必要なIAMグループおよびポリシーの作成

次の構文を使用して、ユーザー・グループがテナンシ内のRoving Edge Infrastructureリソースにアクセスできるようにします:

allow group <admin_user_group> to manage rover-family in tenancy

allow group <admin_user_group> to manage rover-nodes in tenancy

allow group <admin_user_group> to manage rover-family in tenancy

<admin_user_group>は、Roving Edge Infrastructureの管理のために作成されたグループです。

このアクセスをコンパートメントに絞り込むこともできます。たとえば、ユーザーのグループが、Oracle Cloud Infrastructureのコンパートメント"finance"内のすべてのRoving Edge Infrastructureリソースを管理できるようにする場合は、次を使用します:

allow group rover-admins to manage rover-family in compartment finance

allow group rover-admins to manage rover-nodes in compartment finance

Oracle Cloudコンソールを使用してRoving Edge Infrastructureデバイスのオーダーおよび管理を可能にするポリシーを作成できます。このタスクでは、Oracle Cloudコンソールでポリシーの作成テンプレートを使用します。

1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ポリシー」をクリックします。

2. ポリシーの作成をクリックします。「ポリシーの作成」ダイアログ・ボックスが表示されます。

3. 「ポリシーの作成」の説明に従って、必須フィールドに入力します。

4. ポリシー・ビルダーを使用して、「共通ポリシー・テンプレート」の下にある「ユーザーによるRoving Edge Deviceの作成および管理」を選択します。

5. ポリシー・ビルダーに表示される指示に従って、ポリシー・グループを構成します。

6. 「作成」をクリックします。変更は、通常10秒以内に有効になります。

この項では、Roving Edge Infrastructureデバイスが所持している間にデータ同期を実行できるようにするために必要なステップについて説明します。

各Roving Edge Infrastructureデバイス・ノードは、Oracle Cloud Infrastructureのリソースとして機能し、データ同期タスクのためにテナンシ内のコンパートメント内のバケットを読み取る/書き込む権限が必要です。

デバイスノードを作成したら、その単一ノードを含む動的グループを作成します。動的グループの作成方法の詳細は、動的グループの管理を参照してください。

次の一致ルールを使用して、<dynamic_group_name>という動的グループを作成します。

All {resource.type='rovernode'}

この動的グループに、バケットに対する読取りおよび書込みのポリシーを付与します:

allow dynamic-group <dynamic_group_name> to manage object-family in tenancy

オブジェクト・ストレージ・ネームスペースへの動的グループ・アクセス権の付与

allow dynamic-group <dynamic_group_name> to manage objectstorage-namespaces in tenancy

Roving Edge Infrastructureサービスにバケットへの読取りアクセス権を付与するポリシーを設定します。この読取りアクセス・ポリシーにより、Roving Edge Infrastructureデバイスと同期するオブジェクトに関する情報を含むマニフェスト・ファイルを生成できます。

allow service rover to read object-family in tenancy
allow service rover to manage objectstorage-namespaces in tenancy

以前に作成したオブジェクト・ストレージ・アクセス用の動的グループを使用して、オンサイトでデバイスの自己プロビジョニングを有効にするための動的グループ管理権限を付与します。

allow dynamic-group <dynamic_group_name> to manage rover-family in tenancy

切断されたアップグレード・バンドルをテナンシに配信できるようにするには、次の手順に従います:

リクエスタ・オブジェクトの作成権限を付与し、宛先バケットに権限を上書きします:

allow group <group_name> to manage object-family in compartment <compartment_name>

リージョン内のオブジェクト・ストレージ・サービスに、テナンシ内のバケットを管理するように付与します:

allow service objectstorage-<region_identifier> to manage object-family in tenancy

次を使用して、より狭い権限を作成することもできます。

allow service objectstorage-<region_identifier> to manage object-family in compartment <compartment-name>
where any {request.permission='OBJECT_READ', request.permission='OBJECT_INSPECT', request.permission='OBJECT_CREATE',
request.permission='OBJECT_OVERWRITE', request.permission='OBJECT_DELETE'}

リージョン識別子のリストは、リージョンおよび可用性ドメインを参照してください。

この項では、管理者が認証局を作成し、Roving Edge InfrastructureデバイスがOracle Cloud Infrastructure Cloudの証明書管理リソースにアクセスできるようにするために必要なステップについて説明します。

セキュリティ管理者がボールトおよびマスター・キーを作成するためのポリシーを作成します。

Allow group <security-admin-group> to manage vaults in tenancy
Allow group <security-admin-group> to manage keys in tenancy

認証局を使用するためのポリシーを作成します。

Allow group <security-admin-group> to use certificate-authority-family in tenancy
Allow group <security-admin-group> to use key-delegate in tenancy

一致ルールを使用してcertificate-authority-dynamic-groupと呼ばれる動的グループを作成します。

all {resource.type='certificateauthority'}

認証局がキーを使用するためのポリシーを作成します:

Allow dynamic-group certificate-authority-dynamic-group to use keys in compartment <compartment_name>

Roving Edge Infrastructureノードが証明書構成をフェッチおよび更新するためのポリシーを作成します:

Allow dynamic-group <dynamic_group_name> to use rover-family in tenancy

認証局を使用して証明書を管理するためのRoving Edge Infrastructureデバイスのポリシーを作成します:

Allow dynamic-group <dynamic_group_name> to manage leaf-certificate-family in tenancy
Allow dynamic-group <dynamic_group_name> to use certificate-authority-family in tenancy

グループrover-adminsは、Roving Edge Infrastructureリソースの管理者として定義されています:

allow group rover-admins to manage rover-family in tenancy
allow group rover-admins to manage rover-nodes in tenancy

Roving Edge Infrastructureによるワークロードのアタッチを許可:

allow service rover to read object-family in tenancy
allow service rover to manage objectstorage-namespaces in tenancy

オブジェクト・ストレージへのRoving Edge Infrastructureアクセスを許可します:

allow dynamic-group roving-edge-devices to manage object-family in tenancy
allow dynamic-group roving-edge-devices to manage objectstorage-namespaces in tenancy

Roving Edgeノードの動的グループをサイトで自己プロビジョニングできるようにします:

allow dynamic-group roving-edge-devices to manage rover-family in tenancy

(オプション)切断されたアップグレード・バンドルの配信を有効にします。

allow group rover-admins to read object-family in tenancy
allow dynamic-group roving-edge-devices to manage object-family in tenancy

(オプション)証明書管理を有効にします。

allow group CertificateAdmins to manage vaults in tenancy
allow group CertificateAdmins to manage keys in tenancy
allow group CertificateAdmins to manage certificate-authority-family in tenancy
allow group CertificateAdmins to use key-delegate in tenancy
allow group rover-admins to read certificate-authority-family in tenancy
allow dynamic-group certificate-authority-dynamic-group to use keys in tenancy
allow dynamic-group roving-edge-devices to use rover-family in tenancy
allow dynamic-group roving-edge-devices to manage leaf-certificate-family in tenancy
allow dynamic-group roving-edge-devices to use certificate-authority-family in tenancy

次の手順?

デバイスを要求する場合は、デバイスのタイプに基づいて次のセクションのいずれかを参照してください。

• コンピュート、GPUおよびストレージ・デバイス用のノードの作成
• Roving Edge Ultraノードの作成