テナンシへのガバナンスの追加

• コンソール
• CLI
• API

• ガバナンス・ルールを使用して、組織内のテナンシにコントロールを構成およびアタッチできます。ガバナンス・ルールがテナンシにアタッチされると、対応するリソースが作成され、ターゲット・テナンシに固定されます。

  ガバナンス・ルールは、親テナンシが作成する強制の一種であり、子テナンシのリソースを管理できます。親テナンシはガバナンス・ルールを作成し、1つ以上の子テナンシにターゲット指定できます。設定後、ガバナンス・ルールの強制はロックされ、子テナンシ内のユーザーはルールを変更できなくなります。その結果、このようなリソースのインタフェースにロック・アイコンが表示されます。たとえば、親テナンシが子テナンシに対して許可されているリージョン・ガバナンス・ルールを作成した場合、子テナンシの「割当て制限ポリシー」ページでは、割当て制限名に隣接するロック・アイコンが表示されます。割当て制限ポリシーの詳細ページを表示すると、ガバナンス・ルールを使用してリソースが親テナンシによって作成およびロックされたことを示すメッセージが表示されます。ルールを変更するには、親がルールをロック解除して変更する必要があります。詳細は、リソース・ロックを参照してください。

  ガバナンス・ルールを使用すると、次のことを強制できます:

  • 許可されたリージョン: ターゲット・テナンシがサブスクライブできる1つ以上のリージョン。コンプライアンス標準で許可されているリージョンの許容リストを設定します。
    ノート
    
    ターゲット・テナンシが、許可されたリージョン・リストにないリージョンにすでにサブスクライブしている場合は、テナンシがそのリージョンにサブスクライブされたままになり、そのリージョンにリソースをデプロイできます。
  • 割当て制限ポリシー: リソース割当て制限を設定して、サービス内のリソース数を制限するか、特定のサービスを無効にします。このような割当て制限は、テナンシ・レベルで設定できます。次に例を示します:

    zero compute-core quotas in tenancy
    set compute-core quota to 20 in tenancy

  • タグ: 組織全体でタグを定義します。一貫したタグ付けのためにタグ・ネームスペースを共有することも、すべてのリソースがタグ付けされるようにタグのデフォルトを定義することもできます。
    ノート
    
    ガバナンス・ルールの作成に使用された親テナンシのリソース(タグ・ネームスペースなど)を更新する場合は、ガバナンス・ルールも更新する必要があります。更新しないと、変更が子テナンシに伝播されません。

  ガバナンス・ルールを作成し、それを1つ以上のテナンシにアタッチするには:

  1. ナビゲーション・メニューを開き、「ガバナンスと管理」をクリックします。「組織管理」で、「ガバナンス・ルール」をクリックします。
  2. 「ルールの作成」をクリックします。
  3. 「ルールの作成」パネルの「名前」に、新しいガバナンス・ルールの名前を入力します。機密情報を入力しないでください。
  4. 「タイプ」から、「許可されたリージョン」、「割当て制限ポリシー」または「タグ」のいずれかのガバナンス・ルール・タイプを選択します。
     1. 「許可されたリージョン」を選択した場合は、「ルール構成」で、ターゲット・テナンシがサブスクライブを許可されている1つ以上のリージョンを選択します。

        「説明」に、許可されたリージョンのルール構成の名前を入力します。機密情報の入力は避けてください。「リージョン」で、許可するリージョンを選択します。

     2. 「割当て制限ポリシー」を選択した場合は、「ルール構成」で、ターゲット・テナンシにアタッチする割当て制限ポリシーを作成します。

        「説明」に、割当て制限ポリシーのルール構成の名前を入力します。機密情報の入力は避けてください。「割当て制限ポリシー・ステートメント」で、設定する割当て制限ポリシー・ステートメントを追加します。割当て制限の作成、構文およびサンプルの詳細は、割当て制限ポリシーの管理、割当て制限ポリシーの構文およびサンプル割当てを参照してください。

     3. 「タグ」を選択した場合は、「ルール構成」で、ルート・コンパートメントからタグ・ネームスペースを作成して、ターゲット・テナンシにクローニングするか、デフォルト・タグを定義します。

        「タグ・ネームスペース」リストからタグ・ネームスペースを選択します。「詳細の表示」をクリックして、「タグ・ネームスペースの詳細」パネルにネームスペースの詳細を表示します。パネルでは、「タグ・キー」、「値タイプ」および「コスト・トラッキング」タグの詳細、およびタグ・キーの説明を表示できます。

        デフォルト・タグを追加するには、対応する「デフォルト・タグの追加」オプションを選択します。「必須のタグ値オプション」を設定することもできます。「デフォルト値」オプションを使用して、「デフォルト値」フィールドに値を入力するか、「ユーザー適用値」を選択します。

  5. 「ルールのアタッチ」で、ルールを特定のテナンシにアタッチするか、(ガバナンス・ルールを使用して)組織ガバナンスに参加した現在および将来のすべてのテナンシにルールをアタッチするかを選択できます。

     「特定のテナンシへのアタッチ」を選択した場合は、「テナンシ」フィールドから1つ以上のテナンシを選択します。また、この時点でテナンシを選択しないこともできます(このようなルールでは、関連するガバナンス・ルールの詳細ページの「ターゲット・テナンシ」フィールドに0が表示されます)。

     「組織全体へのアタッチ」を選択した場合は、ルールは、テナンシ、および組織ガバナンスに参加しているすべての組織のテナンシにアタッチされます。ルール・アタッチメントは、現在と将来の両方のテナンシに適用されます。

  6. 「拡張オプションの表示」をクリックして、テナンシ内のリソースを整理およびトラッキングするためのタグ付け設定を指定します。タグの追加の詳細は、作成時のガバナンス・ルールのタグ付けを参照してください。
  7. 「ルールの作成」をクリックします。作成したルールの新しいガバナンス・ルールの詳細ページが開きます。

     ガバナンス・ルールの詳細ページには、ルール全体のステータスが表示されます。ルールの編集または削除、アタッチメント・メソッドの変更(ターゲット固有のテナンシまたは組織全体)、タグの追加、ルール詳細の表示、およびテナンシからのルールのアタッチまたはデタッチを行うことができます。各テナンシについて、ルール・アタッチメントの作業リクエストの進行状況を表示することもできます。アタッチに失敗した場合は、「アクション」メニュー()から「アタッチの再試行」を選択します。

     ガバナンス・ルールの詳細ページの「ルールの詳細」タブには、次の情報が表示されます。「一般情報」では:

     • OCID: ガバナンス・ルールのOCID。
     • 作成日時: UTCフォーマットでの作成時間。
     • ターゲット・テナンシ: ターゲット・テナンシの数。
     • アタッチメント・メソッド: 特定のテナンシまたは組織全体にアタッチされます。

     「ルール構成」では、ルールが、許可されたリージョン、割当て制限ポリシーまたはタグのいずれに対するものかに応じて、一部の情報が表示されます:

     • ルール・タイプ
     • (許可されたリージョン・ルールのみ)許可されたリージョン: ルール内の許可されたリージョンをリストします。
     • (割当て制限ポリシー・ルールのみ)ステートメント: 「詳細の表示」リンクをクリックすると、ステートメントが「割当て制限ポリシー・ステートメント」パネルに表示されます。
     • (タグ・ルールのみ)タグ・ネームスペース: ネームスペースがリストされます。「詳細の表示」リンクをクリックすると、タグ・ネームスペースが「タグ・ネームスペースの詳細」パネルに表示されます。
     • (タグ・ルールのみ)タグのデフォルト: タグのデフォルト数がリストされます。「詳細の表示」リンクをクリックすると、タグのデフォルトが「タグ・デフォルトの詳細」パネルに表示されます。
  8. 「テナンシ」セクションで、ガバナンス・ルールからアタッチ(またはデタッチ)する1つ以上のテナンシを選択できます。

     ガバナンス・ルールの詳細ページの「テナンシ」セクションには、すべてのテナンシについて次の情報がリストされます:

     • テナンシ: テナンシ名。
     • ルール・ステータス: ルール・ステータス(「未アタッチ」または「アタッチ済」)。
     • 組織ガバナンス: テナンシに参加したか、非参加したかを示します。ルールにアタッチできるのは、組織ガバナンスに参加したテナンシのみです。

     テナンシをアタッチするには、「テナンシ」で1つ以上のテナンシを選択し、「アタッチ」をクリックします。どのテナンシにルールをアタッチするかの確認が表示されます。「ルールのアタッチ」をクリックします。ガバナンス・ルールの詳細ページがリロードされ、新しい作業リクエストが開始されます。作業リクエストが完了すると、ルールがテナンシにアタッチされ、「ルール・ステータス」が「アタッチ済」に変わります。

  これで、ガバナンス・ルールが構成され、子テナンシ(または指定されている場合は組織全体および組織に参加する将来のテナンシ)に制限が適用されるようになりました。「組織管理」の「テナンシ」ページにアクセスして、関連するガバナンス・ルールを表示することもできます。「テナント」ページで、テナンシ名をクリックして、テナンシの詳細ページを開きます。

  「ガバナンス・ルール」で、テナンシにアタッチされているガバナンス・ルールのリスト(名前およびルール・タイプを含む)を表示できます。ガバナンス・ルール名をクリックすると、関連するガバナンス・ルールの詳細ページに移動します。

  一方、ガバナンス・ルールをアタッチした子テナンシも、「ガバナンス・ルール」ページにルールを表示できますが、親テナンシがルール構成を制御するため、ルールとはやり取りできず、ルールに関する基本情報の表示のみ行えます。

  ガバナンス・ルールの作成後、ルールの編集または削除、ルールのアタッチまたはデタッチ、またはルール・アタッチメント・メソッド(特定のテナンシまたは組織全体)の変更を行うことができます。親テナンシから、組織ガバナンスとの間でテナンシをオプト・インまたはオプト・アウトするか、子テナンシから組織ガバナンスへのオプト・インをリクエストすることもできます。

  ガバナンス・ルールから既存のテナンシをオプトアウトする方法の詳細は、テナンシからのガバナンスの削除を参照してください。

  ガバナンス・ルールを編集するには:

  1. ナビゲーション・メニューを開き、「ガバナンスと管理」をクリックします。「組織管理」で、「ガバナンス・ルール」をクリックします。
  2. ガバナンス・ルールの詳細ページで、「ルール構成の編集」をクリックします。「ルール構成の編集」パネルが開きます。
  3. ルール構成を編集し、「保存」をクリックします。

  ガバナンス・ルールを削除するには:

  1. ナビゲーション・メニューを開き、「ガバナンスと管理」をクリックします。「組織管理」で、「ガバナンス・ルール」をクリックします。
  2. ガバナンス・ルールの詳細ページで、「ルールの削除」をクリックします。「ルールの削除」の確認が表示されます。
  3. 「ルールの削除」をクリックします。削除すると元に戻せなくなります。また、ターゲット・テナンシで、ルールに関連付けられているリソースも削除されます。

  ガバナンス・ルールをアタッチするには:

  1. ナビゲーション・メニューを開き、「ガバナンスと管理」をクリックします。「組織管理」で、「ガバナンス・ルール」をクリックします。
  2. 「ガバナンス・ルール」ページで、「名前」の下にあるガバナンス・ルールをクリックすると、ガバナンス・ルールの詳細ページが開きます。

     「ガバナンス・ルールの詳細」ページの「テナント」で1つ以上のテナントを選択し、「テナントのアタッチ」をクリックします。ルールをテナンシにアタッチすることを確認する確認が表示されます。

  3. 「ルールのアタッチ」をクリックします。ガバナンス・ルールの詳細ページがリロードされ、新しい作業リクエストが開始されます。作業リクエストが完了すると、ルールはテナンシにアタッチされなくなり、「ルール・ステータス」が「デタッチ済」に変わります。

  ガバナンス・ルールのアタッチメント・メソッドを親テナンシから変更するには:

  1. 親テナントで、ナビゲーション・メニューを開き、「ガバナンスと管理」をクリックします。「組織管理」で、「ガバナンス・ルール」をクリックします。
  2. ガバナンス・ルールの詳細ページで、「アタッチメント・メソッドの変更」をクリックします。「アタッチメント・メソッドの変更」の確認が表示されます。

     「特定のテナンシにアタッチ」または「組織全体にアタッチ」のどちらでも、優先アタッチメント方法を選択します。

  3. 優先アタッチメント・メソッドを選択し、「ルールのアタッチ」をクリックします。

  ガバナンス・ルールをデタッチするには:

  1. ナビゲーション・メニューを開き、「ガバナンスと管理」をクリックします。「組織管理」で、「ガバナンス・ルール」をクリックします。
  2. 「ガバナンス・ルール」ページで、「名前」の下にあるガバナンス・ルールをクリックすると、ガバナンス・ルールの詳細ページが開きます。

     ガバナンス・ルールの詳細ページの「テナント」で1つ以上のテナンシを選択し、「テナンシのデタッチ」をクリックします。ルールがターゲット・テナンシに適用されず、ターゲット・テナンシ内のルールに関連付けられたリソースが削除されることを示す確認が表示されます。

  3. 「ルールのデタッチ」をクリックします。ガバナンス・ルールの詳細ページがリロードされ、新しい作業リクエストが開始されます。テナンシの「アクション」メニュー()をクリックし、「作業リクエストの表示」をクリックしてステータスおよび進捗を表示できます。作業リクエストが完了すると、ルールはテナンシにアタッチされなくなり、「ルール・ステータス」が「デタッチ済」に変わります。
     ノート
     
     このプロセスでは、ガバナンス・ルールのみがデタッチされますが、「組織ガバナンス」フィールドに「参加済」と表示されるため、テナンシを組織ガバナンスからオプトアウトすることはありません。

  ガバナンス・ルールを使用するようにテナンシをオプト・インするには:

  組織にすでに含まれている特定のタイプのテナンシは、ガバナンス・ルールを使用するようにオプト・インできます。

  • 親テナンシは、自身をオプト・インまたはオプト・アウトできます。
  • 親テナンシは、子テナンシがオプト・インに同意するか、子テナンシをオプト・アウトするようにリクエストできます。
  • 子テナントは、親テナンシによってオプト・インされるか、自身をオプト・インすることができますが、子テナンシが自身をオプト・アウトすることはできません。

  子テナンシは、親テナンシとしてサインインしている間、または子テナンシとしてサインインしている間にオプトインできます。

  親テナンシからガバナンス・ルールに子テナンシをオプト・インするには:

  1. ナビゲーション・メニューを開き、「ガバナンスと管理」をクリックします。「組織管理」で、「テナンシ」をクリックします。
  2. 「テナント」ページで、「テナント名」フィールドからテナンシをクリックして、その詳細ページを開きます。
  3. 「組織ガバナンスに参加するようリクエスト」をクリックします。「組織ガバナンスに参加するようリクエスト」パネルが開き、テナンシにオプト・インをリクエストできます。受信者は、子テナンシへのアクセス権を持ち、リクエストが失効するまでの14日間のうちに応答する必要があります。
  4. オプションで、「受信者電子メール」に、受信者の電子メール・アドレスを入力します。
  5. 「ガバナンス・ルール」で、選択したガバナンス・ルールをすぐに選択するか、スキップしてガバナンス・ルールを後で選択します。
  6. 「リクエストの送信」をクリックします。ガバナンスの招待リクエストが送信されたことを示すメッセージが表示されます。リクエストの受入れを決定した場合、子テナンシはすぐに組織ガバナンスを使用します。

     送信側テナンシの「招待」ページで、「タイプ」フィールドに「送信済リクエスト」がある新しいガバナンス招待を表示できます。「招待名」の招待をクリックすると、招待の詳細ページが表示され、受信側テナンシがガバナンスの招待を受け入れるまで、そのステータス(最初は「ステータス」フィールドで「保留中」)を表示できます。

     「リクエスト」フィールドは、テナンシが組織ガバナンスに参加するようにリクエストしたこと、および受信者テナンシがリクエストを受け入れると、ガバナンス・ルールを作成してテナンシにアタッチできることを示します。

     「取消」をクリックして、ガバナンスの招待を取り消すこともできます。組織ガバナンスに参加するリクエストを取り消すかどうかを確認する「招待の取消」確認が表示されます。リクエストを取り消すには、「Revoke」をクリックします。招待の詳細ページがリロードされ、取り消された状態に切り替わります。「招待」ページの招待の「ステータス」フィールドも「取消済」に変わります。

  7. 受信者子テナンシで、ナビゲーション・メニューを開き、「ガバナンスと管理」をクリックします。「組織管理」で、「招待」をクリックします。新しいガバナンスの招待の「ステータス」が「保留中」で、その「タイプ」が「受信リクエスト」です。
  8. 招待をクリックして、「リクエスト詳細: 組織ガバナンスに参加」詳細ページに移動します。招待の「タイプ」は「受信リクエスト」で、「リクエスト」フィールドは、リクエストを受け入れることで組織ガバナンスに参加し、親テナントがご使用のテナンシにガバナンス・ルールを作成およびアタッチすることに同意していることを示します。参加後、組織ガバナンスからテナンシを削除できるのは、親テナンシのみです。
  9. 招待の詳細ページで、「受諾」をクリックします。「招待に応じる」の確認で、組織ガバナンスへの参加リクエストを承認する場合は、「同意」をクリックします。

     「アクション」メニュー()から直接「リクエストの承認」または「リクエストの拒否」をクリックして、ガバナンスの招待をメインの「招待」ページから直接受け入れることもできます。

     「拒否」をクリックすると、招待は拒否され、送信側テナンシは後で別のガバナンスの招待を送信できます。

     受け入れると、数分後、招待ステータスは「受入れ済」に変わります。招待ステータスは、送信側(親)テナンシと受信者(子)テナンシの両方に表示できます。

     送信側テナンシの「テナンシ」ページでは、テナンシがガバナンス・ルールを使用していることを示すために、「組織ガバナンス」フィールドに「参加済」と表示されます。また、テナンシの詳細ページの「ガバナンスの状態」フィールドには、テナンシがガバナンス・ルールを使用していることを示すために、「組織ガバナンス」と表示されます。

  子テナンシから子テナンシをオプト・インするには:

  1. ナビゲーション・メニューを開き、「ガバナンスと管理」をクリックします。「組織管理」で、「テナンシ」をクリックします。
  2. 「テナント」ページで、「テナント名」フィールドからテナンシをクリックして、その詳細ページを開きます。
  3. 「組織ガバナンスに参加」をクリックします。「組織ガバナンスに参加」パネルが開き、テナンシにオプト・インをリクエストできます。組織ガバナンスに参加することで、親テナンシが子テナンシにガバナンス・ルールを作成およびアタッチすることに同意します。参加すると、ガバナンス・ルール使用状況から子テナンシをオプト・アウトできるのは親テナンシのみになります。
  4. 「組織ガバナンスに参加」をクリックします。ガバナンスをオプトインするリクエストは受け入れられ、テナンシはまもなく参加し、組織ガバナンスに参加することを示す通知メッセージが表示されます。

     「作業リクエスト」で、オプトイン作業リクエストが開始され、ステータスが示されます。「操作」の下にあるリクエストをクリックすると、詳細を表示できます。

  5. 子テナンシが結合されると、テナンシ情報詳細ページの「設定」で、「ガバナンス状態」フィールドに「組織ガバナンス」が表示され、「テナンシ」ページに「組織ガバナンス」の下の「参加済」値が表示されます。

• ガバナンス・ルールにテナンシを選択するには、oci organizations governance organization-tenancy addコマンドと必要なパラメータを使用します:

  oci organizations governance organization-tenancy add --organization-id [text] --organization-tenancy-id [text] [OPTIONS]

  CLIコマンドのパラメータおよび値の完全なリストは、CLIコマンド・リファレンスを参照してください。

• AddGovernance操作を実行して、テナンシをガバナンス・ルールにオプトインします。