はじめに
こんにちはSREエンジニアのMakiです。
この記事ではOCI(Oracle Cloud Infrastructure)について紹介します。
先日Oracle Cloud Infrastructure のハンズオンに参加してきました。自分の理解を整理するためにも学んだことを記事にしていきたいと思います。
OCIを始めようと思っている方の参考になれば幸いです。
OCI のアカウント管理
キーワード
- テナンシ = 会社
- コンパートメント = 部署、部門
- グループ = 組織の役割
- ユーザー = OCI の利用者
- ポリシー = 権限設定
OCIのアカウント管理は上記に基づいて行います。
ではそれぞれについて説明をしていきたいと思います。
テナンシとコンパートメント
OCIのアカウントの考え方を理解するうえでテナンシ、コンパートメントという二つのワードを抑えておく必要があります。
イメージでいうと
- テナンシ = 会社
- コンパートメント = 部署、部門
となります。
テナンシ
はOCIのアカウントのことで、組織全体で一つ持ちます。
コンパートメント
はテナンシの中を部署、部門といった役割事に分割するものです。
組織には様々な役割や部門が存在しています。
OCIではこうした役割や部門に対してOCIのアカウント付与するのではなく、コンパートメント
という階層型の管理を取り入れることによって、権限の管理や、組織ごとにやれることを制限することができます。
以下のようなイメージです。
テナンシ(会社)
├ コンパートメント (製品開発部)
│ ├ コンパートメント (○○課)
│ └ コンパートメント (▲▲課)
├ コンパートメント (研究開発部)
│ └ コンパートメント (▲▲課)
└ コンパートメント (管理部)
また、コンパートメント
ごとに予算の管理を行うことも可能です。
AWSでは組織をまたがる場合のような設定はもともとはなかった?のでこういった運用をやろうとするとAWS Organizations
のような機能を使って実現することになると思います。OCIではデフォルトで組織の役割ベースでの管理が行えるようになっている点が優れていると感じました。
グループとユーザー
グループ
次にグループ
について説明します。組織には様々な役割を持った人がいますよね。マネージャーやメンバーといった役割を持った人がいると思います。OCIではこういった役割ベースでの権限管理にグループを使います。
例えばこういった権限設定を行います。
- Member : OCI を使っての環境構築
- Manager : Member 権限 + ユーザー管理
このように役割ベースで権限の設定を行うこができます。
ユーザー
ユーザー
はOCIを利用する各々の人のことを指します。
ユーザーは必ず何らかのグループに所属します。
ポリシー
ポリシー
とはコンパートメントとグループに設定する権限設定のことです。作成したコンパートメントとグループに対してどのような操作を許可するのかを設定します。
例えば、コンパートメント (製品開発部) のリソースをほかの部署の人が操作できないようにするといったことをポリシーの設定を通じて行います。
部署、部門といった組織による管理がコンパートメント
Manager,Menberといった役割による管理がグループ
コンパートメント、グループを横断して権限設定をするのがポリシーです。
コンパートメントA | コンパートメントB | |
---|---|---|
グループA | ポリシー a | ポリシー c |
グループB | ポリシー b | ポリシー d |
このように、OCIではコンパートメント、グループ、ポリシーをそれぞれ設定することによって組織、および役割での権限管理を行う点が特徴です。
まとめ
いかがでしたでしょうか。改めて内容をまとめますと次のようになります。
- テナンシ = 会社
- コンパートメント = 部署、部門
- グループ = 組織の役割
- ユーザー = OCI の利用者
- ポリシー = 権限設定
OCIを使っていくうえで必要な考え方になります。
特にコンパートメント、ポリシーは特徴的な考え方だと思うので参考にしていただければと思います。
参考
関連書籍
Oracle Cloud Infrastructure徹底入門 Oracle Cloudの基本からインフラ設計・構築まで
コメント