Documentação do Oracle Cloud Infrastructure

Configurando Sua Tenancy

Depois que a Oracle criar sua tenancy no Oracle Cloud Infrastructure, um administrador da sua empresa precisará executar algumas tarefas de configuração e estabelecer um plano de organização para seus recursos e usuários da nuvem. Use as informações deste tópico para ajudá-lo a começar.

Dica

Para ativar rapidamente alguns usuários enquanto você ainda está na fase de planejamento, consulte Adicionando Usuários.

Criar um Plano

Antes de adicionar usuários e recursos, você deve criar um plano para sua tenancy. O fundamento de criar seu plano é entender os componentes do Oracle Cloud Infrastructure Identity and Access Management (IAM). Certifique-se de ler e entender os recursos do IAM. Consulte Visão Geral do Oracle Cloud Infrastructure Identity and Access Management.

Seu plano deve incluir a hierarquia de compartimentos para organizar seus recursos e as definições dos grupos de usuários que precisarão acessar os recursos. Essas duas coisas impactarão a forma como você grava políticas para gerenciar o acesso e, portanto, devem ser consideradas em conjunto.

Use os tópicos introdutórios a seguir para ajudar você a começar a trabalhar com seu plano:

Noções Básicas sobre Compartimentos

Compartimentos são os principais blocos de construção que você usa para organizar seus recursos de nuvem. Use compartimentos para organizar e isolar seus recursos e facilitar o gerenciamento e a segurança de acesso a eles.

Quando sua tenancy é provisionada, um compartimento raiz é criado para você. Seu compartimento raiz mantém todos os seus recursos de nuvem. Você pode pensar no compartimento-raiz como uma pasta-raiz em um sistema de arquivos.

Na primeira vez que você acessar a Console e selecionar um serviço, você verá seu compartimento raiz.

Console mostrando o compartimento-raiz

Você pode criar compartimentos sob seu compartimento-raiz para organizar seus recursos na nuvem de forma que se alinhem às metas de gerenciamento de recursos. À medida que cria compartimentos, você controla o acesso a eles criando políticas que especificam quais grupos de ações os usuários podem assumir nos recursos desses compartimentos.

Tenha em mente o seguinte quando começar a trabalhar com compartimentos:

  • No momento em que você cria um recurso (por exemplo, instância, volume de armazenamento em blocos, VCN, sub-rede), deve decidir em qual compartimento deve colocá-lo.
  • Os compartimentos são lógicos, não físicos, de modo que os componentes de recursos relacionados podem ser colocados em compartimentos diferentes. Por exemplo, suas sub-redes de rede em nuvem com acesso a um gateway de internet podem ser protegidas em um compartimento separado de outras sub-redes da mesma rede em nuvem.
  • Você pode criar uma hierarquia de compartimentos até seis compartimentos de profundidade na tenancy (compartimento-raiz).
  • Ao escrever uma regra de política para conceder a um grupo de usuários acesso a um recurso, você sempre especifica o compartimento ao qual aplicar a regra de acesso. Portanto, se você optar por distribuir recursos entre compartimentos, lembre-se de que precisará fornecer as permissões apropriadas para cada compartimento para os usuários que precisarão acessar esses recursos.
  • Na Console, os compartimentos se comportam como um filtro para exibição de recursos. Quando você seleciona um compartimento, só vê recursos que estão no compartimento selecionado. Para exibir recursos em outro compartimento, primeiro você deve selecionar esse compartimento. Você pode usar a funcionalidade Search para obter uma lista de recursos em vários compartimentos. See Visão Geral do Search.
  • Você pode usar o explorador de compartimentos para obter uma visão completa de todos os recursos (entre regiões) que residem em um compartimento específico. Consulte Exibindo Todos os Recursos em um Compartimento.
  • Se quiser excluir um compartimento, exclua primeiro todos os recursos do compartimento.
  • Por fim, ao planejar compartimentos, você deverá considerar como deseja que os dados de uso e auditoria sejam agregados.

