OCI Tenancy 생성

OCI Tenancy 생성

오라클 클라우드 계정을 등록하면 OCI Tenancy가 위 그림과 같이 만들어집니다. 오라클 클라우드 계정이 생성될 때, Oracle IDCS와 OCI IAM이 관리자를 만들고 관리자 권한을 부여하는 과정을 소개합니다.

중심으로 사용자 계정과 권한이 설정되는 과정을 살펴보겠습니다.


이번 문서는 다음과 같은 목차로 구성됩니다.


오라클 클라우드 Tenancy 생성

오라클 클라우드 계정을 등록하면 해당 계정(Account)을 위한 Tenancy가 생성됩니다. OCI에서 테넌시는 완전히 독립되고 격리된 사용자 기준의 최상위 단위입니다. OCI에 생성된 계정이 바로 Tenancy라고 말할 수 있습니다. Tenancy가 만들어지는 과정을 살펴보겠습니다.

오라클 클라우드의 공식 브랜드명은 OCI입니다. 오라클 클라우드는 OCI 인프라스트럭처를 기반으로 하는 서비스와 OCI Classic 기반 PaaS로 구성됩니다. 여기서 OCI 인프라스트럭처도 OCI라고 합니다. 이 문서에서는 오라클 클라우드를 의미하는 OCIOCI 인프라스트럭처를 동시에 다룹니다. 그렇다 보니 단어 사용이 혼동될 수 있습니다. 따라서 오라클 클라우드 전체를 나타낼 때는 Oracle Cloud로 표기하고 OCI 인프라스트럭처 나타낼 때는 OCI로 표기하겠습니다.

Step 01: 오라클 클라우드 계정 등록

항목 설정값
Email tony.stark@avengers.io
Cloud Account avengers
Home Region Seoul

위 설정으로 Oracle Cloud 계정을 등록하면 OCI와 Oracle Cloud에 다음과 같은 작업이 진행됩니다. Tenancy와 인스턴스를 생성할 때 Cloud Account 항목에 입력한 설정을 사용합니다.

Step 02: 클라우드 사용자 생성

Oracle Cloud 계정 등록에서 입력한 Email과 패스워드 설정을 이용하여 Oracle IDCS와 OCI IAM은 각각 관리자(Administrator User)를 생성합니다. 위 설정에 따르면 Oracle IDCS와 OCI IAM은 tony.stark@avengers.in이라는 사용자를 만들고 동일한 패스워드를 설정합니다.

Oracle IDCS 권한 설정

Oracle IDCS는 tony.stark@avengers.in 사용자에게 다음과 같은 두 Role을 설정합니다.

Role 이름 권한
Cloud Account Administrator Oracle Cloud의 모든 서비스에 대한 관리자 권한 취득, 모든 자원의 모든 제어권 획득
Identity Domain Administrator Oracle Cloud IDCS의 관리자 권한 획득, Oracle IDCS에서 계정 관리 권한 획득

Oracle IDCS은 tony.stark@avengers.in에게 Oracle Cloud의 avengers 인스턴스에서 모든 자원을 사용하고 계정을 관리할 수 있는 권한을 할당합니다.

OCI IAM 권한 설정

OCI IAM은 tony.stark@avengers.in 사용자 만들고, 이 사용자를 Administrator 그룹에 포함합니다. Administrator 그룹은 다음에 관리자 권한이 부여되는 그룹입니다.

Step 03: IAM 관리자 권한 설정

OCI에서는 avengers 테넌시에 Root 컴파트먼트를 만듭니다. Root 컴파트먼트는 OCI에서 자원을 묶는 논리적 단위입니다. OCID는 모든 자원을 구분하는 구분자로 OCID를 사용합니다. Root 컴파트먼트의 OCID를 확인해보면 Tenancy OCID와 같은 것을 확인할 수 있습니다. 즉 avengers 테넌시의 Root 컴파트먼트의 실체는 avengers 테넌시입니다. OCI 자원을 논리적으로 묶는 최상위 그룹은 Tenancy가 되는 것은 당연해 보입니다. 다음 이미지는 Root 컴파트먼트와 Tenancy의 OCID를 확인하는 이미지입니다.

Root 컴파트먼트가 만들어진 다음에 OCI IAM은 Administrator 그룹에 Tenancy의 모든 자원에 대한 관리자 권한을 부여하는 Tenant Admin Policy를 적용합니다. 이제 Administrator 그룹에 포함된 tony.stark@avengers.in 사용자는 OCI의 Root 컴파트먼트 즉 Tenancy의 모든 자원에 대한 관리자 권한을 갖게 됩니다.

Step 04: Oracle IDCS 계정 Federation

Oracle IDCS는 avengers 인스턴스의 관리자인 tony.stark@avengers.in을 OCI에 동기화하여 OCI Synched User를 만듭니다. 이렇게 만들어지는 동기화 사용자는 접미사로 oracleidentitycloudservice/가 붙습니다. 따라서 OCI avengers 테넌시에는 oracleidentitycloudservice/tony.stark@avengers.io 사용자가 만들어집니다.

그리고 Oracle IDCS는 avengers 인스턴스의 OCI_Administrator 그룹을 OCI avengers 테넌시의 Administrator그룹에 매핑합니다. Oracle IDCS가 관리자 권한을 부여한 tony.stark@avengers.in는 OCI에 로그인 할 수 있고, OCI의 Administrator 그룹에 매핑된 Oracle IDCS의 OCI_Administrator 그룹에 소속되기 때문에 OCI avengers 테넌시에서 관리자 권한을 획득하게 됩니다.

요약

Oracle Cloud 계정을 등록하면 Oracle Cloud는 OCI Tenancy와 Oracle Cloud의 인스턴스를 설정한 Account 명으로 만듭니다. 그리고 OCI IAM과 Oracle IDCS로 각각 관리자 계정을 생성합니다.

OCI IAM과 Oracle IDCS는 Oracle Cloud 계정을 등록과정에서 설정한 E-mail과 패스워드로 계정을 생성합니다. 그리고 Oracle IDCS는 생성한 계정에 Cloud Account AdministratorIdentity Domain Administrator 롤을 설정하여 관리자 권한을 부여합니다. OCI IAM은 생성한 계정을 Administrator 그룹에 할당하고 이 그룹에 Tenancy의 모든 자원을 관리하는 Policy를 적용하여 관리자 권한을 부여합니다.

마지막으로 Oracle IDCS는 앞에서 생성한 관리자를 OCI_Administrator 그룹에 할당하고 이 그룹을 OCI Administrator 그룹에 매핑합니다. 그리고 Oracle IDCS가 생성한 관리자를 OCI에 동기화하는 Federation User를 만들어 로그인할 수 있도록 합니다.

Oracle Cloud 계정 생성 과정에서 만들어진 Oracle IDCS 관리자와 OCI IAM 관리자는 이러한 생성 과정을 통해서 Oracle Cloud의 모든 자원에 접근하고 관리할 수 있는 권한을 획득하게 됩니다.

  • 문서 생성: 2020-03-27 09:11 / 최종 문서 수정: 2020-03-27 09:11
  • 김태완 avatar
  • 작성자: 김태완
  • 사랑하는 민수와 데이터 관리, 데이터 분석 & 클라우드에 집중하고 있습니다.
  • E-mail: taewan.me@gmail.com
  • Disclaimer
    이 저작물은 Oracle과 관계없이 개인으로서 개인의 시간을 할애하여 작성된 글 입니다. 본 글의 내용, 입장, 예측은 Oracle을 공식적으로 절대 대변하지 않습니다.