Oracle Cloud Migrationsサービス・ポリシー

移行サービスを使用するには、Oracle Cloud Migrationsサービス・ポリシーが必要です。

ポリシーの構文は次のとおりです:

allow <subject> to <verb> <resource-type> in <location> where <conditions>

詳細は、ポリシー構文を参照してください。ポリシーの作成の詳細は、ポリシーの機能ポリシー・リファレンスおよびオブジェクト・ストレージのポリシー詳細を参照してください。

コンソールを使用したポリシーの作成については、手順を参照してください。

ポリシー・ビルダー

Oracle Cloud Migrationsは、ポリシー・ビルダーをサポートしています。クラウド・コンソールのポリシー・ビルダーを使用すると、ポリシー・ステートメントを手動で入力することなく、共通ポリシーをすばやく作成できます。ポリシー・ビルダーを使用してポリシーを作成するには、ポリシー・ビルダーを使用したポリシー・ステートメントの記述を参照してください。

ポリシー・ビルダーで、Oracle Cloud Migrationsのポリシー・ユースケースを選択します。サービス・ポリシーの作成には、次の事前定義済ポリシー・テンプレートを使用できます。

移行ポリシー

移行サービスの動的グループおよびIAMポリシー。

  • 移行サービスの動的グループを作成します。動的グループにMigrationDynamicGroupなどの名前を付け、compartmentOCID移行コンパートメントのOCIDに置き換えます:
    ALL {resource.type = 'ocmmigration', resource.compartment.id = '<migration_compartment_ocid>'}

    作成に必要な権限など、動的グループの詳細は、動的グループの管理および動的グループのポリシーの記述を参照してください。

  • 次のすべてのIAMポリシーを作成して、移行サービスが特定のコンパートメントまたはテナンシ内のOCIリソースの読取りまたは管理を許可します:
    Allow dynamic-group MigrationDynamicGroup to manage instance-family in compartment <migration_compartment_name>
    Allow dynamic-group MigrationDynamicGroup to manage compute-image-capability-schema in compartment <migration_compartment_name>
    Allow dynamic-group MigrationDynamicGroup to manage virtual-network-family in compartment <migration_compartment_name>
    Allow dynamic-group MigrationDynamicGroup to manage volume-family in compartment <migration_compartment_name>
    Allow dynamic-group MigrationDynamicGroup to manage object-family in compartment <migration_compartment_name>
    Allow dynamic-group MigrationDynamicGroup to read ocb-inventory in tenancy
    Allow dynamic-group MigrationDynamicGroup to read ocb-inventory-asset in compartment <migration_compartment_name>
    Allow dynamic-group MigrationDynamicGroup to {OCB_CONNECTOR_READ, OCB_CONNECTOR_DATA_READ, OCB_ASSET_SOURCE_READ, OCB_ASSET_SOURCE_CONNECTOR_DATA_UPDATE } in compartment <migration_compartment_name>
    Allow dynamic-group MigrationDynamicGroup to {INSTANCE_IMAGE_INSPECT, INSTANCE_IMAGE_READ} in tenancy
    Allow dynamic-group MigrationDynamicGroup to {INSTANCE_INSPECT} in tenancy where any {request.operation='ListShapes'}
    Allow dynamic-group MigrationDynamicGroup to {DEDICATED_VM_HOST_READ} in tenancy where any {request.operation='GetDedicatedVmHost'}
    Allow dynamic-group MigrationDynamicGroup to {CAPACITY_RESERVATION_READ} in tenancy where any {request.operation='GetComputeCapacityReservation'}
    Allow dynamic-group MigrationDynamicGroup to {ORGANIZATIONS_SUBSCRIPTION_INSPECT} in tenancy where any {request.operation='ListSubscriptions'}
    Allow dynamic-group MigrationDynamicGroup to read rate-cards in tenancy
    Allow dynamic-group MigrationDynamicGroup to read metrics in tenancy where target.metrics.namespace='ocb_asset'
    Allow dynamic-group MigrationDynamicGroup to read tag-namespaces in tenancy
    Allow dynamic-group MigrationDynamicGroup to use tag-namespaces in tenancy where target.tag-namespace.name='CloudMigrations'

検出ポリシー

検出サービスの動的グループおよびIAMポリシー。

  • 次のすべてのIAMポリシーを作成して、検出サービスが特定のコンパートメントまたはテナンシ内のリソースの読取りまたは管理を許可します:
    Allow service ocb-discovery to inspect compartments in compartment <migration_compartment_name>
    Allow service ocb-discovery to read ocb-environments in compartment <migration_compartment_name>
    Allow service ocb-discovery to read ocb-agents in compartment <migration_compartment_name>
    Allow service ocb-discovery to read ocb-inventory in tenancy
    Allow service ocb-discovery to manage ocb-inventory-asset in compartment <migration_compartment_name>
    Allow service ocb-discovery to {TENANCY_INSPECT} in tenancy

