【OCI 系列】走进甲骨文云服务器:打造专属的云资源管理空间
为了组织您的云资源,您将创建几个部门。创建部门的目的是为了便于管理、保障安全、资源隔离。
当您的租户被配置时,会为您创建一个根部门。您的根部门包含了所有的云资源。在我们计划在根部门下创建新的部门之前,我们应该了解一些关于部门的关键点和最佳实践。
关于部门的一些关键点:
部门是逻辑上的,而非物理上的。
一旦资源被创建,它不能被移动到另一个部门。
当您选择一个部门时,您只能看到该部门中的资源。要查看另一个部门的资源,您必须先选择那个部门。资源视图不跨部门。
您可以在根部门下创建部门来组织您的云资源。
您可以在根部门下创建最多六层的部门层级。
您可以通过创建策略来控制对新部门的访问,这些策略规定用户组可以对这些部门中的资源采取哪些操作。
创建像实例、块存储卷、虚拟云网络(VCN)、子网等资源的用户必须决定将其放在哪个部门。
如果您想删除一个部门,您必须先删除或终止该部门中的所有资源。
关于部门的最佳实践:
如果您的组织规模较小,或者您只是在做概念验证(POC),那么您可以考虑将所有资源放在根部门(租户)中。这种方法使您能够快速查看和管理所有资源。
如果您的公司有多个部门或多个项目,那么创建多个部门会更容易管理。在这种方法中,您可以为每个部门(项目)添加一个专门的管理员组,他们可以设置该项目的访问策略。
接下来我们将创建一个名为“财务”的测试部门,并为其添加一个管理员用户。在这个例子中,我们将创建四个云资源:
部门
用户组
策略
用户
为了授予用户对“财务”部门及其内部所有资源的访问权限,我们将创建一个组(“FinanceGroup”),然后创建一个策略(“Finance_Policy”)来定义访问规则。最后,我们将用户添加到这个组中,以授予他们对“财务”部门的访问权限。
步骤 1:创建“财务”部门
1.打开导航菜单。在治理和管理下,转到身份并点击部门
如下所示,bgogia 是我的根部门,我有一个名为“ManagedCompartmentForPaaS”的子部门,在我的云服务设置期间也是默认创建的。
2.点击“创建部门”。
3.输入以下信息:名称:输入“财务”。描述:输入描述(必填),例如:“存储财务相关数据的财务部门”。我们现在不设置任何标签。如果需要,您可以设置。
点击创建部门。您的部门将显示在列表中。
现在新部门将在左侧的下拉菜单中可见:
步骤 2:创建组
接下来,创建您将为其创建策略的“FinanceGroup”。
打开导航菜单。在治理和管理下,转到身份并点击组。
点击创建组。
在创建组对话框中:
名称:为您的组输入一个独特的名称,例如“FinanceGroup”。
请注意,名称中不能包含空格。
描述:输入描述(必填)。
点击提交
新组将显示在列表中
步骤 3:创建策略
现在我们需要创建一个策略,以授予 FinanceGroup 在沙盒部门的权限。
打开导航菜单。在治理和管理下,转到身份并点击策略。
点击创建策略
输入您的策略的独特名称,例如“FinancePolicy”。
请注意,名称中不能包含空格。
输入描述(必填),例如:“授予用户对财务部门的全部权限”。
输入以下声明:
允许组 FinanceGroup 管理财务部门中的所有资源
这个声明授予 FinanceGroup 组成员对财务部门的全部访问权限。
点击“创建”
这将创建策略,并将其显示在列表中
步骤 4:创建用户
打开导航菜单。在治理和管理下,转到身份并点击用户。
点击创建用户。
在新用户对话框中:
名称:为新用户输入一个独特的名称或电子邮件地址。
该值将是用户登录控制台的用户名,并且必须在您的租户中的所有其他用户中是唯一的。
描述:输入描述(必填)。
点击创建用户。
新用户将显示在列表中:
步骤 5:将用户添加到组
打开导航菜单。在治理和管理下,转到身份并点击用户。
在用户列表中,找到用户并点击其名称。
在用户详情页面,点击左侧的组。显示用户所属的组列表。
点击将用户添加到组。
从组列表中,选择 FinanceGroup。
点击添加。
步骤 6:测试访问权限
从用户列表中,点击您刚刚创建的用户(financeuser)的名称,显示其详情。
点击创建/重置密码。
在提示时,点击创建/重置密码。
它将创建一个新的随机密码。复制该密码。
现在使用这个新的 financeuser 和上面生成的临时密码登录 OCI。
接下来我们将测试“financeuser”是否仅被授权访问“财务”部门。
转到菜单 => 块存储 => 块卷
现在,尝试在根部门下创建块卷(financeuser 无权访问的部门)
您将收到以下错误消息“授权失败”。
而如果您在财务部门下创建,块卷将成功创建。
块卷将如下所示显示出来:
请注意,当您选择财务部门时,您只能看到财务部门中的资源。当您创建新资源时,系统会提示您选择创建它们的部门(如上图所示)。
在这篇文章中,我们看到了如何创建部门,以及如何授予特定部门的访问权限。我们还看到了如何在部门内创建像块卷这样的 OCI 资源。
评论