Oracle Cloud Migrationsサービス・ポリシー
移行サービスを使用するには、Oracle Cloud Migrationsサービス・ポリシーが必要です。
ポリシーの構文は次のとおりです:
allow <subject> to <verb> <resource-type> in <location> where <conditions>
詳細は、ポリシー構文を参照してください。ポリシーの作成の詳細は、ポリシーの機能、ポリシー・リファレンスおよびオブジェクト・ストレージのポリシー詳細を参照してください。
コンソールを使用したポリシーの作成については、手順を参照してください。
ポリシー・ビルダー
Oracle Cloud Migrationsは、ポリシー・ビルダーをサポートしています。クラウド・コンソールのポリシー・ビルダーを使用すると、ポリシー・ステートメントを手動で入力することなく、共通ポリシーをすばやく作成できます。ポリシー・ビルダーを使用してポリシーを作成するには、ポリシー・ビルダーを使用したポリシー・ステートメントの記述を参照してください。
ポリシー・ビルダーで、Oracle Cloud Migrationsのポリシー・ユースケースを選択します。サービス・ポリシーの作成には、次の事前定義済ポリシー・テンプレートを使用できます。
移行ポリシー
移行サービスの動的グループおよびIAMポリシー。
- 移行サービスの動的グループを作成します。動的グループに
MigrationDynamicGroup
などの名前を付け、compartmentOCID
を移行コンパートメントのOCIDに置き換えます:ALL {resource.type = 'ocmmigration', resource.compartment.id = '<migration_compartment_ocid>'}
作成に必要な権限など、動的グループの詳細は、動的グループの管理および動的グループのポリシーの記述を参照してください。
- 次のすべてのIAMポリシーを作成して、移行サービスが特定のコンパートメントまたはテナンシ内のOCIリソースの読取りまたは管理を許可します:
Allow dynamic-group MigrationDynamicGroup to manage instance-family in compartment <migration_compartment_name> Allow dynamic-group MigrationDynamicGroup to manage compute-image-capability-schema in compartment <migration_compartment_name> Allow dynamic-group MigrationDynamicGroup to manage virtual-network-family in compartment <migration_compartment_name> Allow dynamic-group MigrationDynamicGroup to manage volume-family in compartment <migration_compartment_name> Allow dynamic-group MigrationDynamicGroup to manage object-family in compartment <migration_compartment_name> Allow dynamic-group MigrationDynamicGroup to read ocb-inventory in tenancy Allow dynamic-group MigrationDynamicGroup to read ocb-inventory-asset in compartment <migration_compartment_name> Allow dynamic-group MigrationDynamicGroup to {OCB_CONNECTOR_READ, OCB_CONNECTOR_DATA_READ, OCB_ASSET_SOURCE_READ, OCB_ASSET_SOURCE_CONNECTOR_DATA_UPDATE } in compartment <migration_compartment_name> Allow dynamic-group MigrationDynamicGroup to {INSTANCE_IMAGE_INSPECT, INSTANCE_IMAGE_READ} in tenancy Allow dynamic-group MigrationDynamicGroup to {INSTANCE_INSPECT} in tenancy where any {request.operation='ListShapes'} Allow dynamic-group MigrationDynamicGroup to {DEDICATED_VM_HOST_READ} in tenancy where any {request.operation='GetDedicatedVmHost'} Allow dynamic-group MigrationDynamicGroup to {CAPACITY_RESERVATION_READ} in tenancy where any {request.operation='GetComputeCapacityReservation'} Allow dynamic-group MigrationDynamicGroup to {ORGANIZATIONS_SUBSCRIPTION_INSPECT} in tenancy where any {request.operation='ListSubscriptions'} Allow dynamic-group MigrationDynamicGroup to read rate-cards in tenancy Allow dynamic-group MigrationDynamicGroup to read metrics in tenancy where target.metrics.namespace='ocb_asset' Allow dynamic-group MigrationDynamicGroup to read tag-namespaces in tenancy Allow dynamic-group MigrationDynamicGroup to use tag-namespaces in tenancy where target.tag-namespace.name='CloudMigrations'
検出ポリシー
検出サービスの動的グループおよびIAMポリシー。
- 次のすべてのIAMポリシーを作成して、検出サービスが特定のコンパートメントまたはテナンシ内のリソースの読取りまたは管理を許可します:
Allow service ocb-discovery to inspect compartments in compartment <migration_compartment_name> Allow service ocb-discovery to read ocb-environments in compartment <migration_compartment_name> Allow service ocb-discovery to read ocb-agents in compartment <migration_compartment_name> Allow service ocb-discovery to read ocb-inventory in tenancy Allow service ocb-discovery to manage ocb-inventory-asset in compartment <migration_compartment_name> Allow service ocb-discovery to {TENANCY_INSPECT} in tenancy