リモート・エージェント・ポリシー

リモート・エージェントに対して次の動的グループおよびIAMポリシーを作成します。

  • リモート・エージェントの動的グループを作成します。動的グループには、RemoteAgentDynamicGroupなどの名前を付けることができます。
    ALL {resource.type = 'ocbagent'}

    作成に必要な権限など、動的グループの詳細は、動的グループの管理および動的グループのポリシーの記述を参照してください。

  • リモート・エージェントが特定のコンパートメントまたはテナンシでOCIリソースを使用、読取りまたは管理できるように、次のIAMポリシーをすべて作成します:
    Define tenancy OCB-SERVICE as <ocb_service_tenancy_ocid_for_realm>
    Endorse dynamic-group RemoteAgentDynamicGroup to { OBJECT_CREATE } in tenancy OCB-SERVICE
    Allow dynamic-group RemoteAgentDynamicGroup to manage buckets in compartment <migration_compartment_name>
    Allow dynamic-group RemoteAgentDynamicGroup to manage object-family in compartment <migration_compartment_name>
    Allow dynamic-group RemoteAgentDynamicGroup to {OCM_REPLICATION_TASK_READ, OCM_REPLICATION_TASK_UPDATE} in compartment <migration_compartment_name>
    Allow dynamic-group RemoteAgentDynamicGroup to use ocb-asset-source-connectors in compartment <migration_compartment_name>
    Allow dynamic-group RemoteAgentDynamicGroup to use ocb-connectors in compartment <migration_compartment_name>
    Allow dynamic-group RemoteAgentDynamicGroup to manage ocb-inventory in tenancy
    Allow dynamic-group RemoteAgentDynamicGroup to manage ocb-inventory-asset in compartment <migration_compartment_name>
    Allow dynamic-group RemoteAgentDynamicGroup to read secret-family in compartment <migrationsecret_compartment_name>
    Allow dynamic-group RemoteAgentDynamicGroup to use metrics in compartment <migration_compartment_name> where target.metrics.namespace='ocb_asset'
    Allow dynamic-group RemoteAgentDynamicGroup to { OCM_CONNECTOR_INSPECT, OCM_ASSET_SOURCE_READ, OCM_ASSET_SOURCE_CONNECTION_PUSH } in compartment <migration_compartment_name>
    Allow dynamic-group RemoteAgentDynamicGroup to { OCB_AGENT_INSPECT, OCB_AGENT_SYNC, OCB_AGENT_READ, OCB_AGENT_DEPENDENCY_INSPECT, OCB_AGENT_DEPENDENCY_READ, OCB_AGENT_KEY_UPDATE, OCB_AGENT_TASK_READ, OCB_AGENT_ASSET_SOURCES_INSPECT, OCB_AGENT_TASK_UPDATE } in compartment <migration_compartment_name>
    Allow dynamic-group RemoteAgentDynamicGroup to { OCB_ASSET_SOURCE_INSPECT, OCB_ASSET_SOURCE_READ, OCB_ASSET_SOURCE_ASSET_HANDLES_PUSH, OCB_ASSET_SOURCE_CONNECTION_PUSH } in compartment <migration_compartment_name>
ノート

OC1レルムのocb_service_tenancy_ocid_for_realmの値は、ocid1.tenancy.oc1..aaaaaaaahr2xcduf4knzkzhkzt442t66bpqt3aazss6cy2ll6x4xj3ci7tiqです。

テナンシがOC1以外のレルムにある場合は、Oracle Supportに連絡して正しいサービス・テナンシOCIDを確認してください。

検出プラグイン・ポリシー

検出プラグインの動的グループおよびIAMポリシー。

  • 検出プラグインの動的グループを作成します。動的グループには、DiscoveryPluginDynamicGroupなどの名前を付けることができます。
    ALL {resource.type = 'ocbagent'}

    作成に必要な権限など、動的グループの詳細は、動的グループの管理および動的グループのポリシーの記述を参照してください。

  • 次のすべてのIAMポリシーを作成して、検出プラグインが特定のコンパートメントまたはテナンシ内のリソースを使用、読取りまたは管理できるようにします:
    Allow dynamic-group DiscoveryPluginDynamicGroup to use ocb-connectors in compartment <migration_compartment_name>
    Allow dynamic-group DiscoveryPluginDynamicGroup to use ocb-asset-source-connectors in compartment <migration_compartment_name>
    Allow dynamic-group DiscoveryPluginDynamicGroup to read ocb-inventory in tenancy
    Allow dynamic-group DiscoveryPluginDynamicGroup to manage ocb-inventory-asset in compartment <migration_compartment_name>
    Allow dynamic-group DiscoveryPluginDynamicGroup to read secret-family in compartment <migrationsecret_compartment_name>
    Allow dynamic-group DiscoveryPluginDynamicGroup to use metrics in compartment <migration_compartment_name> where target.metrics.namespace='ocb_asset'

