Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OCI技術資料 : 組織管理 (Organization Management)

OCI技術資料 : 組織管理 (Organization Management)

OCIの技術説明資料 組織管理 (Organization Management) の概要資料です。
複数のテナンシの請求やコスト管理を一元化できる機能である「組織管理」に関して解説しています。

2022/4/12 新規作成
2022/6/2 わかりにくかった表記を修正

#oci #OCI #organizations

More Decks by Oracle Cloud Infrastructure ソリューション・エンジニア

Other Decks in Technology

Transcript

  1. Oracle Cloud Infrastructure 組織管理 Oracle Cloud Infrastructure Organization Management 2022/6/2

    日本オラクル株式会社 OCIソリューション部
  2. アカウント内セキュリティを分離する階層型管理 OCIにおける“テナント管理” Copyright – © 2022 Oracle and/or its affiliates.

    All rights reserved. 2 OCI テナンシ(テナント) コンパートメント コンパートメント コンパートメント ユーザー ユーザー リソース 組織管理(Organizations) 組織管理(Organizations): • 複数のテナンシでサブスクリプション(≒請求単位)を一元管理し たり、サブスクリプションを複数テナンシで共有して利用することが できる機能 • ユースケースとして、各テナンシで完全に分離された環境を持ちつ つ、請求を単一のサブスクリプションに統合したい場合などが挙げら れる コンパートメント・モデル: • コンパートメント とは、1つのテナンシ内のリソースの編成、および、 アクセスを制御できる “論理的な単位”(例えば、部署/用途 別などで、OCIリソースの集合体を作るなど) • 権限の付与を行う際、テナンシ全体ではなく コンパートメントを指 定することで、認可を与える範囲を調整できる • リソースは必ずどこか1つのコンパートメントに所属する必要がある • コンパートメントは、最大6レベルまでの深さを持つ階層構造で 作成できる コンパートメント テナンシ テナンシ
  3. 複数テナンシの請求やコストを一括して管理 • 複数のテナンシの請求やコスト管理を一元化できる機能 • 以前Unified BillingまたはSubscription Sharingと呼ばれていた機能が組織管理に統合されて進化 • 現時点で一元管理できるのは請求、コスト分析、コストレポートのみ。IAMやそのほかリソースはテナンシごとに独立。 組織管理サービス(Organization

    Management) Copyright – © 2022 Oracle and/or its affiliates. All rights reserved. 3 ユーザー ユーザー 親テナンシー 子テナンシ 子テナンシ 親テナンシ 親テナンシと子テナンシ • 親テナンシ: • 請求やコスト管理の親。子テナンシを含めたコスト分析が可能。 ※Pay As You GoまたはFree Tierのテナンシは子テナンシを追加できない • 子テナンシ: • 親テナンシのサブスクリプションを消費する、または同じ親テナンシ内で管理され ている別のサブスクリプションを適用することも可能 • 1つの親テナンシは、複数の子テナンシを持つことが可能 (1テナンシ当たり最大50まで) • 1つの子テナンシは、1つだけの親を持つことが可能 (子テナンシが更に親テナンシとして子を持つことは不可)
  4. • 下記2種類のいずれかの方法により、テナンシを組織管理下に追加することができる 1. 新規テナンシを子テナンシとして作成 • 子テナンシが作成されると自動的に親テナンシのデフォルト・サブスクリプションにマップされる。サブスクリプション・マッピングを変更することも可能 2. 既存テナンシを子テナンシとして招待する。子テナンシ側では招待の受け入れを行う。 • テナンシが組織に加わると、そのサブスクリプションは親テナンシによって管理される。

    • 子テナンシになると自動的に親テナンシのデフォルト・サブスクリプションにマップされる。サブスクリプション・マッピングを変更することも可能 • 招待された子テナンシは組織管理から削除することも可能。ただし削除する場合は元のサブスクリプションにマッピングを戻す必要がある。同じサ ブスクリプションに他のテナンシがマップされている場合は削除できない。 テナンシの追加方法 Copyright – © 2022 Oracle and/or its affiliates. All rights reserved. 4
  5. • 子テナンシを招待し、親テナンシの組織管理配下に管理対象のサブスクリプションが複数ある場合、サブスクリプションに各テナンシを 再マッピングすることで、利用するサブスクリプションを変更することも可能。 • テナンシの使用量は、そのレート・カード、クレジット消費およびサブスクリプション契約内のその他の契約を含め、マッピングしたサブスクリプションの条 件が適用される。 サブスクリプション・マッピング Copyright – ©

    2022 Oracle and/or its affiliates. All rights reserved. 5
  6. 1. 子テナンシが親テナンシのサブスクリプションを共有 • 一つのサブスクリプションで、複数のテナンシを持ちたい場合。あるいは、当初は別々の契約で開 始したが、環境再構築せずにあとからサブスクリプションを統合したい場合 • 新規作成や招待した子テナンシは、どちらも初期状態ではデフォルト・サブスクリプションにマッピン グされているのでこの状態になる。(その後、以下の2のようにマッピングを変更して別のサブスクリ プションに変更することも可能。) 2.

