【OCI】甲骨文云:掌握云服務(wù)平臺的最佳實(shí)踐

  • 人閱讀
  • 2024-05-08 17:52:30

  • 來源:站長之家

  • 相關(guān)關(guān)鍵詞

當(dāng)您的云服務(wù)商如Oracle為您創(chuàng)建了云租戶后,公司的管理員需要執(zhí)行一些設(shè)置任務(wù)并為您的云資源和用戶制定組織計(jì)劃。利用本文內(nèi)容,幫助您快速入門。

制定計(jì)劃

在添加用戶和資源之前,您應(yīng)該為您的租戶制定一個計(jì)劃。制定計(jì)劃的基礎(chǔ)是理解Oracle云基礎(chǔ)設(shè)施身份和訪問管理(IAM)的組成部分。確保您閱讀并理解IAM的功能。請參閱身份和訪問管理概述。

您的計(jì)劃應(yīng)包括用于組織資源的隔離層級結(jié)構(gòu),以及需要訪問這些資源的用戶組定義。這兩點(diǎn)將影響您編寫管理訪問的策略,因此應(yīng)同時考慮。

使用以下入門主題幫助您開始制定計(jì)劃:

理解隔離層級

考慮誰應(yīng)該訪問哪些資源

理解隔離層級

隔離層級是您用來組織云資源的主要構(gòu)建塊。您可以使用隔離層級來組織和隔離資源,從而更輕松地管理和保護(hù)對它們的訪問。

當(dāng)您的租戶被配置時,會為您創(chuàng)建一個根隔離層級(您的租戶就是您的根隔離層級)。您的根隔離層級包含所有云資源。您可以將根隔離層級視為文件系統(tǒng)中的根文件夾。

您第一次登錄控制臺并選擇服務(wù)時,將看到您的一個根隔離層級。

在您的根隔離層級下,您可以創(chuàng)建子隔離層級來組織云資源,使之符合您的資源管理目標(biāo)。創(chuàng)建隔離層級時,您可以通過制定策略來控制對它們的訪問,這些策略規(guī)定了用戶組可以對這些隔離層級中的資源采取什么行動。

開始使用隔離層級時,請記住以下幾點(diǎn):

當(dāng)您創(chuàng)建資源(例如,實(shí)例、塊存儲卷、虛擬云網(wǎng)絡(luò)、子網(wǎng))時,您必須決定將其放在哪個隔離層級中。

隔離層級是邏輯上的,而非物理上的,所以相關(guān)的資源組件可以放置在不同的隔離層級。例如,您的云網(wǎng)絡(luò)子網(wǎng)如果可以訪問互聯(lián)網(wǎng)網(wǎng)關(guān),可以在與同一云網(wǎng)絡(luò)中的其他子網(wǎng)不同的隔離層級中進(jìn)行安全管理。

您可以在租戶(根隔離層級)下創(chuàng)建最多六層深度的隔離層級。

當(dāng)您編寫策略規(guī)則以授予用戶組對資源的訪問時,您總是需要指定應(yīng)用訪問規(guī)則的隔離層級。因此,如果您選擇在多個隔離層級中分布資源,請記住您需要為需要訪問這些資源的用戶提供每個隔離層級的適當(dāng)權(quán)限。

在控制臺中,隔離層級的行為類似于過濾器,用于查看資源。當(dāng)您選擇一個隔離層級時,您只能看到該隔離層級中的資源。要查看另一個隔離層級中的資源,您必須先選擇該隔離層級。您可以使用搜索功能獲取跨多個隔離層級的資源列表。請參閱搜索概述。

您可以使用租戶資源管理器查看特定隔離層級中的所有資源(跨區(qū)域)。請參閱查看隔離層級中的所有資源。

如果您想刪除一個隔離層級,您必須先刪除該隔離層級中的所有資源。

最后,在規(guī)劃隔離層級時,您應(yīng)該考慮如何希望匯總使用情況和審計(jì)數(shù)據(jù)。

考慮誰應(yīng)該訪問哪些資源

在規(guī)劃您的租戶設(shè)置時的另一個主要考慮因素是誰應(yīng)該訪問哪些資源。定義不同用戶組需要如何訪問資源將幫助您更有效地規(guī)劃組織資源,從而更容易編寫和維護(hù)您的訪問策略。

例如,您可能會有需要:

查看控制臺,但不被允許編輯或創(chuàng)建資源的用戶

在幾個隔離層級中創(chuàng)建和更新特定資源的用戶(例如,需要管理您的云網(wǎng)絡(luò)和子網(wǎng)的網(wǎng)絡(luò)管理員)

啟動和管理實(shí)例及塊卷,但不能訪問您的云網(wǎng)絡(luò)的用戶

在特定隔離層級中對所有資源擁有完全權(quán)限的用戶

管理其他用戶的權(quán)限和憑據(jù)的用戶要查看一些示例策略,請參閱常見策略。

示例方法設(shè)置隔離層級

將所有資源放在租戶(根隔離層級)中

如果您的組織規(guī)模較小,或者您仍處于評估Oracle云基礎(chǔ)設(shè)施的概念驗(yàn)證階段,您可能會考慮將所有資源放在根隔離層級(租戶)中。這種方法使您能夠快速查看和管理所有資源。您仍然可以編寫策略并創(chuàng)建群組,以限制特定資源的權(quán)限,僅供需要訪問的用戶使用。

設(shè)置單一隔離層級方法的高級任務(wù):

