[Cloud] Foundational Oracle Cloud Infrastructure IAM Policies for Managed Service Providers

原文はこちら。
https://blogs.oracle.com/cloud-infrastructure/foundational-oracle-cloud-infrastructure-iam-policies-for-managed-service-providers

このエントリでは、Oracle Cloud Infrastructureのパートナおよびマネージド・サービス・プロバイダ(MSP)が、エンド・ユーザーに代わってOracle Cloud Infrastructureサービスを管理するための基盤として利用可能なアイデンティティ・アクセス管理(IAM)ポリシーについて説明します。
Identity and Access Management
https://cloud.oracle.com/en_US/governance/identity/features
特にこのエントリでは、MSPがエンド・ユーザーのテナント全体を管理し、それぞれのコンパートメントの管理のセルフサービス化のためにさまざまなエンド・ユーザー管理者グループの資格をプロビジョニングするために活用できる、初期IAMポリシーのユースケースに焦点を当てています。

Oracle Cloud InfrastructureのIAMのベスト・プラクティスについては、以下のブログエントリと、筆者のChangbin Gongが作成したホワイト・ペーパーをご覧ください。
Best Practices for Identity and Access Management Service on Oracle Cloud Infrastructure
https://blogs.oracle.com/cloud-infrastructure/best-practices-for-identity-and-access-management-service-on-oracle-cloud-infrastructure
Best Practices for Identity and Access Management (IAM) in Oracle Cloud Infrastructure
https://cloud.oracle.com/opc/iaas/whitepapers/best-practices-for-iam-on-oci.pdf

Use Case Overview

このエントリでは以下のようなIAMのユースケースを紹介します。
  1. テナント管理者として、MSPはテナント(customer enterprise)の全てのOracle Cloud Infrastructureのアセットを管理して、MSPは(顧客の要求に沿って)コンパートメントを作成し、顧客の管理者グループから上がってくる問題のトラブルシューティングできるようにしたい。
  2. テナント管理者として、MSPは非ルート・コンパートメントの管理を対応する顧客の管理者に委譲し、顧客の管理者がそれぞれのコンパートメントのリソースに対する資格を持つようにしたい。
  3. テナント管理者として、MSPはテナント用にロール固有の資格を作成し、MSP管理者グループの責務分担を明確にしたい。具体的には、特定のロール、例えばサーバ管理者にコンピューティングに関するサービスの資格を持たせたり、ネットワーク管理者に顧客のテナントのコンパートメント間のネットワークリソースに関する資格を持たせる。
  4. 運用管理者(Operations Admin)として、OPSチームが顧客やユーザーグループの作成や管理を望んでいるが、無制限のアクセスのためにTenant Adminグループへのアクセスは避けたい。

Requirements

  • MSPは、顧客の要求に応じてテナントとコンパートメントを作成する。この例では以下の通り。
    • MSP
      • ACME_Cloud_provider(略してACP)
    • テナント
      • ACP_Tenant
    • コンパートメント
      • Root
      • ACP_Client_Prod
      • ACP_Client_Dev
  • MSP管理者グループ
    • ACP_OPS_Admin
    • ACP_Server_Admin
    • ACP_Network_Admin
  • 顧客管理者グループ
    • ACP_Prod_Admin
    • ACP_Dev_Admin
    • (必要であれば)ACP_Customer_Admin:ユーザープロビジョニングのための顧客管理者グループ
  • ポリシー
    • ACP_Tenant_Policy
    • ACP_Prod_Policy
    • ACP_Dev_Policy
    • ACP_Customer_Policy.

Steps

各ユースケースについて、必要なグループを作成し、ユーザをグループに追加し、以下の手順でOracle Cloud Infrastructureコンソールでポリシーを作成します。詳細手順のリンクは以下の通りです。
  1. グループの作成
    1. To create a group
      https://docs.cloud.oracle.com/iaas/Content/Identity/Tasks/managinggroups.htm#three
  2. グループへのユーザ追加
  3. ポリシーの追加

Use Case 1

テナント管理者として、MSPはテナント(customer enterprise)の全てのOracle Cloud Infrastructureのアセットを管理して、MSPは(顧客の要求に沿って)コンパートメントを作成し、顧客の管理者グループから上がってくる問題のトラブルシューティングできるようにしたいと思っています。

Key Policy:

  • ALLOW GROUP ACP_OPS_Admin to manage all-resources IN TENANCY

注意 
このポリシーはMSP Operationsチーム用です。管理者グループと同じアクセスが必要になることがあります。

Use Case 2

テナント管理者として、MSPは非ルートコンパートメントの管理を対応する顧客の管理者に委譲して、顧客の管理者がそれぞれのコンパートメントのリソースに関する資格を有するようにしたいと思っています。このユースケース例では、MSPは顧客の本番、開発コンパートメント用のポリシーを作成します。

Key Policy(本番コンパートメント用)
  • Allow group ACP_Client_Prod to manage all-resources in compartment ACP_Client_Prod


Key Policy(開発コンパートメント用)
  • Allow group ACP_Client_Dev to manage all-resources in compartment ACP_Client_Dev


Use Case 3

テナント管理者として、MSPはテナントのロール固有の資格を作成することを望んでいます。そのため、例えばコンピューティング関連サービスの資格を持つサーバー管理者、顧客のテナント内のコンパートメント間のネットワークリソースに関する資格を持つネットワーク管理者、というように、MSP管理者グループは明確に責務を分離します。

Key Policies(ネットワーク管理者用)

  • Allow group ACP_Network_Admin to manage virtual-network-family in tenancy
  • Allow group ACP_Network_Admin to manage load-balancers in tenancy
  • Allow group ACP_Network_Admin to read instances in tenancy
  • Allow group ACP_Network_Admin to read audit-events in tenancy

Key Policies(サーバ管理者用)

  • Allow group ACP_Server_Admin to manage instance-family in tenancy
  • Allow group ACP_Server_Admin to manage volume-family in tenancy
  • Allow group ACP_Server_Admin to use virtual-network-family in tenancy
  • Allow group ACP_Server_Admin to read instances in tenancy
  • Allow group ACP_Server_Admin to read audit-events in tenancy

Key Policies(セキュリティ管理者用)

  • Allow group ACP_Security_Admin to read instances in tenancy
  • Allow group ACP_Security_Admin to read audit-events in tenancy

Key Policies(データベース管理者用)

  • Allow group ACP_DB_Admin to manage database-family in compartment Prod
  • Allow group ACP_DB_Admin to manage database-family in compartment Dev
  • Allow group ACP_DB_Admin to read instances in tenancy

Use Case 4

運用管理者(Operations Admin)として、OPSチームが顧客やユーザーグループの作成や管理を望んでいますが、無制限のアクセスのためにTenant Adminグループへのアクセスは避けたいと考えています。

Key Policies

  • Allow group ACP_OPS_Admin to use users in tenancy where target.group.name != 'Administrators'
  • Allow group ACP_OPS_Admin to use groups in tenancy where target.group.name != 'Administrators'
注意
IAM動詞は、次のようにより詳細なものからより粗いもの、またはより限定的なものからより限定的でないもの、といった順序に並びます。

今後も、マネージド・サービス・プロバイダ向けのOracle Cloud Infrastructure IAMポリシーを取り上げるブログとホワイト・ペーパーを追加していく予定です。

IAMの詳細情報はドキュメントをご覧ください。
Overview of IAM
https://docs.cloud.oracle.com/iaas/Content/Identity/Concepts/overview.htm?TocPath=Services|IAM|_____0

0 件のコメント:

コメントを投稿