テナンシの準備

Roving EdgeデバイスをOracle Cloud Infrastructureに接続する前に、テナンシ管理者はコンパートメントの設定、ポリシーの作成、仮想クラウド・ネットワークの構成を行う必要があります。この設定は、Roving EdgeデバイスをOracle Cloud Infrastructureに関連付けるために使用されます。

Roving Edgeデバイスがサイトに配信される前にテナンシを準備できます。

Oracle Cloud Infrastructure環境で作業することが初めての場合は、テナンシを設定するためのベスト・プラクティスの学習を確認することを検討してください。

次のアクティビティを完了してテナンシを準備します:

ノート

この項で実行するタスクは、OCIとRoving Edgeデバイスの関連付けを確立するために必要です。

フェデレーテッド・アイデンティティ・プロバイダの確立

Roving Edgeデバイスをインストールする前に、フェデレーテッド・アイデンティティ・プロバイダを使用して認証を管理するようにテナンシを設定する必要があります。

テナンシが、OracleのIdentity Cloud Serviceを含むフェデレーテッド・アイデンティティ・プロバイダを使用するようにすでに構成されている場合は、すべて設定されます。フェデレーテッド・アイデンティティ情報をOracle担当者と共有します。それ以外の場合は、Oracle担当者と協力してフェデレーテッド・アイデンティティ・プロバイダを確立します。

外部アイデンティティ・プロバイダまたはOracle Identity Cloud Serviceを使用できます。使用できるアイデンティティ・プロバイダのタイプは、所有しているテナンシのタイプ(IAMアイデンティティ・ドメインのあるテナンシ、またはIAMアイデンティティ・ドメインのないテナンシ)によって異なります。

詳細は、次のリソースを参照してください。

テナンシ・タイプの決定
アイデンティティ・ドメインのあるテナンシ – アイデンティティ・プロバイダによるフェデレーション
アイデンティティ・ドメインのないテナンシ – アイデンティティ・プロバイダとのフェデレート

ノート

Oracle Cloud Infrastructureでアイデンティティ・プロバイダ構成を変更する場合は、同じ変更をRoving Edgeデバイスに適用する必要があります。この場合は、Oracle Supportリクエストを開いてヘルプをリクエストします。サポート・リクエストの作成を参照してください。

IAMフェデレーションの保護の詳細は、IAMフェデレーションを参照してください。

ユーザーとグループの作成

Oracle Cloud Infrastructure (OCI)テナンシを準備するには、ユーザーを識別し、Roving Edgeデバイスを管理する組織内のユーザーのグループを作成します。

このタスクは、Roving Edgeデバイスがインストールされる前に実行します。

ユーザーおよびグループの追加方法の詳細は、Oracle Cloud Infrastructure ConsoleでのOracle Identity Cloud Serviceユーザーおよびグループの管理を参照してください。

テナンシ管理者を識別します。
次の管理タスクを実行できるユーザーを含むグループを少なくとも1つ作成します。
- Roving Edge Infrastructureを作成、更新および削除します。
- Roving Edgeアップグレード・スケジュールを作成、更新および削除します。
- テナンシへのインフラストラクチャのセキュアな接続を確立する証明書ベースの登録プロセスを実行します。この管理タスクに特定のグループを作成し、このタスクの実行に制限された権限のみを付与することをお薦めします。

グループは、後で定義するポリシーに含まれます。必要なポリシーの追加を参照してください。

コンパートメントの作成または識別

Roving EdgeデバイスがOracle Cloud Infrastructureに関連付けられている場合は、1つ以上のコンパートメントが必要です。

コンパートメントは、関連するリソースの集合です。コンパートメントは、クラウド・リソースを編成および分離するためのOracle Cloud Infrastructureの基本コンポーネントです。これを使用して、アクセスを制御(ポリシーを使用)し、分離(あるプロジェクトまたはビジネス・単位のリソースを別のプロジェクトまたはビジネス・ユニットから区別)する目的でリソースを分離します。

Roving Edgeデバイスの場合、次のアイテムには少なくとも1つのコンパートメントが必要です:

Roving EdgeデバイスとOracle Cloud Infrastructureとの関連付け。
最終的にOracle Cloud Infrastructureへのアソシエーション用に作成するVCN。

Roving Edgeデバイスは、テナンシ(ルート・コンパートメント)、既存のコンパートメントまたは新しいコンパートメントに関連付けることができます。複数のコンパートメントを使用できます。たとえば、インフラストラクチャ接続に1つのコンパートメントを使用し、VCNに別のコンパートメントを使用できます。

コンパートメントを使用してリソースへのアクセスを制御する方法に基づいて、既存のコンパートメントを作成または選択します。

新しいコンパートメントを作成する場合は、OCIにサインインし、Oracle Cloudコンソール、OCI CLIまたはOCI APIを使用してテナンシにコンパートメントを作成します。

コンパートメントの概要およびコンパートメントの管理手順は、コンパートメントの管理を参照してください。

必要なポリシーの追加

Roving Edgeがテナンシに関連付けられる前に、特定のIAMポリシーを構成する必要があります。

テナンシで次のポリシーを構成します。

ポリシーの操作方法の詳細は、ポリシーの管理を参照してください。

テナンシがアイデンティティ・ドメインをサポートしている場合は、動的グループを指定するポリシーを作成できます。テナンシにアイデンティティ・ドメインがあるかどうかを判断するには、テナンシ・タイプの決定を参照してください。

ノート

リソースへの同じレベルのアクセスを実現するために、異なるポリシー・ステートメントを作成できます。次のポリシーのリストに例を示します。ポリシーが特定のリソースの正しいユーザーまたはグループへのアクセスを許可しているかぎり、この例を使用することも、ポリシー・バリエーションを作成することもできます。
ポリシー1– Roving Edgeおよびアップグレード・スケジュールを作成、読取り、更新および削除できます。

重要

インフラストラクチャおよびアップグレード・スケジュールを管理する権限を必要とするユーザーのみを含むIAMグループを指定します。これらのリソースの管理は、Roving Edgeデバイスの機能にとって重要であり、権限のないユーザーには許可されません。

アイデンティティ・ドメインの有無にかかわらず、IAMのポリシーの例:
```
allow group <group_name> to manage ccc-family in tenancy
```
ポリシー2– Roving Edgeデバイスは、Roving Edgeリソースのアイデンティティおよびアクセス管理にIAMデータを使用できます。

アイデンティティ・ドメインの有無にかかわらず、IAMのポリシーの例:
```
allow any-user to {COMPARTMENT_INSPECT, USER_INSPECT, GROUP_INSPECT, DYNAMIC_GROUP_INSPECT, POLICY_READ, TAG_NAMESPACE_INSPECT, USER_READ, TAG_DEFAULT_INSPECT, TAG_NAMESPACE_READ, DOMAIN_READ, DOMAIN_INSPECT } in tenancy where all { request.principal.id='<ccc-infrastructure_OCID>', request.principal.type='cccinfrastructure' }
```
アイデンティティ・ドメインのあるIAMのポリシーの例:
```
allow dynamic-group <dynamic-group> to {COMPARTMENT_INSPECT, USER_INSPECT, GROUP_INSPECT, DYNAMIC_GROUP_INSPECT, POLICY_READ, TAG_NAMESPACE_INSPECT, USER_READ, TAG_DEFAULT_INSPECT, TAG_NAMESPACE_READ, DOMAIN_READ, DOMAIN_INSPECT} in tenancy
```
ポリシー3– Roving Edgeサービスによるアップグレードに関する通知の送信を許可します。

次の例は、アイデンティティ・ドメインありまたはなしのIAMのポリシーを示しています:
```
allow any-user to manage ons-topics in tenancy where request.principal.type ='cccinfrastructurenotifier'
```
次の例に示すように、ポリシーを変更してルート・コンパートメントへのアクセスを制限できます:
```
allow any-user to manage ons-topics in tenancy where all {request.principal.type='cccinfrastructurenotifier', target.compartment.name = 'root_compartment' }
```
コンパートメントへのアクセスを制限する場合は、ルート・コンパートメント(テナンシ)にアクセスする必要があります。
ポリシー4– 指定したグループのユーザーが、インフラストラクチャがOCIテナンシと通信できるようにする登録プロセスを開始できるようにします。

ノート

通常の管理グループを指定しないでください。かわりに、登録プロセスを実行する唯一の目的を持つユーザーを含むグループを作成します。

詳細は、Roving Edge DeviceとOCIテナンシの関連付けを参照してください。

次のポリシーの例は、アイデンティティ・ドメインありまたはなしのIAM用です。
この例では、テナンシ・レベルでポリシーを設定します:
```
allow group <group_name> to { CCC_CERTIFICATE_REGISTER } in tenancy
```
この例では、コンパートメント・レベルでポリシーを設定します。コンパートメントは、インフラストラクチャに関連付けられているコンパートメントである必要があります:
```
allow group <group_name> to { CCC_CERTIFICATE_REGISTER } in compartment '<compartment_name>'
```

VCNおよびサブネットの作成

Roving Edgeデバイスがテナンシに接続する前に、テナンシにサブネットを含むVCNを作成します。

インフラストラクチャでは、テナンシに次のネットワーク・リソースが必要です:

1つのVirtual Cloud Network (VCN)。VCNの作成を参照してください。小さいCIDRブロック(192.168.100.0/29など)をお薦めします。
インフラストラクチャごとに、VCNにサブネットを1つ作成します。サブネットの作成を参照してください。たとえば、192.168.100.0/30です。

次の作業

OCIホーム・テナンシにインフラストラクチャを作成します。OCIでのRoving Edge Infrastructureの作成を参照してください。