Database Support Blog

Database Support Blog>Oracle Cloudを使う、その前に!覚えてほしい3つのポイント

  • Oracle Cloud
2020.07.10

Oracle Cloudを使う、その前に!覚えてほしい3つのポイント

Oracle Cloud Infrastructure(以下OCI)はOracle社が提供しているクラウドサービスです。

アカウントを登録すれば、仮想クラウドネットワーク(VCN)や仮想マシン(VMサーバもしくはベアメタルサーバ)、そしてデータベースなどのリソースを簡単に作成・利用することができます。

ですが、実際にOCIを操作いただく前に、覚えていただきたいポイントが3つあります。

それは、OCI特有の概念であったり、クラウドサービスで意識されるユーザーセキュリティ強化や使用料金に関係する大事なポイントです。

今回は、このポイントを簡単に紹介します。


ポイント1.コンパートメントを活用して複数システムの運用管理を簡素化しましょう

コンパートメントはOCI特有の概念です。
OCIにアカウントを登録すると、テナンシ(クラウド・アカウント)が割り当てられます。

他社クラウドサービスの場合、利用が部門単位やシステム単位の際は、その都度アカウントを用意するケースもあり、そのアカウントごとにシステム構築を行う場合があります。
そのため、アカウントが増えれば増えるほど、運用管理が大変になります。
OCIでは、コンパートメントを使うことで、1つのテナンシで複数のシステムの運用管理が簡単にできます。

ここから、コンパートメントの作成方法の例をご紹介します。

コンパートメントの作成

1.コンソールメニューから、[アイデンティティ]→[コンパートメント]をクリックします。

2.コンパートメント画面が開きます。[コンパートメントの作成]をクリックします。

3.コンパートメントの作成ダイアログ画面が開きます。
 必要な項目を入力して、[コンパートメントの作成]をクリックします。
 今回はサンプルとして、以下のように入力しました。
 ・名前:kka-developer
 ・説明:開発チーム用コンパートメント
 ・親コンパートメント:ルートコンパートメント

4.コンパートメント画面の一覧に作成したコンパートメントが表示されます。
 名前のリンクをクリックすると、コンパートメントの詳細画面が表示されます。
 以上でコンパートメントの作成は完了です。

ポイント2.管理者ユーザーの利用は控えましょう

テナンシの最初のユーザーは管理者ユーザーとなり、テナンシに対するすべての操作が可能となります。

複数ユーザーで1つのテナンシを利用する場合は、各ユーザーを適切な権限(ポリシー)を割り当てたグループに所属させることが望ましいです。

具体的には、以下のとおりです。

  1.許可する操作をポリシーに記載する
  2.ポリシーをグループに割り当てる
  3.ユーザーをグループに所属させる
  ※ユーザーにポリシーを直接割り当てることはできません。

ここでは、例としてネットワーク管理操作のみ許可されたユーザーの作成方法をご紹介します。

グループの作成

まずは、グループを作成します。
前述のとおり、ユーザーに対して直接ポリシーを割り当てることはできず、グループに割り当てる必要があります。

1.コンソールメニューから、[アイデンティティ]→[グループ]をクリックします。

2.グループ画面が開きます。[グループの作成]をクリックします。

3.グループの作成ダイアログ画面が開きます。
 必要な項目を入力して、[作成]をクリックします。
 今回はサンプルとして、以下のように入力しました。
 ・名前:NetworkAdminGroup
 ・説明:ネットワーク管理者グループ

4.グループ画面の一覧に作成したグループが表示されます。
 名前のリンクをクリックすると、グループの詳細画面が表示されます。
 以上でグループの作成は完了です。

ポリシーの作成

次に、ポリシーを作成します。
ポリシーは、ユーザーに許可する操作をOCIで定められた構文で記載します。

1.コンソールメニューから、[アイデンティティ]→[ポリシー]をクリックします。

2.コンパートメントに存在するポリシーの一覧画面が開きます。
 画面左側の[リスト範囲][コンパートメント]から、ポイント1.で作成した
 コンパートメント「kka-developer」を選択し、[ポリシーの作成]をクリックします。

3.ポリシーの作成ダイアログ画面が開きます。
 必要な項目を入力して、[作成]をクリックします。
 今回はサンプルとして、以下のように入力しました。
 ・名前:NetworkAdminPolicy
 ・説明:ネットワーク管理者ポリシー
 ・ポリシーのバージョニング:KEEP POLICY CURRENT(デフォルト)
 ・ポリシー・ステートメント:Allow group NetworkAdminGroup to manage
               virtual-network-family in compartment kka-developer


※基本構文は以下のとおりです。
どのグループが 』『 どのような操作を 』『 どのリソースに 』アクセス可能か記載します。

また、操作範囲として『 テナンシ全体またはコンパートメント 』から指定できます。
allow group <group_name> to <verb> <resource-type> in tenancy
allow group <group_name> to <verb> <resource-type> in compartment
<compartment_name>

