使用がサブスクリプションの契約条件(サブスクリプションのレート・カード、クレジット消費、およびサブスクリプションの契約におけるその他の契約を含む)に適用されます。
サブスクリプションをマップするには:
ガバナンス・ルールの使用
ガバナンス・ルールを使用して、組織内のテナンシにコントロールを構成およびアタッチできます。ガバナンス・ルールがテナンシにアタッチされると、対応するリソースが作成され、ターゲット・テナンシに固定されます。
ガバナンス・ルールは、親テナンシが作成する強制の一種であり、子テナンシのリソースを管理できます。親テナンシはガバナンス・ルールを作成し、1つ以上の子テナンシにターゲット指定できます。設定後、ガバナンス・ルールの強制はロックされ、子テナンシ内のユーザーはルールを変更できなくなります。その結果、このようなリソースのインタフェースにロック・アイコンが表示されます。たとえば、親テナンシが子テナンシに対して許可されているリージョン・ガバナンス・ルールを作成した場合、子テナンシの「割当て制限ポリシー」ページでは、割当て制限名に隣接するロック・アイコンが表示されます。割当て制限ポリシーの詳細ページを表示すると、ガバナンス・ルールを使用してリソースが親テナンシによって作成およびロックされたことを示すメッセージが表示されます。ルールを変更するには、親がルールをロック解除して変更する必要があります。詳細は、リソース・ロックを参照してください。
ガバナンス・ルールを使用すると、次のことを強制できます:
- 許可されたリージョン: ターゲット・テナンシがサブスクライブできる1つ以上のリージョン。コンプライアンス標準で許可されているリージョンの許容リストを設定します。ノート
ターゲット・テナンシが、許可されたリージョン・リストにないリージョンにすでにサブスクライブしている場合は、テナンシがそのリージョンにサブスクライブされたままになり、そのリージョンにリソースをデプロイできます。 - 割当て制限ポリシー: リソース割当て制限を設定して、サービス内のリソース数を制限するか、特定のサービスを無効にします。このような割当て制限は、テナンシ・レベルで設定できます。次に例を示します:
zero compute-core quotas in tenancy set compute-core quota to 20 in tenancy
- タグ: 組織全体でタグを定義します。一貫したタグ付けのためにタグ・ネームスペースを共有することも、すべてのリソースがタグ付けされるようにタグのデフォルトを定義することもできます。ノート
ガバナンス・ルールの作成に使用された親テナンシのリソース(タグ・ネームスペースなど)を更新する場合は、ガバナンス・ルールも更新する必要があります。更新しないと、変更が子テナンシに伝播されません。
ガバナンス・ルールを作成し、それを1つ以上のテナンシにアタッチするには:
これで、ガバナンス・ルールが構成され、子テナンシ(または指定されている場合は組織全体および組織に参加する将来のテナンシ)に制限が適用されるようになりました。「組織管理」の「テナンシ」ページにアクセスして、関連するガバナンス・ルールを表示することもできます。「テナント」ページで、テナンシ名をクリックして、テナンシの詳細ページを開きます。
「ガバナンス・ルール」で、テナンシにアタッチされているガバナンス・ルールのリスト(名前およびルール・タイプを含む)を表示できます。ガバナンス・ルール名をクリックすると、関連するガバナンス・ルールの詳細ページに移動します。
一方、ガバナンス・ルールをアタッチした子テナンシも、「ガバナンス・ルール」ページにルールを表示できますが、親テナンシがルール構成を制御するため、ルールとはやり取りできず、ルールに関する基本情報の表示のみ行えます。
ガバナンス・ルールの作成後、ルールの編集または削除、ルールのアタッチまたはデタッチ、またはルール・アタッチメント・メソッド(特定のテナンシまたは組織全体)の変更を行うことができます。親テナンシから、組織ガバナンスとの間でテナンシをオプト・インまたはオプト・アウトするか、子テナンシから組織ガバナンスへのオプト・インをリクエストすることもできます。
- ナビゲーション・メニューを開き、「ガバナンスと管理」をクリックします。「組織管理」で、「ガバナンス・ルール」をクリックします。
