当您的云服务商如Oracle为您创建了云租户后,公司的管理员需要执行一些设置任务并为您的云资源和用户制定组织计划。利用本文内容,帮助您快速入门。
制定计划
在添加用户和资源之前,您应该为您的租户制定一个计划。制定计划的基础是理解Oracle云基础设施身份和访问管理(IAM)的组成部分。确保您阅读并理解IAM的功能。请参阅身份和访问管理概述。
您的计划应包括用于组织资源的隔离层级结构,以及需要访问这些资源的用户组定义。这两点将影响您编写管理访问的策略,因此应同时考虑。
使用以下入门主题帮助您开始制定计划:
理解隔离层级
考虑谁应该访问哪些资源
理解隔离层级
隔离层级是您用来组织云资源的主要构建块。您可以使用隔离层级来组织和隔离资源,从而更轻松地管理和保护对它们的访问。
当您的租户被配置时,会为您创建一个根隔离层级(您的租户就是您的根隔离层级)。您的根隔离层级包含所有云资源。您可以将根隔离层级视为文件系统中的根文件夹。
您第 一次登录控制台并选择服务时,将看到您的一个根隔离层级。
在您的根隔离层级下,您可以创建子隔离层级来组织云资源,使之符合您的资源管理目标。创建隔离层级时,您可以通过制定策略来控制对它们的访问,这些策略规定了用户组可以对这些隔离层级中的资源采取什么行动。
开始使用隔离层级时,请记住以下几点:
当您创建资源(例如,实例、块存储卷、虚拟云网络、子网)时,您必须决定将其放在哪个隔离层级中。
隔离层级是逻辑上的,而非物理上的,所以相关的资源组件可以放置在不同的隔离层级。例如,您的云网络子网如果可以访问互联网网关,可以在与同一云网络中的其他子网不同的隔离层级中进行安全管理。
您可以在租户(根隔离层级)下创建最多六层深度的隔离层级。
当您编写策略规则以授予用户组对资源的访问时,您总是需要指定应用访问规则的隔离层级。因此,如果您选择在多个隔离层级中分布资源,请记住您需要为需要访问这些资源的用户提供每个隔离层级的适当权限。
在控制台中,隔离层级的行为类似于过滤器,用于查看资源。当您选择一个隔离层级时,您只能看到该隔离层级中的资源。要查看另一个隔离层级中的资源,您必须先选择该隔离层级。您可以使用搜索功能获取跨多个隔离层级的资源列表。请参阅搜索概述。
您可以使用租户资源管理器查看特定隔离层级中的所有资源(跨区域)。请参阅查看隔离层级中的所有资源。
如果您想删除一个隔离层级,您必须先删除该隔离层级中的所有资源。
最后,在规划隔离层级时,您应该考虑如何希望汇总使用情况和审计数据。
考虑谁应该访问哪些资源
在规划您的租户设置时的另一个主要考虑因素是谁应该访问哪些资源。定义不同用户组需要如何访问资源将帮助您更有效地规划组织资源,从而更容易编写和维护您的访问策略。
例如,您可能会有需要:
查看控制台,但不被允许编辑或创建资源的用户
在几个隔离层级中创建和更新特定资源的用户(例如,需要管理您的云网络和子网的网络管理员)
启动和管理实例及块卷,但不能访问您的云网络的用户
在特定隔离层级中对所有资源拥有完全权限的用户
管理其他用户的权限和凭据的用户要查看一些示例策略,请参阅常见策略。
示例方法设置隔离层级
将所有资源放在租户(根隔离层级)中
如果您的组织规模较小,或者您仍处于评估Oracle云基础设施的概念验证阶段,您可能会考虑将所有资源放在根隔离层级(租户)中。这种方法使您能够快速查看和管理所有资源。您仍然可以编写策略并创建群组,以限制特定资源的权限,仅供需要访问的用户使用。
设置单一隔离层级方法的高 级任务:
(最 佳实践)创建一个沙盒隔离层级。即使您计划将资源保留在根隔离层级中,Oracle建议设置一个沙盒隔离层级,以便您可以为用户提供专门的空间来尝试功能。在沙盒隔离层级中,您可以授予用户创建和管理资源的权限,同时在您的租户(根)隔离层级中保持更严格的权限。请参阅创建沙盒隔离层级。
创建群组和策略。请参阅常见策略。
添加用户。请参阅管理用户。
创建隔离层级以符合公司项目
如果您的公司有多个部门,您希望分别管理,或者公司有几个不同的项目,单独管理会更容易,可以考虑这种方法。
在这种方法中,您可以为每个隔离层级(项目)添加一个专门的管理员群组,他们可以为该项目设置访问策略。(用户和群组仍然必须在租户级别添加。)您可以授予一个群组对其所有资源的控制权,同时不允许他们对根隔离层级或任何其他项目拥有管理员权限。这样,您可以使公司的不同群组为他们自己的资源建立自己的“子云”,并独立管理它们。
设置多个项目方法的高 级任务:
创建一个沙盒隔离层级。Oracle建议设置一个沙盒隔离层级,这样您可以为用户提供专门的空间来尝试功能。在沙盒隔离层级中,您可以授予用户创建和管理资源的权限,同时在您的租户(根)隔离层级中保持更严格的权限。
为每个项目创建一个隔离层级,例如,ProjectA、ProjectB。
为每个项目创建一个管理员群组,例如,ProjectA_Admins。
为每个管理员群组创建一个策略。
添加用户。请参阅管理用户。
让ProjectA和ProjectB的管理员在他们指定的隔离层级内创建子隔离层级来管理资源。
让ProjectA和ProjectB的管理员创建管理其隔离层级访问的策略。
创建隔离层级以符合您的安全要求
如果您的公司有需要不同安全级别的项目或应用程序,请考虑这种方法。
安全区域与隔离层级和安全区域配方关联。在安全区域中创建和更新资源时,Oracle云基础设施会根据安全区域配方中的策略验证这些操作。如果触碰到了任何安全区域策略的雷区,则操作将被拒绝。默认情况下,任何子隔离层级也在同一安全区域中。
安全区域策略符合Oracle安全原则,包括:
安全区域中的数据不能复制到区域外的隔离层级中,因为可能安全性较低。
安全区域中的资源不得从公共互联网访问。
安全区域中的资源必须仅使用Oracle批准的配置和模板。
在这种方法中,您为必须遵守我们的最 大安全架构和最 佳实践的项目创建隔离层级和安全区域。对于不需要这种安全合规性级别的项目,您创建不在安全区域中的隔离层级。您还可以为您的安全区域创建自定义配方,仅启用可用策略的子集。
与前一种方法类似,您可以为每个隔离层级添加一个专门的管理员群组,然后为该单一项目设置访问策略。
访问(IAM)策略授予用户在隔离层级中管理某些资源的能力。
安全区域策略确保在安全区域隔离层级中的管理操作符合Oracle安全最 佳实践。
与Agilewing携手开启Oracle之旅
作为 Oracle 的高 级合作伙伴,Agilewing推出的AgileCDN融合CDN服务,美好结合OCI云基础服务,为业务国际化、跨境电商和游戏出海量身打造,提供性价比极 高的全球内容加速解决方案。作为一个创新的融合CDN平台,AgileCDN 在全球部署了超过2800个POP节点,并拥有200TB的强大网络容和7000多个直连点,确保网络连接的极 致效率和稳定性。 借助先进的智能调度技术,AgileCDN优化了数据传输路径,大幅提升服务的速度和可靠性,结合简洁而有效的部署流程和OCI云服务的强大支持,迅速实现业务部署和构建,为企业的云迁移和国际业务拓展提供了一个经济有效的理想解决方案。
Agilewing作为Oracle云服务的合作伙伴,已帮助众多组织成功运用Oracle自主数据库。我们将与您的商业和技术团队紧密合作,利用我们的Oracle云专业知识,帮助您实现企业敏捷性、竞争力和性能的提升,同时从Oracle自主数据库中获得最 大价值。今天就开始您的Oracle之旅吧…
(推广)