(最佳實(shí)踐)創(chuàng)建一個沙盒隔離層級。即使您計(jì)劃將資源保留在根隔離層級中,Oracle建議設(shè)置一個沙盒隔離層級,以便您可以為用戶提供專門的空間來嘗試功能。在沙盒隔離層級中,您可以授予用戶創(chuàng)建和管理資源的權(quán)限,同時在您的租戶(根)隔離層級中保持更嚴(yán)格的權(quán)限。請參閱創(chuàng)建沙盒隔離層級。

創(chuàng)建群組和策略。請參閱常見策略。

添加用戶。請參閱管理用戶。

創(chuàng)建隔離層級以符合公司項(xiàng)目

如果您的公司有多個部門,您希望分別管理,或者公司有幾個不同的項(xiàng)目,單獨(dú)管理會更容易,可以考慮這種方法。

在這種方法中,您可以為每個隔離層級(項(xiàng)目)添加一個專門的管理員群組,他們可以為該項(xiàng)目設(shè)置訪問策略。(用戶和群組仍然必須在租戶級別添加。)您可以授予一個群組對其所有資源的控制權(quán),同時不允許他們對根隔離層級或任何其他項(xiàng)目擁有管理員權(quán)限。這樣,您可以使公司的不同群組為他們自己的資源建立自己的“子云”,并獨(dú)立管理它們。

設(shè)置多個項(xiàng)目方法的高級任務(wù):

創(chuàng)建一個沙盒隔離層級。Oracle建議設(shè)置一個沙盒隔離層級,這樣您可以為用戶提供專門的空間來嘗試功能。在沙盒隔離層級中,您可以授予用戶創(chuàng)建和管理資源的權(quán)限,同時在您的租戶(根)隔離層級中保持更嚴(yán)格的權(quán)限。

為每個項(xiàng)目創(chuàng)建一個隔離層級,例如,ProjectA、ProjectB。

為每個項(xiàng)目創(chuàng)建一個管理員群組,例如,ProjectA_Admins。

為每個管理員群組創(chuàng)建一個策略。

添加用戶。請參閱管理用戶。

讓ProjectA和ProjectB的管理員在他們指定的隔離層級內(nèi)創(chuàng)建子隔離層級來管理資源。

讓ProjectA和ProjectB的管理員創(chuàng)建管理其隔離層級訪問的策略。

創(chuàng)建隔離層級以符合您的安全要求

如果您的公司有需要不同安全級別的項(xiàng)目或應(yīng)用程序,請考慮這種方法。

安全區(qū)域與隔離層級和安全區(qū)域配方關(guān)聯(lián)。在安全區(qū)域中創(chuàng)建和更新資源時,Oracle云基礎(chǔ)設(shè)施會根據(jù)安全區(qū)域配方中的策略驗(yàn)證這些操作。如果觸碰到了任何安全區(qū)域策略的雷區(qū),則操作將被拒絕。默認(rèn)情況下,任何子隔離層級也在同一安全區(qū)域中。

安全區(qū)域策略符合Oracle安全原則,包括:

安全區(qū)域中的數(shù)據(jù)不能復(fù)制到區(qū)域外的隔離層級中,因?yàn)榭赡馨踩暂^低。

安全區(qū)域中的資源不得從公共互聯(lián)網(wǎng)訪問。

安全區(qū)域中的資源必須僅使用Oracle批準(zhǔn)的配置和模板。

在這種方法中,您為必須遵守我們的最大安全架構(gòu)和最佳實(shí)踐的項(xiàng)目創(chuàng)建隔離層級和安全區(qū)域。對于不需要這種安全合規(guī)性級別的項(xiàng)目,您創(chuàng)建不在安全區(qū)域中的隔離層級。您還可以為您的安全區(qū)域創(chuàng)建自定義配方,僅啟用可用策略的子集。

與前一種方法類似,您可以為每個隔離層級添加一個專門的管理員群組,然后為該單一項(xiàng)目設(shè)置訪問策略。

訪問(IAM)策略授予用戶在隔離層級中管理某些資源的能力。

安全區(qū)域策略確保在安全區(qū)域隔離層級中的管理操作符合Oracle安全最佳實(shí)踐。

與Agilewing攜手開啟Oracle之旅

作為 Oracle 的高級合作伙伴,Agilewing推出的AgileCDN融合CDN服務(wù),完美結(jié)合OCI云基礎(chǔ)服務(wù),為業(yè)務(wù)國際化、跨境電商和游戲出海量身打造,提供性價比極高的全球內(nèi)容加速解決方案。作為一個創(chuàng)新的融合CDN平臺,AgileCDN 在全球部署了超過2800個POP節(jié)點(diǎn),并擁有200TB的強(qiáng)大網(wǎng)絡(luò)容和7000多個直連點(diǎn),確保網(wǎng)絡(luò)連接的極致效率和穩(wěn)定性。 借助先進(jìn)的智能調(diào)度技術(shù),AgileCDN優(yōu)化了數(shù)據(jù)傳輸路徑,大幅提升服務(wù)的速度和可靠性,結(jié)合簡潔而高效的部署流程和OCI云服務(wù)的強(qiáng)大支持,迅速實(shí)現(xiàn)業(yè)務(wù)部署和構(gòu)建,為企業(yè)的云遷移和國際業(yè)務(wù)拓展提供了一個經(jīng)濟(jì)高效的理想解決方案。

Agilewing作為Oracle云服務(wù)的合作伙伴,已幫助眾多組織成功運(yùn)用Oracle自主數(shù)據(jù)庫。我們將與您的商業(yè)和技術(shù)團(tuán)隊(duì)緊密合作,利用我們的Oracle云專業(yè)知識,幫助您實(shí)現(xiàn)企業(yè)敏捷性、競爭力和性能的提升,同時從Oracle自主數(shù)據(jù)庫中獲得最大價值。今天就開始您的Oracle之旅吧…

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實(shí),并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )