※ 本記事は、Suraj Rameshによる”Configuring Identity and Access Management (IAM) policies to use Full Stack DR“を翻訳したものです。

2023年1月24日

Oracle Cloud Infrastructure(OCI)Full Stack Disaster Recoveryは、OCI Console、CLIおよびREST APIを使用して、世界中のOCIリージョン間のインフラストラクチャ、プラットフォームおよびアプリケーションの移行をワンクリックで管理します。

OCI Identity and Access Management(IAM)では、クラウド・リソースへのアクセス権を持つユーザーを制御できます。ユーザーのグループが保持するアクセスのタイプおよび特定のリソースをコントロールできます。権限を最小限に抑え、必要に応じて徐々に権限を追加するポリシーを記述することをお薦めします。Full Stack DRを使用するために必要なポリシーのみを割り当てて、OCIリソースへのアクセスを安全に管理および制御します。詳細は、OCIのIAMのベスト・プラクティスを参照してください。

このブログ投稿では、Full Stack DRやその他のIAMポリシーを使用してOCIコア・サービスと対話するために必要な、ユーザー、グループ、動的グループ、ポリシーなどの様々なOCI IAMコンポーネントを作成する、OCI管理者のプロセスについて説明します。様々なIAMコンポーネントの詳細は、OCI IAMのドキュメントを参照してください。最後に、新しく作成したOCIユーザーにログインして、Full Stack DRへのアクセスを確認します。

1. Full Stack DRを管理するためのユーザーの作成

a. 管理者資格証明を使用してOCI Consoleにログインし、ホーム・リージョンを選択します。

b. メニューから、「アイデンティティとセキュリティ」->「ドメイン」->「デフォルト・ドメイン」->「ユーザー」->「ユーザーの作成」に移動します。名、姓、電子メールIDを指定し、「作成」をクリックします

Create user

ユーザー・アカウントのアクティブ化に関する電子メール(前述)が届きます。手順に従ってアカウントをアクティブ化する必要があります。

2. グループの作成

a. 管理者資格証明を使用してOCI Consoleにログインし、ホーム・リージョンを選択します。

b. メニューから、「アイデンティティとセキュリティ」->「ドメイン」->「デフォルト・ドメイン」->「グループ」->「グループの作成」グループに移動します。名前、説明を入力し、このグループを割り当てるユーザーを選択します。ステップ1で作成したユーザーを選択し、「作成」をクリックします。

Create group

 

3. ポリシーを作成し、Full Stack DRへのアクセス権を付与

a. 管理者資格証明を使用してOCI Consoleにログインし、ホーム・リージョンを選択します。

b. メニューから、「アイデンティティとセキュリティ」->「ポリシー」->「ポリシーの作成」に移動します。名前、説明、コンパートメント、ポリシー・ビルダーを指定し、「手動エディタの表示」を有効にして、次のポリシーを追加します。

ポリシーを作成する適切なコンパートメントの詳細を選択します。この例では、コンパートメント”suraj”を選択しています

 

Allow group FullStackDRGroup to manage disaster-recovery-family in compartment suraj

ポリシー構文では、正しいグループ名(ステップ2で作成)およびコンパートメント名を使用する必要があります。

 

Create policy

 

ポリシー構文で、Full Stack DRを使用するために”manage disaster-recovery-family”アクセスを提供しています。異なるFull Stack DRリソース・タイプへのきめ細かいアクセスが必要な場合は、そのオプションも用意されています。詳細は、Full Stack DRポリシーのドキュメントを参照し、それに従ってポリシーを変更してください。

4. 他のOCIサービスにアクセスするためのポリシーの追加

Full Stack DRは、コンピューティング、データベース、ブロック・ストレージ、オブジェクト・ストレージ、ファンクション、Vaults、Virtual Cloud Networkなどの他のOCIリソースを管理することで、ディザスタ・リカバリ・ワークフローを実装します。

次のポリシーをステップ3で作成したポリシー”fullstackdr-policy”に追加します。ポリシーは、Full Stack DRで使用されるリソース・タイプに応じて変更できます。

