テナンシの準備

Compute Cloud@Customerをインストールする前に、フェデレーテッド・アイデンティティ・プロバイダを使用して認証を管理するようにテナンシを設定する必要があります。

OracleがCompute Cloud@Customerをインストールすると、Oracleは、同じフェデレーテッド・アイデンティティ・プロバイダを使用するようにCompute Cloud@Customerインフラストラクチャを構成します。これにより、同じ資格証明を使用してOracle Cloud InfrastructureおよびCompute Cloud@Customerにアクセスできます。

テナンシが、OracleのIdentity Cloud Serviceを含むフェデレーテッド・アイデンティティ・プロバイダを使用するようにすでに構成されている場合は、すべて設定されます。フェデレーテッド・アイデンティティ情報をOracle担当者と共有します。それ以外の場合は、Oracle担当者と協力してフェデレーテッド・アイデンティティ・プロバイダを確立します。

外部アイデンティティ・プロバイダまたはOracle Identity Cloud Serviceを使用できます。使用できるアイデンティティ・プロバイダのタイプは、所有しているテナンシのタイプ(IAMアイデンティティ・ドメインがあるテナンシ、またはIAMアイデンティティ・ドメインがないテナンシ)によって異なります。

詳細は、次のリソースを参照してください。

• テナント・タイプの決定
• アイデンティティ・ドメインのあるテナンシ – アイデンティティ・プロバイダによるフェデレート
• アイデンティティ・ドメインのないテナンシ – アイデンティティ・プロバイダによるフェデレート

IAMフェデレーションの保護の詳細は、IAMフェデレーションを参照してください。

Oracle Cloud Infrastructureテナンシを準備するには、ユーザーを識別し、Compute Cloud@Customerインフラストラクチャを管理する組織内のユーザーのグループを作成します。

Compute Cloud@CustomerがOracle Cloud Infrastructureに接続する前に、このタスクを実行します。

1. テナンシ管理者を識別します。
2. 次の管理タスクを実行できるユーザーを含むグループを少なくとも1つ作成します。
   • Compute Cloud@Customerインフラストラクチャを作成、更新および削除します。
   • Compute Cloud@Customerアップグレード・スケジュールの作成、更新および削除

グループは、後で定義するポリシーに含まれます。必要なポリシーの追加を参照してください。

Compute Cloud@CustomerがOracle Cloud Infrastructureに接続されている場合、1つ以上のコンパートメントが必要です。

コンパートメントとは、関連するリソースの集合のことです。コンパートメントは、クラウド・リソースを編成および分離するためのOracle Cloud Infrastructureの基本コンポーネントです。これらを使用して、アクセスの制御(ポリシーの使用)および分離(あるプロジェクトまたはビジネス・ユニットのリソースを別のプロジェクトまたはビジネス・ユニットと区別)のためにリソースを分割します。

Compute Cloud@Customerの場合、次のアイテムには少なくとも1つのコンパートメントが必要です:

• Oracle Cloud InfrastructureへのCompute Cloud@Customerインフラストラクチャ接続。
• Oracle Cloud Infrastructureへの接続用に最終的に作成したVCN。

Compute Cloud@Customerは、テナンシ(ルート・コンパートメント)または既存のコンパートメント、または新しいコンパートメントに接続できます。複数のコンパートメントを使用できます。たとえば、インフラストラクチャ接続に1つのコンパートメントを使用し、VCNに別のコンパートメントを使用できます。

1. コンパートメントを使用してリソースへのアクセスを制御する方法に基づいて、コンパートメントを作成または選択します。

   新しいコンパートメントを作成する場合は、OCIにサインインしてOracle Cloudコンソールを使用するか、OCI CLIまたはOCI APIを使用してテナンシにコンパートメントを作成します。

   ノート
   
   

   Compute Cloud@Customerに使用されるコンパートメント(インストール用のコンパートメントを含む)は、OCIで作成および管理されます。コンパートメントはCompute Cloud@Customerインフラストラクチャでは管理されません。テナンシ内のすべてのコンパートメントは、10分ごとなど、Compute Cloud@Customerインフラストラクチャに自動的に同期されます。

   コンパートメントの概要およびコンパートメントの管理手順は、コンパートメントの管理を参照してください。

Compute Cloud@Customerがテナンシに接続する前に、特定のIAMポリシーを構成する必要があります。

1. テナンシで次のポリシーを構成します。

   ポリシーの使用方法は、ポリシーの管理を参照してください。

   テナンシがアイデンティティ・ドメインをサポートしている場合は、動的グループを指定するポリシーを作成できます。テナンシにアイデンティティ・ドメインがあるかどうかを判断するには、テナンシ・タイプの決定を参照してください。

   ノート
   
   

   リソースへの同じレベルのアクセスを実現するために、異なるポリシー・ステートメントを作成できます。次のポリシーのリストに例を示します。ポリシーで特定のリソースの正しいユーザーまたはグループへのアクセスが許可されているかぎり、この例を使用したり、ポリシー・バリエーションを作成できます。

   ポリシー1– ユーザーはCompute Cloud@Customerインフラストラクチャを作成、読取り、更新および削除し、スケジュールをアップグレードできます。

   重要
   
   インフラストラクチャの管理およびスケジュールのアップグレードの権限を必要とするユーザーのみを含むIAMグループを指定します。これらのリソースの管理はCompute Cloud@Customerの機能にとって重要であり、認可されていないユーザーには許可しないでください。

   アイデンティティ・ドメインの有無にかかわらず、IAMのポリシーの例:

   コピー

   allow group <group_name> to manage ccc-family in tenancy

   ポリシー2–Compute Cloud@Customerが、Compute Cloud@Customerリソースでのアイデンティティおよびアクセス管理にIAMデータを使用できるようにします。

   アイデンティティ・ドメインの有無にかかわらず、IAMのポリシーの例:

   コピー

   allow any-user to {COMPARTMENT_INSPECT, USER_INSPECT, GROUP_INSPECT, DYNAMIC_GROUP_INSPECT, POLICY_READ, TAG_NAMESPACE_INSPECT, USER_READ, TAG_DEFAULT_INSPECT, TAG_NAMESPACE_READ, DOMAIN_READ, DOMAIN_INSPECT } in tenancy where all { request.principal.id='<ccc-infrastructure_OCID>', request.principal.type='cccinfrastructure' }

   アイデンティティ・ドメインのあるIAMのポリシーの例:

   コピー

   allow dynamic-group <dynamic-group> to {COMPARTMENT_INSPECT, USER_INSPECT, GROUP_INSPECT, DYNAMIC_GROUP_INSPECT, POLICY_READ, TAG_NAMESPACE_INSPECT, USER_READ, TAG_DEFAULT_INSPECT, TAG_NAMESPACE_READ, DOMAIN_READ, DOMAIN_INSPECT} in tenancy

   ポリシー3–Compute Cloud@Customerインフラストラクチャ・サービスがアップグレードに関する通知を送信できるようにします。

   ノート
   
   

   アップグレード通知の詳細および通知を受信するためにサブスクライブする方法の詳細は、アップグレード通知のサブスクライブを参照してください。

   次の例では、アイデンティティ・ドメインの有無にかかわらず、IAMのポリシーを示します:

   コピー

   allow any-user to manage ons-topics in tenancy where request.principal.type ='cccinfrastructurenotifier'

   次の例に示すように、ポリシーを変更してアクセスをさらに制限できます。

   コピー

   allow any-user to manage ons-topics in tenancy where all {request.principal.type='cccinfrastructurenotifier', target.compartment.name = 'mycompartment' }

   ポリシー4– 指定したグループのユーザーは、インフラストラクチャがOCIテナンシと通信できるようにする登録プロセスを開始できます。

   重要
   
   

   通常の管理グループを指定しないでください。かわりに、インフラストラクチャの登録を担当するユーザーを含む一意のユーザー・グループを作成します。

   次のポリシー例は、アイデンティティ・ドメインの有無にかかわらずIAM用です。

   この例では、テナンシ・レベルでポリシーを設定します:

   コピー

   allow group <group_name> to { CCC_CERTIFICATE_REGISTER } in tenancy

   この例では、コンパートメント・レベルでポリシーを設定します。コンパートメントは、インフラストラクチャに関連付けられているコンパートメントである必要があります:

   コピー

   allow group <group_name> to { CCC_CERTIFICATE_REGISTER } in compartment '<compartment_name>'

Compute Cloud@Customerインフラストラクチャへのアクセスおよびアップグレード・スケジュール操作を制御するために使用できるCompute Cloud@Customerポリシーの詳細は、Compute Cloud@Customerポリシー・リファレンスを参照してください。

Compute Cloud@Customerがテナンシに接続する前に、テナンシ内のサブネットを含むVCNを作成します。