【OCI 系列】走进甲骨文云服务器：打造专属的云资源管理空间

为了组织您的云资源，您将创建几个部门。创建部门的目的是为了便于管理、保障安全、资源隔离。

当您的租户被配置时，会为您创建一个根部门。您的根部门包含了所有的云资源。在我们计划在根部门下创建新的部门之前，我们应该了解一些关于部门的关键点和最佳实践。

关于部门的一些关键点：

部门是逻辑上的，而非物理上的。

一旦资源被创建，它不能被移动到另一个部门。

当您选择一个部门时，您只能看到该部门中的资源。要查看另一个部门的资源，您必须先选择那个部门。资源视图不跨部门。

您可以在根部门下创建部门来组织您的云资源。

您可以在根部门下创建最多六层的部门层级。

您可以通过创建策略来控制对新部门的访问，这些策略规定用户组可以对这些部门中的资源采取哪些操作。

创建像实例、块存储卷、虚拟云网络（VCN）、子网等资源的用户必须决定将其放在哪个部门。

如果您想删除一个部门，您必须先删除或终止该部门中的所有资源。

关于部门的最佳实践：

如果您的组织规模较小，或者您只是在做概念验证（POC），那么您可以考虑将所有资源放在根部门（租户）中。这种方法使您能够快速查看和管理所有资源。

如果您的公司有多个部门或多个项目，那么创建多个部门会更容易管理。在这种方法中，您可以为每个部门（项目）添加一个专门的管理员组，他们可以设置该项目的访问策略。

接下来我们将创建一个名为“财务”的测试部门，并为其添加一个管理员用户。在这个例子中，我们将创建四个云资源：

部门

用户组

策略

用户

为了授予用户对“财务”部门及其内部所有资源的访问权限，我们将创建一个组（“FinanceGroup”），然后创建一个策略（“Finance_Policy”）来定义访问规则。最后，我们将用户添加到这个组中，以授予他们对“财务”部门的访问权限。

步骤 1：创建“财务”部门

1.打开导航菜单。在治理和管理下，转到身份并点击部门

如下所示，bgogia 是我的根部门，我有一个名为“ManagedCompartmentForPaaS”的子部门，在我的云服务设置期间也是默认创建的。

2.点击“创建部门”。

3.输入以下信息：名称：输入“财务”。描述：输入描述（必填），例如：“存储财务相关数据的财务部门”。我们现在不设置任何标签。如果需要，您可以设置。

点击创建部门。您的部门将显示在列表中。

现在新部门将在左侧的下拉菜单中可见：

步骤 2：创建组

接下来，创建您将为其创建策略的“FinanceGroup”。

打开导航菜单。在治理和管理下，转到身份并点击组。

点击创建组。

在创建组对话框中：

名称：为您的组输入一个独特的名称，例如“FinanceGroup”。

请注意，名称中不能包含空格。

描述：输入描述（必填）。

点击提交

新组将显示在列表中

步骤 3：创建策略

现在我们需要创建一个策略，以授予 FinanceGroup 在沙盒部门的权限。

打开导航菜单。在治理和管理下，转到身份并点击策略。

点击创建策略

输入您的策略的独特名称，例如“FinancePolicy”。

请注意，名称中不能包含空格。

输入描述（必填），例如：“授予用户对财务部门的全部权限”。

输入以下声明：

允许组 FinanceGroup 管理财务部门中的所有资源

这个声明授予 FinanceGroup 组成员对财务部门的全部访问权限。

点击“创建”

这将创建策略，并将其显示在列表中

步骤 4：创建用户

打开导航菜单。在治理和管理下，转到身份并点击用户。

点击创建用户。

在新用户对话框中：

名称：为新用户输入一个独特的名称或电子邮件地址。

该值将是用户登录控制台的用户名，并且必须在您的租户中的所有其他用户中是唯一的。

描述：输入描述（必填）。

点击创建用户。

新用户将显示在列表中：

步骤 5：将用户添加到组

打开导航菜单。在治理和管理下，转到身份并点击用户。

在用户列表中，找到用户并点击其名称。

在用户详情页面，点击左侧的组。显示用户所属的组列表。

点击将用户添加到组。

从组列表中，选择 FinanceGroup。

点击添加。

步骤 6：测试访问权限

从用户列表中，点击您刚刚创建的用户（financeuser）的名称，显示其详情。

点击创建/重置密码。

在提示时，点击创建/重置密码。

它将创建一个新的随机密码。复制该密码。

现在使用这个新的 financeuser 和上面生成的临时密码登录 OCI。

接下来我们将测试“financeuser”是否仅被授权访问“财务”部门。

转到菜单 => 块存储 => 块卷

现在，尝试在根部门下创建块卷（financeuser 无权访问的部门）

您将收到以下错误消息“授权失败”。

而如果您在财务部门下创建，块卷将成功创建。

块卷将如下所示显示出来：

请注意，当您选择财务部门时，您只能看到财务部门中的资源。当您创建新资源时，系统会提示您选择创建它们的部门（如上图所示）。

在这篇文章中，我们看到了如何创建部门，以及如何授予特定部门的访问权限。我们还看到了如何在部门内创建像块卷这样的 OCI 资源。