Allow group FullStackDRGroup to manage buckets in compartment suraj
Allow group FullStackDRGroup to manage objects in compartment suraj
Allow group FullStackDRGroup to manage databases in compartment suraj
Allow group FullStackDRGroup to manage autonomous-databases in compartment suraj
Allow group FullStackDRGroup to manage instance-family in compartment suraj
Allow group FullStackDRGroup to manage instance-agent-command-family in compartment suraj
Allow group FullStackDRGroup to manage volume-family in compartment suraj
Allow group FullStackDRGroup to read virtual-network-family in compartment suraj
Allow group FullStackDRGroup to use subnets in compartment suraj
Allow group FullStackDRGroup to use vnics in compartment suraj
Allow group FullStackDRGroup to use network-security-groups in compartment suraj
Allow group FullStackDRGroup to use private-ips in compartment suraj
Allow group FullStackDRGroup to read fn-app in compartment suraj
Allow group FullStackDRGroup to read fn-function in compartment suraj
Allow group FullStackDRGroup to use fn-invocation in compartment suraj
Allow group FullStackDRGroup use tag-namespaces in compartment suraj
Allow group FullStackDRGroup read vaults in compartment suraj
Allow group FullStackDRGroup read secret-family in compartment suraj

a. 管理者資格証明を使用してOCI Consoleにログインし、ホーム・リージョンを選択します。

b. メニューから、「アイデンティティとセキュリティ」->「ポリシー」->ステップ3で作成した「ポリシー」を選択->「ポリシー・ステートメントの編集」->「ポリシー・ビルダー」->「拡張」の順にクリックします

前述のようにポリシーのリストをコピーし、「変更の保存」を押します。追加されたすべてのポリシーが正しく反映されているかどうかを確認します。

ポリシー構文では、正しいグループ名(ステップ2で作成)およびコンパートメント名を使用する必要があります。

Modify policy

 

Full Stack DRと現在統合されているサービスの完全なセットを参照してください。ドキュメントに基づいて、他のOCIサービスへの制限的なアクセスを提供できます。

5. 動的グループの作成とポリシーの変更

Full Stack DRには、ユーザー定義計画グループと呼ばれる、より柔軟なグループを定義するオプションがあります。Full Stack DRが組み込みグループとデフォルトの手順を使用して初期DR計画を生成すると、ユーザー定義のグループとステップを障害回復(DR)計画に追加できます。ユーザー定義計画グループを作成して、コンピュート・インスタンスでOracleクラウド・エージェントを使用してスクリプトを実行できます。そのためには、動的グループを作成し、コンピュート・インスタンスに適切な一致ルールを追加する必要があります。動的グループを使用すると、OCIコンピュート・インスタンスを”principal”アクター(ユーザー・グループと同様)としてグループ化できます。その後、インスタンスによるOCIサービスに対するAPIコールを許可するポリシーを作成できます。

a. 管理者資格証明を使用してOCI Consoleにログインし、ホーム・リージョンを選択します。

b. メニューから、「アイデンティティとセキュリティ」->「ドメイン」->「デフォルト・ドメイン」->「動的グループ」->「動的グループの作成」に移動します。「名前」、「説明」、「一致ルール」->「次で定義されたルールに一致」->「ルール1」で、次の詳細を指定します。コンパートメントOCIDを変更したことを確認し、「作成」をクリックします

Dynamic group

 

6. Full Stack DRアクセスの検証

必要な前提条件をすべて設定しました。ここで、ユーザー(ステップ1で作成)としてOCI Consoleにログインし、Full Stack DR機能を確認します。続行する前に、必要なユーザー資格証明があることを確認してください。

a. ユーザー資格証明を使用してOCI Consoleにログインし、ホーム・リージョンを選択します。

b. メニューから、「Migration and Disaster Recovery」->「Disaster Recovery」->「DR Protection Groups」に移動します。

これで、DR保護グループを作成してFull Stack DRの操作を開始できるようになります。

 

Full Stack DR

 

このブログ・シリーズの一部として、OCI Full Stack DRの様々なコンポーネント、および複数のユース・ケース、および後続のブログでFull Stack DRを最大限に活用するためのヒントやコツについて説明します。次回のブログ記事に注目してください!!

追加情報

Full Stack Disaster Recovery OCI Full Stack Disaster Recovery

Full Stack Disaster Recovery ドキュメント