リモート・エージェント・ポリシー
リモート・エージェントに対して次の動的グループおよびIAMポリシーを作成します。
- リモート・エージェントの動的グループを作成します。動的グループには、
RemoteAgentDynamicGroup
などの名前を付けることができます。ALL {resource.type = 'ocbagent'}
作成に必要な権限など、動的グループの詳細は、動的グループの管理および動的グループのポリシーの記述を参照してください。
- リモート・エージェントが特定のコンパートメントまたはテナンシでOCIリソースを使用、読取りまたは管理できるように、次のIAMポリシーをすべて作成します:
Define tenancy OCB-SERVICE as <ocb_service_tenancy_ocid_for_realm> Endorse dynamic-group RemoteAgentDynamicGroup to { OBJECT_CREATE } in tenancy OCB-SERVICE Allow dynamic-group RemoteAgentDynamicGroup to manage buckets in compartment <migration_compartment_name> Allow dynamic-group RemoteAgentDynamicGroup to manage object-family in compartment <migration_compartment_name> Allow dynamic-group RemoteAgentDynamicGroup to {OCM_REPLICATION_TASK_READ, OCM_REPLICATION_TASK_UPDATE} in compartment <migration_compartment_name> Allow dynamic-group RemoteAgentDynamicGroup to use ocb-asset-source-connectors in compartment <migration_compartment_name> Allow dynamic-group RemoteAgentDynamicGroup to use ocb-connectors in compartment <migration_compartment_name> Allow dynamic-group RemoteAgentDynamicGroup to manage ocb-inventory in tenancy Allow dynamic-group RemoteAgentDynamicGroup to manage ocb-inventory-asset in compartment <migration_compartment_name> Allow dynamic-group RemoteAgentDynamicGroup to read secret-family in compartment <migrationsecret_compartment_name> Allow dynamic-group RemoteAgentDynamicGroup to use metrics in compartment <migration_compartment_name> where target.metrics.namespace='ocb_asset' Allow dynamic-group RemoteAgentDynamicGroup to { OCM_CONNECTOR_INSPECT, OCM_ASSET_SOURCE_READ, OCM_ASSET_SOURCE_CONNECTION_PUSH } in compartment <migration_compartment_name> Allow dynamic-group RemoteAgentDynamicGroup to { OCB_AGENT_INSPECT, OCB_AGENT_SYNC, OCB_AGENT_READ, OCB_AGENT_DEPENDENCY_INSPECT, OCB_AGENT_DEPENDENCY_READ, OCB_AGENT_KEY_UPDATE, OCB_AGENT_TASK_READ, OCB_AGENT_ASSET_SOURCES_INSPECT, OCB_AGENT_TASK_UPDATE } in compartment <migration_compartment_name> Allow dynamic-group RemoteAgentDynamicGroup to { OCB_ASSET_SOURCE_INSPECT, OCB_ASSET_SOURCE_READ, OCB_ASSET_SOURCE_ASSET_HANDLES_PUSH, OCB_ASSET_SOURCE_CONNECTION_PUSH } in compartment <migration_compartment_name>
OC1レルムの
ocb_service_tenancy_ocid_for_realm
の値は、ocid1.tenancy.oc1..aaaaaaaahr2xcduf4knzkzhkzt442t66bpqt3aazss6cy2ll6x4xj3ci7tiq
です。
テナンシがOC1以外のレルムにある場合は、Oracle Supportに連絡して正しいサービス・テナンシOCIDを確認してください。
検出プラグイン・ポリシー
検出プラグインの動的グループおよびIAMポリシー。
- 検出プラグインの動的グループを作成します。動的グループには、
DiscoveryPluginDynamicGroup
などの名前を付けることができます。ALL {resource.type = 'ocbagent'}
作成に必要な権限など、動的グループの詳細は、動的グループの管理および動的グループのポリシーの記述を参照してください。
- 次のすべてのIAMポリシーを作成して、検出プラグインが特定のコンパートメントまたはテナンシ内のリソースを使用、読取りまたは管理できるようにします:
Allow dynamic-group DiscoveryPluginDynamicGroup to use ocb-connectors in compartment <migration_compartment_name> Allow dynamic-group DiscoveryPluginDynamicGroup to use ocb-asset-source-connectors in compartment <migration_compartment_name> Allow dynamic-group DiscoveryPluginDynamicGroup to read ocb-inventory in tenancy Allow dynamic-group DiscoveryPluginDynamicGroup to manage ocb-inventory-asset in compartment <migration_compartment_name> Allow dynamic-group DiscoveryPluginDynamicGroup to read secret-family in compartment <migrationsecret_compartment_name> Allow dynamic-group DiscoveryPluginDynamicGroup to use metrics in compartment <migration_compartment_name> where target.metrics.namespace='ocb_asset'