Considerar Quem Deve Ter Acesso a Quais Recursos

Outra consideração principal ao planejar a configuração de sua tenancy é quem deve ter acesso a quais recursos. A definição de como diferentes grupos de usuários precisarão acessar os recursos vai ajudá-lo a planejar a forma de organizar seus recursos de modo mais eficiente, facilitando a gravação e a manutenção das políticas de acesso.

Por exemplo, você pode ter usuários que precisam:

  • Exibir a Console, mas não podem editar ou criar recursos
  • Criar e atualizar recursos específicos em vários compartimentos (por exemplo, administradores de rede que precisam gerenciar suas redes e sub-redes na nuvem)
  • Iniciar e gerenciar instâncias e volumes em blocos, mas não têm acesso à sua rede na nuvem
  • Ter permissões completas em todos os recursos, mas somente em um compartimento específico
  • Gerenciar permissões e credenciais de outros usuários

Para ver algumas amostras de políticas, consulte Políticas Comuns.

Exemplos de Abordagens para Configurar Compartimentos

Coloque todos os seus recursos na tenancy (compartimento raiz)

Se sua organização for pequena ou se você ainda estiver no estágio de prova de conceito da avaliação do Oracle Cloud Infrastructure, talvez você considere colocar todos os seus recursos no compartimento raiz (tenancy). Essa abordagem facilita a exibição e o gerenciamento de todos os seus recursos. Você ainda pode gravar políticas e criar grupos para restringir permissões em recursos específicos apenas aos usuários que precisam de acesso.

Tarefas de alto nível para configurar a abordagem de compartimento único:

  1. (Melhor prática) Crie um compartimento de sandbox. Mesmo que seu plano seja manter seus recursos no compartimento-raiz, a Oracle recomenda configurar um compartimento de sandbox para que você possa dar aos usuários um espaço dedicado para experimentar recursos. No compartimento de sandbox, você pode conceder permissões aos usuários para criar e gerenciar recursos, mantendo permissões mais restritas nos recursos do compartimento da tenancy (raiz). Consulte Criar um Compartimento de Sandbox.
  2. Crie grupos e políticas. Consulte Políticas Comuns.
  3. Adicione usuários. Consulte Gerenciamento de Usuários.

Criar compartimentos para alinhá-los aos projetos da empresa

Considere essa abordagem se a sua empresa tiver vários departamentos que você deseja gerenciar separadamente ou se sua empresa tiver vários projetos distintos que seriam mais fáceis de gerenciar separadamente.

Nessa abordagem, você pode adicionar um grupo de administradores dedicados para cada compartimento (projeto) que pode definir as políticas de acesso apenas para esse projeto. (Usuários e grupos ainda devem ser adicionados no nível da tenancy.) Você pode dar a um grupo o controle sobre todos os recursos, embora não permita que eles tenham direitos de administrador ao compartimento raiz ou a quaisquer outros projetos. Dessa forma, você pode permitir que diferentes grupos em sua empresa configurem suas próprias "subnuvens" para seus próprios recursos e os administrem de forma independente.

Tarefas de alto nível para configurar a abordagem de vários projetos:

  1. Criar um compartimento de sandbox. A Oracle recomenda configurar um compartimento de sandbox para que você possa dar aos usuários um espaço dedicado para experimentar recursos. No compartimento de sandbox, você pode conceder permissões aos usuários para criar e gerenciar recursos, mantendo permissões mais restritas nos recursos do compartimento da tenancy (raiz).
  2. Criar um compartimento para cada projeto, por exemplo, ProjectA, ProjectB.
  3. Criar um grupo de administradores para cada projeto, por exemplo, ProjectA_Admins.
  4. Criar uma política para cada grupo de administradores.

    Exemplo:
  5. Adicione usuários. Consulte Gerenciamento de Usuários.
  6. Permitir que os administradores do ProjectA e do ProjectB criem subcompartimentos dentro do compartimento designado para gerenciar recursos.
  7. Permitir que os administradores do ProjectA e do ProjectB criem as políticas para gerenciar o acesso aos seus compartimentos.