Oracle Cloud Infrastructureドキュメント

Oracle Cloud Migrationsサービス・ポリシー

移行サービスを使用するには、Oracle Cloud Migrationsサービス・ポリシーが必要です。

ポリシーの構文は次のとおりです: 

allow <subject> to <verb> <resource-type> in <location> where <conditions>

詳細は、ポリシー構文を参照してください。ポリシーの作成の詳細は、ポリシーの機能ポリシー・リファレンスおよびオブジェクト・ストレージのポリシー詳細を参照してください。

コンソールを使用したポリシーの作成については、手順を参照してください。

ポリシー・ビルダー

Oracle Cloud Migrationsは、ポリシー・ビルダーをサポートしています。クラウド・コンソールのポリシー・ビルダーを使用すると、ポリシー・ステートメントを手動で入力することなく、共通ポリシーをすばやく作成できます。ポリシー・ビルダーを使用してポリシーを作成するには、ポリシー・ビルダーを使用したポリシー・ステートメントの記述を参照してください。

ポリシー・ビルダーで、Oracle Cloud Migrationsのポリシー・ユースケースを選択します。サービス・ポリシーの作成には、次の事前定義済ポリシー・テンプレートを使用できます。

移行ポリシー

移行サービスの動的グループおよびIAMポリシー。

  • 移行サービスの動的グループを作成します。動的グループにMigrationDynamicGroupなどの名前を付け、compartmentOCID移行コンパートメントのOCIDに置き換えます: 
    ALL {resource.type = 'ocmmigration', resource.compartment.id = '<migration_compartment_ocid>'}

    作成に必要な権限など、動的グループの詳細は、動的グループの管理および動的グループのポリシーの記述を参照してください。

  • 次のすべてのIAMポリシーを作成して、移行サービスが特定のコンパートメントまたはテナンシ内のOCIリソースの読取りまたは管理を許可します: 
    Allow dynamic-group MigrationDynamicGroup to manage instance-family in compartment <migration_compartment_name>
Allow dynamic-group MigrationDynamicGroup to manage compute-image-capability-schema in compartment <migration_compartment_name>
Allow dynamic-group MigrationDynamicGroup to manage virtual-network-family in compartment <migration_compartment_name>
Allow dynamic-group MigrationDynamicGroup to manage volume-family in compartment <migration_compartment_name>
Allow dynamic-group MigrationDynamicGroup to manage object-family in compartment <migration_compartment_name>
Allow dynamic-group MigrationDynamicGroup to read ocb-inventory in tenancy
Allow dynamic-group MigrationDynamicGroup to read ocb-inventory-asset in compartment <migration_compartment_name>
Allow dynamic-group MigrationDynamicGroup to {OCB_CONNECTOR_READ, OCB_CONNECTOR_DATA_READ, OCB_ASSET_SOURCE_READ, OCB_ASSET_SOURCE_CONNECTOR_DATA_UPDATE } in compartment <migration_compartment_name>
Allow dynamic-group MigrationDynamicGroup to {INSTANCE_IMAGE_INSPECT, INSTANCE_IMAGE_READ} in tenancy
Allow dynamic-group MigrationDynamicGroup {INSTANCE_INSPECT} in tenancy where any {request.operation='ListShapes'}
Allow dynamic-group MigrationDynamicGroup {DEDICATED_VM_HOST_READ} in tenancy where any {request.operation='GetDedicatedVmHost'}
Allow dynamic-group MigrationDynamicGroup {CAPACITY_RESERVATION_READ} in tenancy where any {request.operation='GetComputeCapacityReservation'}
Allow dynamic-group MigrationDynamicGroup {ORGANIZATIONS_SUBSCRIPTION_INSPECT} in tenancy where any {request.operation='ListSubscriptions'}
Allow dynamic-group MigrationDynamicGroup to read rate-cards in tenancy
Allow dynamic-group MigrationDynamicGroup to read metrics in tenancy where target.metrics.namespace='ocb_asset'
Allow dynamic-group MigrationDynamicGroup to read tag-namespaces in tenancy
Allow dynamic-group MigrationDynamicGroup to use tag-namespaces in tenancy where target.tag-namespace.name='CloudMigrations'

検出ポリシー

検出サービスの動的グループおよびIAMポリシー。

  • 次のすべてのIAMポリシーを作成して、検出サービスが特定のコンパートメントまたはテナンシ内のリソースの読取りまたは管理を許可します: 
    Allow service ocb-discovery to inspect compartments in compartment <migration_compartment_name>
Allow service ocb-discovery to read ocb-environments in compartment <migration_compartment_name>
Allow service ocb-discovery to read ocb-inventory in tenancy
Allow service ocb-discovery to manage ocb-inventory-asset in compartment <migration_compartment_name>
Allow service ocb-discovery to {TENANCY_INSPECT} in tenancy

動的グループの作成

検出サービスの動的グループを作成します。例として、動的グループに次のような名前を付けることができます。 
ALL { resource.type = 'ocbassetsource' }
次のすべてのIAMポリシーを作成して、移行サービスが特定のコンパートメントまたはテナンシ内のOCIリソースの読取りまたは管理を許可します: 
Allow dynamic-group DiscoveryDynamicGroup to read secret-family in compartment <migrationsecret_compartment_name>
Allow dynamic-group DiscoveryDynamicGroup to use metrics in compartment <migration_compartment_name> where target.metrics.namespace='ocb_asset'

作成に必要な権限など、動的グループの詳細は、動的グループの管理および動的グループのポリシーの記述を参照してください。

ハイドレーション・エージェント・ポリシー

ハイドレーション・エージェントの動的グループおよびIAMポリシー。

  • ハイドレーション・エージェントの動的グループを作成します。動的グループにHydrationAgentDynamicGroupなどの名前を付け、compartmentOCID移行コンパートメントのOCIDに置き換えます: 
    ALL {instance.compartment.id = '<migration_compartment_ocid>'}

  • 作成に必要な権限など、動的グループの詳細は、動的グループの管理および動的グループのポリシーの記述を参照してください。

  • 特定のコンパートメントまたはテナンシに次のIAMポリシーを作成して、OCI Object Storageからスナップショットをプルし、移行サービス・ハイドレーションAPIをコールする権限をハイドレーション・エージェントに提供します: 
    Define tenancy OCM-SERVICE AS <ocm_service_tenancy_ocid_for_realm>     
Endorse dynamic-group HydrationAgentDynamicGroup to { OBJECT_CREATE } in tenancy OCM-SERVICE where all { target.bucket.name = 'tenancy_ocid' }
Allow dynamic-group HydrationAgentDynamicGroup to {OCM_HYDRATION_AGENT_TASK_INSPECT, OCM_HYDRATION_AGENT_TASK_UPDATE, OCM_HYDRATION_AGENT_REPORT_STATUS} in compartment <migration_compartment_name>
Allow dynamic-group HydrationAgentDynamicGroup to manage objects in compartment <migration_compartment_name>
Allow dynamic-group HydrationAgentDynamicGroup to read secret-family in compartment <migrationsecret_compartment_name>
ノート

OC1レルムのocm_service_tenancy_for_realmの値を次に示します。テナンシがOC1以外のレルムにある場合は、Oracle Supportに連絡して正しいサービス・テナンシOCIDを確認してください。ocid1.tenancy.oc1..aaaaaaaartv6j5muce2s4djz7rvfn2vwceq3cnue33d72isntnlfmi7huv7q