    子テナンシが親テナンシとは別のサブスクリプションを利用 • 子テナンシは親とは別のサブスクリプションを利用するが、親テナンシの管理者が子テナンシも含め てすべてのサブスクリプションのコスト状況を把握、管理したい場合 • 招待した子テナンシのサブスクリプション・マッピングを変更する。 3. 親テナンシが子テナンシのサブスクリプションを利用 • 何らかの理由であとから子テナンシのサブスクリプションに統一する必要が出てきた場合 • 親テナンシと子テナンシのサブスクリプション・マッピングを変更する。 サブスクリプション・マッピングのユースケース Copyright – © 2022 Oracle and/or its affiliates. All rights reserved. 6 Subscription A Parent Tenancy A Child Tenancy B Subscription B Subscription A Parent Tenancy A Child Tenancy B Subscription B Subscription A Parent Tenancy A Child Tenancy B Subscription B
  7. コスト分析 • 親テナンシのコスト分析にはすべてのテナンシのコストが含まれ、テナンシやサブスクリプションごとにフィルタやグループ化可能。親テナン シから全体の使用状況や、子テナンシ別、サブスクリプション別の使用状況の確認ができる。 • 子テナンシは自身のテナンシのコスト分析のみ可能。親テナンシのホーム・リージョンをサブスクライブする必要がある。 コスト・レポート統合 Copyright – ©

    2022 Oracle and/or its affiliates. All rights reserved. 7 テナンシA テナンシC テナンシB 親テナンシからコスト分析を参照した場合
  8. コストおよび使用状況レポート • コストおよび使用状況レポートは親テナンシでのみ生成される • レポートにはTenant ID列、Subscription ID列があるため、テナンシごとやサブスクリプションごとに明細を確認することも可能 • 子テナンシではレポート出力できない コスト・レポート統合

    Copyright – © 2022 Oracle and/or its affiliates. All rights reserved. 8
  9. 独立したスタンドアロンのテナンシ 親子関係のテナンシ(組織管理) コンパートメント分割 サブスクリプション (請求単位) • テナンシごとに異なるサブスクリプ ション • 他のテナンシのサブスクリプションを共有

    して消費することも、個別のサブスクリプ ションにすることも可能 • テナンシ内のコンパートメントはすべて同じサ ブスクリプションを消費 リソース • リソースは完全に分離している • サービス制限もテナンシごと • テナンシをまたいでリソースを移動 する際には再構築 • コスト、請求関連以外はリソースは完 全に分離している • サービス制限もテナンシごと • テナンシをまたいでリソースを移動する 際には再構築 • ユーザ管理(IAM)リソースなどのテナンシ に紐づくリソースは共通 • 権限設定次第でコンパートメントをまたいで リソースを共有して利用することも可能 • リソースをコンパートメント移動可能 環境へのログイン、 IAM • 個別環境へのログイン • IDとアクセス管理自体が独立 • 個別環境へのログイン • IDとアクセス管理自体が独立 • テナンシ内で共通。ただしIAM Identity Domainを利用することでユーザ管理やログ イン方法を分けることも可能。 管理者 • 独立したテナンシ管理者 • 独立したテナンシ管理者 • テナンシ管理者は共通 • 権限設定で各コンパートメント内の管理権 限をユーザに付与 コスト管理 • テナンシごとに独立 • 親テナンシの管理者が全ての子テナン シのコスト状況を参照できる • 子テナンシの管理者は自テナンシ内の コスト分析のみ可能 • テナンシ内で共通 (コンパートメントごとにコスト分析やコストレポートの参 照権限を制限することはできない) 独立したテナンシ、親子関係のテナンシとコンパートメントの違い Copyright – © 2022 Oracle and/or its affiliates. All rights reserved. 9 要件に応じてどの単位で管理すべきかを判断する
  10. None