レプリケーション・プラグイン・ポリシー
レプリケーション・プラグインの動的グループおよびIAMポリシー。
- レプリケーション・プラグインの動的グループを作成します。動的グループには、
ReplicationPluginDynamicGroup
などの名前を付けることができます。ALL {resource.type = 'ocbagent'}
作成に必要な権限など、動的グループの詳細は、動的グループの管理および動的グループのポリシーの記述を参照してください。
- 特定のコンパートメントまたはレプリケーション・プラグインのテナンシに次のIAMポリシーを作成して、スナップショットをOCI Object Storageに投稿し、移行サービス・レプリケーションAPIをコールします:
Allow dynamic-group ReplicationPluginDynamicGroup to { OCM_REPLICATION_TASK_INSPECT, OCM_REPLICATION_TASK_READ, OCM_REPLICATION_TASK_UPDATE, OCM_CONNECTOR_INSPECT, OCM_ASSET_SOURCE_READ, OCM_ASSET_SOURCE_CONNECTION_PUSH } in compartment <migration_compartment_name> Allow dynamic-group ReplicationPluginDynamicGroup to { BUCKET_INSPECT, BUCKET_READ, OBJECTSTORAGE_NAMESPACE_READ, OBJECT_CREATE, OBJECT_DELETE, OBJECT_INSPECT, OBJECT_OVERWRITE, OBJECT_READ } in compartment <migration_compartment_name> where all {target.bucket.name='<REPLICATION_SNAPSHOTS_BUCKET>'} Allow dynamic-group ReplicationPluginDynamicGroup to read secret-family in compartment <migrationsecret_compartment_name> Allow dynamic-group ReplicationPluginDynamicGroup to use metrics in compartment <migration_compartment_name> where target.metrics.namespace='ocb_asset' Allow dynamic-group ReplicationPluginDynamicGroup to {OCB_AGENT_INSPECT, OCB_AGENT_SYNC, OCB_AGENT_READ, OCB_AGENT_DEPENDENCY_INSPECT, OCB_AGENT_DEPENDENCY_READ, OCB_AGENT_KEY_UPDATE, OCB_AGENT_TASK_READ, OCB_AGENT_ASSET_SOURCES_INSPECT, OCB_AGENT_TASK_UPDATE} in tenancy Allow dynamic-group ReplicationPluginDynamicGroup to use ocb-connectors in compartment <migration_compartment_name> Allow dynamic-group ReplicationPluginDynamicGroup to use ocb-asset-source-connectors in compartment <migration_compartment_name> Allow dynamic-group ReplicationPluginDynamicGroup to read ocb-inventory in tenancy Allow dynamic-group ReplicationPluginDynamicGroup to read ocb-inventory-asset in compartment <migration_compartment_name>
ハイドレーション・エージェント・ポリシー
ハイドレーション・エージェントの動的グループおよびIAMポリシー。
- ハイドレーション・エージェントの動的グループを作成します。動的グループに
HydrationAgentDynamicGroup
などの名前を付け、compartmentOCID
を移行コンパートメントのOCIDに置き換えます:ALL {instance.compartment.id = '<migration_compartment_ocid>'}
作成に必要な権限など、動的グループの詳細は、動的グループの管理および動的グループのポリシーの記述を参照してください。
- 特定のコンパートメントまたはテナンシに次のIAMポリシーを作成して、OCI Object Storageからスナップショットをプルし、移行サービス・ハイドレーションAPIをコールする権限をハイドレーション・エージェントに提供します:
Define tenancy OCM-SERVICE AS <ocm_service_tenancy_ocid_for_realm> Endorse dynamic-group HydrationAgentDynamicGroup to { OBJECT_CREATE } in tenancy OCM-SERVICE where all { target.bucket.name = 'tenancy_ocid' } Allow dynamic-group HydrationAgentDynamicGroup to {OCM_HYDRATION_AGENT_TASK_INSPECT, OCM_HYDRATION_AGENT_TASK_UPDATE, OCM_HYDRATION_AGENT_REPORT_STATUS} in compartment <migration_compartment_name> Allow dynamic-group HydrationAgentDynamicGroup to read objects in compartment <migration_compartment_name>
OC1レルムの
ocm_service_tenancy_ocid_for_realm
の値は、ocid1.tenancy.oc1..aaaaaaaartv6j5muce2s4djz7rvfn2vwceq3cnue33d72isntnlfmi7huv7q
です。
テナンシがOC1以外のレルムにある場合は、Oracle Supportに連絡して正しいサービス・テナンシOCIDを確認してください。