4.ポリシー画面の一覧に作成したポリシーが表示されます。
 名前のリンクをクリックすると、ポリシーの詳細画面が表示されます。
 以上でポリシーの作成は完了です。

ユーザーの作成

1.コンソールメニューから、[アイデンティティ]→[ユーザー]をクリックします。

2.存在するユーザーの一覧画面が開きます。
 [ユーザーの作成]をクリックします。

3.ユーザーの作成ダイアログ画面が開きます。
 必要な項目を入力して、[作成]をクリックします。

4.ユーザー画面の一覧に作成したユーザーが表示されます。

5.コンソールメニューから、[アイデンティティ]→[グループ]をクリックし、作成した
 「NetworkAdminGroup」をクリックします。
 詳細画面が開きますので、[ユーザーをグループに追加]をクリックします。

6.ユーザー追加のダイアログが開きます。
 作成したユーザーを選択し[追加]をクリックします。

7.コンソールメニューから、[アイデンティティ]→[ユーザー]をクリックし、
 作成したユーザーをクリックします。
 詳細画面が開きますので、[パスワードの作成/リセット]をクリックします。

8.パスワードの作成/リセットのダイアログが開きます。
 ここで[パスワードの作成/リセット]をクリックすると、
 新規パスワードの発行が行われますのでコピーします。

9.作成したユーザーでOCIにサインインします。
 パスワードの変更を求められますので任意のパスワードを設定します。

以上でユーザーの作成は完了です。
これで、仮想クラウドネットワーク(VCN)の操作のみ許可されたユーザーとしてサインイン

できましたので、コンソールメニューから、[コンピュート]→[インスタンス]をクリックします。
そうすると、「表示する権限が無いため管理者に連絡してください」という旨のメッセージが表示されます。

このように、特定の操作のみを許可することで、ユーザーによる誤操作を防ぐなどの効果があります。

ポイント3.使用料金を意識しましょう

OCIの料金体系は、
 ・サービスを使用した分を後払い
 ・月額クレジットで前払い(超過分は追加請求)
の2パターンがあります。

前者は[Pay As You Go]と呼ばれ、従量課金制です。
後者は[Monthly Flex]と呼ばれ、例えるならばプリペイド制です。
OCIのコンソールメニューには、『どの期間』『どのコンパートメントで』『どのサービスが』『どれくらいの料金を』使用していたか確認する機能があります。
※コンソールメニューから、[アカウント管理]→[コスト分析]をクリックします。

また、[予算アラート]という機能を使用することで、使用料金の監視も可能です。
※詳細は「クラウドは使い過ぎが不安?そんな時はOCIの予算アラート設定で不安解消! 」の記事もご参照ください。

まとめ

今回は、OCIを使用する前に覚えてほしいポイントを3つ紹介しました。
クラウドサービスは、だれでも簡単に必要な分だけサービスを作成し利用できるというメリットがある反面、ユーザー管理や使用料金など気をつけるポイントも増えたと言えます。
以下マニュアルも併せてご参照いただき、OCIをより便利にかつ安全にご使用いただければと思います。

コンパートメントの管理
https://docs.oracle.com/cd/E97706_01/Content/Identity/Tasks/managingcompartments.htm

ユーザーの管理
https://docs.cloud.oracle.com/ja-jp/iaas/Content/Identity/Tasks/managingusers.htm

グループの管理
https://docs.cloud.oracle.com/ja-jp/iaas/Content/Identity/Tasks/managinggroups.htm

ポリシーの仕組み
https://docs.cloud.oracle.com/ja-jp/iaas/Content/Identity/Concepts/policies.htm

残高と使用の確認
https://docs.oracle.com/cd/E97706_01/Content/GSG/Concepts/costs.htm


執筆者情報

いちじょう だいさく プロフィール画像

2018年アシスト入社後、Oracle Databaseフィールド業務に従事。
2019年からはOracle Cloudのフィールド業務とサポート業務を兼務中。

保有資格
・Oracle Cloud Infrastructure 2019 Certified Architect Associate


アシスト データベース ウェビナー



■商標に関して
OracleとJavaは、Oracle Corporation 及びその子会社、関連会社の米国及びその他の国における登録商標です。
文中の社名、商品名等は各社の商標または登録商標である場合があります。

関連している記事

  • Oracle Database
  • Oracle Cloud
  • EDB Postgres
2020.09.17

DB関連セッション視聴ガイド 【アシストテクニカルフォーラム2020】

2020年10月22日(木)に開催されるオンライン技術フォーラム、アシストテクニカルフォーラム2020の全36セッションの中から、データベースに関連するセッションをご案内します。

  • Oracle Cloud
2020.06.26

OCI CLIを利用してコマンドラインからOCIを操作する方法

OCIは管理コンソールからサービスの作成・更新・起動・停止などの操作を行います。ほぼ同じ操作を実行可能なコマンドラインツール「OCI CLI」が提供されています。「この時間時間にサーバを停止したい」、「サーバの稼働状況をログとして残したい」など簡単に実現できます。

  • Oracle Cloud
2020.06.23

Computeインスタンスに繋がらない時の3つのチェックポイント

弊社サポートに「インスタンスを作ったが接続ができない」「ネットワークの設定変更をしたら接続ができなくなった」というご質問を多く頂きます。今回の記事ではインスタンスに接続ができない場合にOCIの設定でチェックするべきポイントをいくつかご紹介します。

ページの先頭へ戻る