- ガバナンス・ルールの詳細ページで、「ルール構成の編集」をクリックします。「ルール構成の編集」パネルが開きます。
- ルール構成を編集し、「保存」をクリックします。
- ナビゲーション・メニューを開き、「ガバナンスと管理」をクリックします。「組織管理」で、「ガバナンス・ルール」をクリックします。
- ガバナンス・ルールの詳細ページで、「ルールの削除」をクリックします。「ルールの削除」の確認が表示されます。
- 「ルールの削除」をクリックします。削除すると元に戻せなくなります。また、ターゲット・テナンシで、ルールに関連付けられているリソースも削除されます。
- ナビゲーション・メニューを開き、「ガバナンスと管理」をクリックします。「組織管理」で、「ガバナンス・ルール」をクリックします。
- 「ガバナンス・ルール」ページで、「名前」の下にあるガバナンス・ルールをクリックすると、ガバナンス・ルールの詳細ページが開きます。
「ガバナンス・ルールの詳細」ページの「テナント」で1つ以上のテナントを選択し、「テナントのアタッチ」をクリックします。ルールをテナンシにアタッチすることを確認する確認が表示されます。
- 「ルールの追加」をクリックします。ガバナンス・ルールの詳細ページがリロードされ、新しい作業リクエストが開始されます。作業リクエストが完了すると、ルールはテナンシにアタッチされなくなり、「ルール・ステータス」が「デタッチ済」に変わります。
- 親テナントで、ナビゲーション・メニューを開き、「ガバナンスと管理」をクリックします。「組織管理」で、「ガバナンス・ルール」をクリックします。
- ガバナンス・ルールの詳細ページで、「アタッチメント・メソッドの変更」をクリックします。「アタッチメント・メソッドの変更」の確認が表示されます。
「特定のテナンシにアタッチ」または「組織全体にアタッチ」のどちらでも、優先アタッチメント方法を選択します。
- 優先アタッチメント・メソッドを選択し、「ルールのアタッチ」をクリックします。
- ナビゲーション・メニューを開き、「ガバナンスと管理」をクリックします。「組織管理」で、「ガバナンス・ルール」をクリックします。
- 「ガバナンス・ルール」ページで、「名前」の下にあるガバナンス・ルールをクリックすると、ガバナンス・ルールの詳細ページが開きます。
ガバナンス・ルールの詳細ページの「テナント」で1つ以上のテナンシを選択し、「テナンシのデタッチ」をクリックします。ルールがターゲット・テナンシに適用されず、ターゲット・テナンシ内のルールに関連付けられたリソースが削除されることを示す確認が表示されます。
- 「ルールのデタッチ」をクリックします。ガバナンス・ルールの詳細ページがリロードされ、新しい作業リクエストが開始されます。テナンシの「アクション」メニュー()をクリックし、「作業リクエストの表示」をクリックしてステータスおよび進捗を表示できます。作業リクエストが完了すると、ルールはテナンシにアタッチされなくなり、「ルール・ステータス」が「デタッチ済」に変わります。ノート
このプロセスでは、ガバナンス・ルールのみがデタッチされますが、「組織ガバナンス」フィールドに「参加済」と表示されるため、テナンシを組織ガバナンスからオプトアウトすることはありません。
組織にすでに含まれている特定のタイプのテナンシは、ガバナンス・ルールを使用するようにオプト・インできます。
- 親テナンシは、自身をオプト・インまたはオプト・アウトできます。
- 親テナンシは、子テナンシがオプト・インに同意するか、子テナンシをオプト・アウトするようにリクエストできます。
- 子テナントは、親テナンシによってオプト・インされるか、自身をオプト・インすることができますが、子テナンシが自身をオプト・アウトすることはできません。
子テナンシは、親テナンシとしてサインインしている間、または子テナンシとしてサインインしている間にオプトインできます。
親テナンシからガバナンス・ルールに子テナンシをオプト・インするには:
- ナビゲーション・メニューを開き、「ガバナンスと管理」をクリックします。「組織管理」で、「テナンシ」をクリックします。
- 「テナント」ページで、「テナント名」フィールドからテナンシをクリックして、その詳細ページを開きます。
- 「組織ガバナンスに参加するようリクエスト」をクリックします。「組織ガバナンスに参加するようリクエスト」パネルが開き、テナンシにオプト・インをリクエストできます。受信者は、子テナンシへのアクセス権を持ち、リクエストが失効するまでの14日間のうちに応答する必要があります。
- オプションで、「受信者電子メール」に、受信者の電子メール・アドレスを入力します。
- 「ガバナンス・ルール」で、選択したガバナンス・ルールをすぐに選択するか、スキップしてガバナンス・ルールを後で選択します。
- 「リクエストの送信」をクリックします。ガバナンスの招待リクエストが送信されたことを示すメッセージが表示されます。リクエストの受入れを決定した場合、子テナンシはすぐに組織ガバナンスを使用します。
送信側テナンシの「招待」ページで、「タイプ」フィールドに「送信済リクエスト」がある新しいガバナンス招待を表示できます。「招待名」の招待をクリックすると、招待の詳細ページが表示され、受信側テナンシがガバナンスの招待を受け入れるまで、そのステータス(最初は「ステータス」フィールドで「保留中」)を表示できます。
「リクエスト」フィールドは、テナンシが組織ガバナンスに参加するようにリクエストしたこと、および受信者テナンシがリクエストを受け入れると、ガバナンス・ルールを作成してテナンシにアタッチできることを示します。
「取消」をクリックして、ガバナンスの招待を取り消すこともできます。組織ガバナンスに参加するリクエストを取り消すかどうかを確認する「招待の取消」確認が表示されます。リクエストを取り消すには、「Revoke」をクリックします。招待の詳細ページがリロードされ、取り消された状態に切り替わります。「招待」ページの招待の「ステータス」フィールドも「取消済」に変わります。
- 受信者子テナンシで、ナビゲーション・メニューを開き、「ガバナンスと管理」をクリックします。「組織管理」で、「招待」をクリックします。新しいガバナンスの招待の「ステータス」が「保留中」で、その「タイプ」が「受信リクエスト」です。
- 招待をクリックして、「リクエスト詳細: 組織ガバナンスに参加」詳細ページに移動します。招待の「タイプ」は「受信リクエスト」で、「リクエスト」フィールドは、リクエストを受け入れることで組織ガバナンスに参加し、親テナントがご使用のテナンシにガバナンス・ルールを作成およびアタッチすることに同意していることを示します。参加後、組織ガバナンスからテナンシを削除できるのは、親テナンシのみです。
- 招待の詳細ページで、「受諾」をクリックします。「招待に応じる」の確認で、組織ガバナンスへの参加リクエストを承認する場合は、「同意」をクリックします。
「アクション」メニュー()から直接「リクエストの承認」または「リクエストの拒否」をクリックして、ガバナンスの招待をメインの「招待」ページから直接受け入れることもできます。
「拒否」をクリックすると、招待は拒否され、送信側テナンシは後で別のガバナンスの招待を送信できます。
受け入れると、数分後、招待ステータスは「受入れ済」に変わります。招待ステータスは、送信側(親)テナンシと受信者(子)テナンシの両方に表示できます。
送信側テナンシの「テナンシ」ページでは、テナンシがガバナンス・ルールを使用していることを示すために、「組織ガバナンス」フィールドに「参加済」と表示されます。また、テナンシの詳細ページの「ガバナンスの状態」フィールドには、テナンシがガバナンス・ルールを使用していることを示すために、「組織ガバナンス」と表示されます。
子テナンシから子テナンシをオプト・インするには:
- ナビゲーション・メニューを開き、「ガバナンスと管理」をクリックします。「組織管理」で、「テナンシ」をクリックします。
- 「テナント」ページで、「テナント名」フィールドからテナンシをクリックして、その詳細ページを開きます。
- 「組織ガバナンスに参加」をクリックします。「組織ガバナンスに参加」パネルが開き、テナンシにオプト・インをリクエストできます。組織ガバナンスに参加することで、親テナンシが子テナンシにガバナンス・ルールを作成およびアタッチすることに同意します。参加すると、ガバナンス・ルール使用状況から子テナンシをオプト・アウトできるのは親テナンシのみになります。
- 「組織ガバナンスに参加」をクリックします。ガバナンスをオプトインするリクエストは受け入れられ、テナンシはまもなく参加し、組織ガバナンスに参加することを示す通知メッセージが表示されます。
「作業リクエスト」で、オプトイン作業リクエストが開始され、ステータスが示されます。「操作」の下にあるリクエストをクリックすると、詳細を表示できます。
- 子テナンシが結合されると、テナンシ情報詳細ページの「設定」で、「ガバナンス状態」フィールドに「組織ガバナンス」が表示され、「テナンシ」ページに「組織ガバナンス」の下の「参加済」値が表示されます。
ガバナンス・ルールからテナンシをオプト・アウトするには:
- ナビゲーション・メニューを開き、「ガバナンスと管理」をクリックします。「組織管理」で、「テナンシ」をクリックします。
- 「テナント」ページで、「テナント名」フィールドからテナンシをクリックし、その詳細ページを開きます。
- 「組織ガバナンスから削除」をクリックします。
- 確認で、「組織ガバナンスから削除」をクリックします。ガバナンスをオプト・アウトするリクエストは受け入れられ、テナンシはまもなく組織ガバナンスから削除されることを示すメッセージが表示されます。
ガバナンス・ルールからテナントを削除すると、ガバナンス・ルールをテナントにアタッチできなくなります。将来ルールをアタッチするには、テナンシを再度オプト・インするようにリクエストする必要があります。
「テナント」ページでは、テナントがガバナンス・ルールを使用していないことを示すために、「組織ガバナンス」フィールドに「不参加」と表示されます。また、テナンシの詳細ページの「ガバナンスの状態」フィールドには、テナンシがガバナンス・ルールを使用せずに、かわりにコスト管理の詳細のみが共有されていることを示すために、「コスト管理のみ」と表示されます。
注意が必要なルールのトラブルシューティング
- タグ・ガバナンス・ルールを作成してテナンシに適用しますが、テナンシには同じ名前のタグ・ネームスペースがすでにあります。たとえば、この種のルールを親テナンシに適用すると、テンプレート・タグ・ネームスペースでは、一致する名前を持つ別のタグ・ネームスペースが作成されなくなります。
- 割当て制限ポリシー・ステートメントの構文エラーまたはミスによって、割当て制限ポリシー・ガバナンス・ルールを引き続き作成することはできますが、そのようなルールはいずれのテナンシにもアタッチできません。
APIの使用
APIの使用およびリクエストの署名の詳細は、REST APIのドキュメントおよびセキュリティ資格証明を参照してください。SDKの詳細は、SDKおよびCLIを参照してください。
組織管理には、組織APIの次のものを使用します。
サブスクリプションおよびサブスクリプション・マッピングの管理用:
- AssignedSubscription
- GetAssignedSubscription
- ListAssignedSubscriptions
- CreateSubscriptionMapping
- DeleteSubscriptionMapping
- GetSubscriptionMapping
- ListSubscriptionMappings
テナンシおよび組織の管理用:
子テナンシの再アクティブ化の管理用:
組織間で子テナンシを移動するには:
- ApproveOrganizationTenancyForTransferノート
このAPIは、親テナンシで管理者としてコールする必要があります。詳細は、関連するoci organizations organization-tenancy approve-organization-tenancy-for-transfer
コマンドも参照してください。親テナンシIDはcompartmentId
として渡され、子テナンシIDはorganizationTenancyId
として渡されます。テナンシおよびコンパートメントの詳細は、コンパートメントの理解を参照してください。
招待の管理用:
作業リクエストの管理用:
ガバナンス・ルールの管理用:
コスト・レポート統合
Oracleの請求およびコスト・レポート機能を使用すると、組織内のすべてのテナンシにわたってコストおよび使用状況の情報を集中管理できます。
