https://blogs.oracle.com/cloud-infrastructure/foundational-oracle-cloud-infrastructure-iam-policies-for-managed-service-providers
このエントリでは、Oracle Cloud Infrastructureのパートナおよびマネージド・サービス・プロバイダ(MSP)が、エンド・ユーザーに代わってOracle Cloud Infrastructureサービスを管理するための基盤として利用可能なアイデンティティ・アクセス管理(IAM)ポリシーについて説明します。
Identity and Access Management特にこのエントリでは、MSPがエンド・ユーザーのテナント全体を管理し、それぞれのコンパートメントの管理のセルフサービス化のためにさまざまなエンド・ユーザー管理者グループの資格をプロビジョニングするために活用できる、初期IAMポリシーのユースケースに焦点を当てています。
https://cloud.oracle.com/en_US/governance/identity/features
Oracle Cloud InfrastructureのIAMのベスト・プラクティスについては、以下のブログエントリと、筆者のChangbin Gongが作成したホワイト・ペーパーをご覧ください。
Best Practices for Identity and Access Management Service on Oracle Cloud Infrastructure
https://blogs.oracle.com/cloud-infrastructure/best-practices-for-identity-and-access-management-service-on-oracle-cloud-infrastructure
Best Practices for Identity and Access Management (IAM) in Oracle Cloud Infrastructure
https://cloud.oracle.com/opc/iaas/whitepapers/best-practices-for-iam-on-oci.pdf
Use Case Overview
このエントリでは以下のようなIAMのユースケースを紹介します。- テナント管理者として、MSPはテナント(customer enterprise)の全てのOracle Cloud Infrastructureのアセットを管理して、MSPは(顧客の要求に沿って)コンパートメントを作成し、顧客の管理者グループから上がってくる問題のトラブルシューティングできるようにしたい。
- テナント管理者として、MSPは非ルート・コンパートメントの管理を対応する顧客の管理者に委譲し、顧客の管理者がそれぞれのコンパートメントのリソースに対する資格を持つようにしたい。
- テナント管理者として、MSPはテナント用にロール固有の資格を作成し、MSP管理者グループの責務分担を明確にしたい。具体的には、特定のロール、例えばサーバ管理者にコンピューティングに関するサービスの資格を持たせたり、ネットワーク管理者に顧客のテナントのコンパートメント間のネットワークリソースに関する資格を持たせる。
- 運用管理者(Operations Admin)として、OPSチームが顧客やユーザーグループの作成や管理を望んでいるが、無制限のアクセスのためにTenant Adminグループへのアクセスは避けたい。
Requirements
- MSPは、顧客の要求に応じてテナントとコンパートメントを作成する。この例では以下の通り。
- MSP
- ACME_Cloud_provider(略してACP)
- テナント
- ACP_Tenant
- コンパートメント
- Root
- ACP_Client_Prod
- ACP_Client_Dev
- MSP管理者グループ
- ACP_OPS_Admin
- ACP_Server_Admin
- ACP_Network_Admin
- 顧客管理者グループ
- ACP_Prod_Admin
- ACP_Dev_Admin
- (必要であれば)ACP_Customer_Admin:ユーザープロビジョニングのための顧客管理者グループ
- ポリシー
- ACP_Tenant_Policy
- ACP_Prod_Policy
- ACP_Dev_Policy
- ACP_Customer_Policy.
Steps
各ユースケースについて、必要なグループを作成し、ユーザをグループに追加し、以下の手順でOracle Cloud Infrastructureコンソールでポリシーを作成します。詳細手順のリンクは以下の通りです。- グループの作成
- グループへのユーザ追加
- To add a user to a group https://docs.cl
- ポリシーの追加
oud.oracle.com/iaas/Content/Identity/Tasks/managingusers.htm#three
Use Case 1
テナント管理者として、MSPはテナント(customer enterprise)の全てのOracle Cloud Infrastructureのアセットを管理して、MSPは(顧客の要求に沿って)コンパートメントを作成し、顧客の管理者グループから上がってくる問題のトラブルシューティングできるようにしたいと思っています。Key Policy:
- ALLOW GROUP ACP_OPS_Admin to manage all-resources IN TENANCY
注意
このポリシーはMSP Operationsチーム用です。管理者グループと同じアクセスが必要になることがあります。
Use Case 2
テナント管理者として、MSPは非ルートコンパートメントの管理を対応する顧客の管理者に委譲して、顧客の管理者がそれぞれのコンパートメントのリソースに関する資格を有するようにしたいと思っています。このユースケース例では、MSPは顧客の本番、開発コンパートメント用のポリシーを作成します。Key Policy(本番コンパートメント用)
- Allow group ACP_Client_Prod to manage all-resources in compartment ACP_Client_Prod
Key Policy(開発コンパートメント用)
- Allow group ACP_Client_Dev to manage all-resources in compartment ACP_Client_Dev
Use Case 3
テナント管理者として、MSPはテナントのロール固有の資格を作成することを望んでいます。そのため、例えばコンピューティング関連サービスの資格を持つサーバー管理者、顧客のテナント内のコンパートメント間のネットワークリソースに関する資格を持つネットワーク管理者、というように、MSP管理者グループは明確に責務を分離します。Key Policies(ネットワーク管理者用)
- Allow group ACP_Network_Admin to manage virtual-network-family in tenancy
- Allow group ACP_Network_Admin to manage load-balancers in tenancy
- Allow group ACP_Network_Admin to read instances in tenancy
- Allow group ACP_Network_Admin to read audit-events in tenancy
Key Policies(サーバ管理者用)
- Allow group ACP_Server_Admin to manage instance-family in tenancy
- Allow group ACP_Server_Admin to manage volume-family in tenancy
- Allow group ACP_Server_Admin to use virtual-network-family in tenancy
- Allow group ACP_Server_Admin to read instances in tenancy
- Allow group ACP_Server_Admin to read audit-events in tenancy
Key Policies(セキュリティ管理者用)
- Allow group ACP_Security_Admin to read instances in tenancy
- Allow group ACP_Security_Admin to read audit-events in tenancy
Key Policies(データベース管理者用)
- Allow group ACP_DB_Admin to manage database-family in compartment Prod
- Allow group ACP_DB_Admin to manage database-family in compartment Dev
- Allow group ACP_DB_Admin to read instances in tenancy
Use Case 4
運用管理者(Operations Admin)として、OPSチームが顧客やユーザーグループの作成や管理を望んでいますが、無制限のアクセスのためにTenant Adminグループへのアクセスは避けたいと考えています。Key Policies
- Allow group ACP_OPS_Admin to use users in tenancy where target.group.name != 'Administrators'
- Allow group ACP_OPS_Admin to use groups in tenancy where target.group.name != 'Administrators'
IAM動詞は、次のようにより詳細なものからより粗いもの、またはより限定的なものからより限定的でないもの、といった順序に並びます。
今後も、マネージド・サービス・プロバイダ向けのOracle Cloud Infrastructure IAMポリシーを取り上げるブログとホワイト・ペーパーを追加していく予定です。
IAMの詳細情報はドキュメントをご覧ください。
Overview of IAM
https://docs.cloud.oracle.com/iaas/Content/Identity/Concepts/overview.htm?TocPath=Services|IAM|_____0
0 件のコメント:
コメントを投稿