レプリケーション・プラグイン・ポリシー

レプリケーション・プラグインの動的グループおよびIAMポリシー。

  • レプリケーション・プラグインの動的グループを作成します。動的グループには、ReplicationPluginDynamicGroupなどの名前を付けることができます。
    ALL {resource.type = 'ocbagent'}

    作成に必要な権限など、動的グループの詳細は、動的グループの管理および動的グループのポリシーの記述を参照してください。

  • 特定のコンパートメントまたはレプリケーション・プラグインのテナンシに次のIAMポリシーを作成して、スナップショットをOCI Object Storageに投稿し、移行サービス・レプリケーションAPIをコールします:
    Allow dynamic-group ReplicationPluginDynamicGroup to { OCM_REPLICATION_TASK_INSPECT, OCM_REPLICATION_TASK_READ, OCM_REPLICATION_TASK_UPDATE, OCM_CONNECTOR_INSPECT, OCM_ASSET_SOURCE_READ, OCM_ASSET_SOURCE_CONNECTION_PUSH } in compartment <migration_compartment_name>
    Allow dynamic-group ReplicationPluginDynamicGroup to { BUCKET_INSPECT, BUCKET_READ, OBJECTSTORAGE_NAMESPACE_READ, OBJECT_CREATE, OBJECT_DELETE, OBJECT_INSPECT, OBJECT_OVERWRITE, OBJECT_READ } in compartment <migration_compartment_name> where all {target.bucket.name='<REPLICATION_SNAPSHOTS_BUCKET>'}
    Allow dynamic-group ReplicationPluginDynamicGroup to read secret-family in compartment <migrationsecret_compartment_name>
    Allow dynamic-group ReplicationPluginDynamicGroup to use metrics in compartment <migration_compartment_name> where target.metrics.namespace='ocb_asset'
    Allow dynamic-group ReplicationPluginDynamicGroup to {OCB_AGENT_INSPECT, OCB_AGENT_SYNC, OCB_AGENT_READ, OCB_AGENT_DEPENDENCY_INSPECT, OCB_AGENT_DEPENDENCY_READ, OCB_AGENT_KEY_UPDATE, OCB_AGENT_TASK_READ, OCB_AGENT_ASSET_SOURCES_INSPECT, OCB_AGENT_TASK_UPDATE} in tenancy
    Allow dynamic-group ReplicationPluginDynamicGroup to use ocb-connectors in compartment <migration_compartment_name>
    Allow dynamic-group ReplicationPluginDynamicGroup to use ocb-asset-source-connectors in compartment <migration_compartment_name>
    Allow dynamic-group ReplicationPluginDynamicGroup to read ocb-inventory in tenancy
    Allow dynamic-group ReplicationPluginDynamicGroup to read ocb-inventory-asset in compartment <migration_compartment_name>

ハイドレーション・エージェント・ポリシー

ハイドレーション・エージェントの動的グループおよびIAMポリシー。

  • ハイドレーション・エージェントの動的グループを作成します。動的グループにHydrationAgentDynamicGroupなどの名前を付け、compartmentOCID移行コンパートメントのOCIDに置き換えます:
    ALL {instance.compartment.id = '<migration_compartment_ocid>'}

    作成に必要な権限など、動的グループの詳細は、動的グループの管理および動的グループのポリシーの記述を参照してください。

  • 特定のコンパートメントまたはテナンシに次のIAMポリシーを作成して、OCI Object Storageからスナップショットをプルし、移行サービス・ハイドレーションAPIをコールする権限をハイドレーション・エージェントに提供します:
    Define tenancy OCM-SERVICE AS <ocm_service_tenancy_ocid_for_realm>     
    Endorse dynamic-group HydrationAgentDynamicGroup to { OBJECT_CREATE } in tenancy OCM-SERVICE where all { target.bucket.name = 'tenancy_ocid' }
    Allow dynamic-group HydrationAgentDynamicGroup to {OCM_HYDRATION_AGENT_TASK_INSPECT, OCM_HYDRATION_AGENT_TASK_UPDATE, OCM_HYDRATION_AGENT_REPORT_STATUS} in compartment <migration_compartment_name>
    Allow dynamic-group HydrationAgentDynamicGroup to read objects in compartment <migration_compartment_name>
ノート

OC1レルムのocm_service_tenancy_ocid_for_realmの値は、ocid1.tenancy.oc1..aaaaaaaartv6j5muce2s4djz7rvfn2vwceq3cnue33d72isntnlfmi7huv7qです。

テナンシがOC1以外のレルムにある場合は、Oracle Supportに連絡して正しいサービス・テナンシOCIDを確認してください。