テナンシが作成されるか、組織に加わったら、コスト分析のレポート・オプションを使用して、組織の支出でフィルタまたはグループ化できます。親テナンシとして、コスト分析の概要を使用し、次を使用して組織の支出を分析できます:
- 「テナントID」および「テナント名」グループ化ディメンション。
- 「サブスクリプションID」グループ・ディメンション。これにより、特定のサブスクリプションでフィルタし、テナンシの使用状況が発生したサブスクリプションを検索します。その結果、特定のサブスクリプションのみに関連するコストおよび使用状況を表示できます。組織におけるコストの表示の詳細は、サブスクリプションの詳細およびコストの表示を参照してください。
子テナンシもテナントID、テナント名およびサブスクリプションID別にグループ化できますが、表示されるコストは子テナンシに関するもののみです(これとは対照的に、親テナンシは自身のコストに加えて子テナンシのコストも表示できます)。
また、コストおよび使用状況レポートを使用して詳細なコストおよび使用状況の情報を表示することもできます。このレポートでは、時間レベルの情報を取得して支出に関するインサイトを獲得できます。
サブスクリプションに対するすべての支出(親およびすべての子テナンシ)は、親テナンシのコスト・レポートに含まれ、子テナンシは、自身のテナンシでの支出の表示に制限されます。コストおよび使用量レポートは親テナンシでのみ生成され、親およびそのすべての子のすべての使用量が含まれます。親テナンシと子テナンシの両方で予算を作成できます。親テナンシは、自身と子テナンシの両方の予算を作成できますが、子テナンシが作成できるのは自身の予算のみです。
サブスクリプションが再割当てされたテナンシは、それ以降、2つのサブスクリプション(つまり、再割当ての前と後)にデータが分割されます。Cost AnalysisおよびCost and Usage Reportでは、データは特定の時間に対応し、問合せのフィルタリングおよびグループ化の選択肢に影響を与えます。たとえば、「tenancy1」が10月15日までデータを「subscription1」に、10月16日から「subscription2」にレポートしている場合、10月15日までの消費については「subscription1」を、10月15日より後の消費については「subscription2」を参照する必要があります。
次の表では、すべてのOracle Cloud Infrastructureの請求およびコスト管理機能に関して、組織管理がコスト・レポートに与える影響を説明します。
親テナンシ | 子テナンシ | |
---|---|---|
原価分析の概要 | 親およびすべての子テナンシのすべての使用量およびコストについてレポートし、テナンシまたはサブスクリプションID別にグループ化できます。親テナンシは、親およびすべての子テナンシのサブスクリプション詳細を表示することもできます。 |
子テナンシのすべての使用量およびコストについてレポートします。子テナントは、コスト分析内でサブスクリプション詳細を表示できません(サブスクリプション詳細は親テナンシの観点からのみ表示できます)。 ノート: 子テナンシがコンソールからコスト分析を使用する場合は、親テナンシのホーム・リージョンをサブスクライブする必要があります。 |
コストおよび使用状況レポート(CSV) | 親テナンシとすべての子テナンシのすべての使用量とコストが含まれます。 | 使用できません。 |
予算 | 予算は、プライマリ・テナンシ内の子テナンシ、コンパートメントおよびタグに対して作成できます。 | 予算は、子テナンシ内のコンパートメントまたはタグに対して作成できます。 |
クラウド・アドバイザ | 推奨事項は、すべての子テナンシの親が表示できます。親は推奨を表示できますが、推奨を実装できません。 | 子テナンシは、独自の推奨事項を表示できます。 |
サポート
テナンシの作成方法に応じて、テナンシごとに個別のCSI (カスタマ・サポートID)番号およびサポート・アカウントがあります。作成された子テナンシは親サブスクリプションCSIを継承します。
テナンシごとに一意のCSIを取得するには、アカウント・チームと協力して、新しいCSIを作成する方法でテナンシを作成します。