OKE、OCIRを使うときに権限制御するための設定まとめ
このエントリーはOracle Cloud アドベントカレンダーその2の22日目です。
今回はOracleが提供するコンテナ関連のクラウドサービスである、OKE、OCIRを使う上での、準備に当たる作業の話を書きたいと思います。
- OKE:
- Oracle Container Engine for Kubernetes
- Oracleが提供するマネージドKubernetesサービス
- OCIR
これらを使うには、Policyと呼ばれるアクセス権限の設定を予めしておく必要があります。 このエントリーでは、それら必要な権限周りの設定を整理したいと思います(他のエントリーではそのエントリーで必要なものだけ書いているので)。
管理者権限を打ち込めばすぐに使えるようにはなりますが、ちゃんと権限を分けたいときにはこの情報を算用してください。
OKEを使うために必要なポリシー
注: in tenancyをin compartment [コンパートメント名]のようにすると、権限の及ぶ範囲をコンパート名に絞る事ができます。
OKEのPaaSに与える権限OKEを使つときは必須
- Statement:
Allow service OKE to manage all-resources in tenancy
- 説明:
- OKEのPaaSに権限を与えるための特殊なポリシー。OKEを使うときはこれを必ず作る。これがないと始まらない
- Statement:
OKEクラスターとNode Poolを操作する権限
OKEクラスターとNode Poolを操作する権限 + ネットワークの操作権限
- Statement:
Allow group [グループ名] to manage cluster-family in tenancyAllow group [グループ名] to manage virtual-network-family in tenancy
- 説明:
- OKEをネットワークも含めて作ったり操作したいときに必要な権限。2つ目の方は下回りのネットワークを操作するためのもの
- OKE作成のダイアログで
quick clusterを使うときにはこの権限が必要
- Statement:
OKEクラスターを参照する権限
- Statement:
Allow group [グループ名] to inspect clusters in tenancy
- 説明:
- OKEのクラスターを参照する権限
- Statement:
OKEクラスターのNode Poolを操作する権限
- Statement:
Allow group [グループ名] to use cluster-node-pools in tenancy
- 説明:
- 作成済みのOKEクラスターのNode Poolを追加、削除、アップデート(構成変更など)する権限
- Statement:
OKEクラスターへの操作の監査情報を参照する権限
- Statement:
Allow group [グループ名] to read cluster-work-requests in tenancy
- 説明:
- OKEクラスターへの操作の監査情報を参照する権限
- Statement:
OCIRを使うために必要なポリシー
以下は全てを網羅したものではありませんが、ほとんどのケースはこれらがあれば大丈夫かと思います。
リポジトリの閲覧権限
- Statement:
Allow group [グループ名] to inspect repos in tenancy
- 説明:
- OCIRのリポジトリの閲覧権限
- Statement:
イメージの取得権限(全てのリポジトリ)
- Statement:
Allow group [グループ名] to read repos in tenancy
- 説明:
- OCIRの全てのリポジトリのイメージをpullする権限
- Statement:
イメージの取得権限(リポジトリを限定)
イメージの登録権限(全てのリポジトリ)
- Statement:
Allow group [グループ名] to use repos in tenancy
- 説明:
- OCIRの全てのリポジトリにイメージをpushする権限
- Statement:
イメージの登録権限(リポジトリが存在しない場合に新たに作る権限も追加)
OCIRへのフルアクセス
- Statement:
Allow group [グループ名] to manage repos in tenancy
- 説明:
- テナント内のリポジトリに対する全権限
- Statement:
