甲骨文云：掌握云服务平台的最佳实践

当您的云服务商如Oracle为您创建了云租户后，公司的管理员需要执行一些设置任务并为您的云资源和用户制定组织计划。利用本文内容，帮助您快速入门。

制定计划

在添加用户和资源之前，您应该为您的租户制定一个计划。制定计划的基础是理解Oracle云基础设施身份和访问管理（IAM）的组成部分。确保您阅读并理解IAM的功能。请参阅身份和访问管理概述。

您的计划应包括用于组织资源的隔离层级结构，以及需要访问这些资源的用户组定义。这两点将影响您编写管理访问的策略，因此应同时考虑。

使用以下入门主题帮助您开始制定计划：

• 理解隔离层级
• 考虑谁应该访问哪些资源

理解隔离层级

隔离层级是您用来组织云资源的主要构建块。您可以使用隔离层级来组织和隔离资源，从而更轻松地管理和保护对它们的访问。

当您的租户被配置时，会为您创建一个根隔离层级（您的租户就是您的根隔离层级）。您的根隔离层级包含所有云资源。您可以将根隔离层级视为文件系统中的根文件夹。

您第一次登录控制台并选择服务时，将看到您的一个根隔离层级。

在您的根隔离层级下，您可以创建子隔离层级来组织云资源，使之符合您的资源管理目标。创建隔离层级时，您可以通过制定策略来控制对它们的访问，这些策略规定了用户组可以对这些隔离层级中的资源采取什么行动。

• 开始使用隔离层级时，请记住以下几点：

• 当您创建资源（例如，实例、块存储卷、虚拟云网络、子网）时，您必须决定将其放在哪个隔离层级中。
• 隔离层级是逻辑上的，而非物理上的，所以相关的资源组件可以放置在不同的隔离层级。例如，您的云网络子网如果可以访问互联网网关，可以在与同一云网络中的其他子网不同的隔离层级中进行安全管理。
• 您可以在租户（根隔离层级）下创建最多六层深度的隔离层级。
• 当您编写策略规则以授予用户组对资源的访问时，您总是需要指定应用访问规则的隔离层级。因此，如果您选择在多个隔离层级中分布资源，请记住您需要为需要访问这些资源的用户提供每个隔离层级的适当权限。
• 在控制台中，隔离层级的行为类似于过滤器，用于查看资源。当您选择一个隔离层级时，您只能看到该隔离层级中的资源。要查看另一个隔离层级中的资源，您必须先选择该隔离层级。您可以使用搜索功能获取跨多个隔离层级的资源列表。请参阅搜索概述。
• 您可以使用租户资源管理器查看特定隔离层级中的所有资源（跨区域）。请参阅查看隔离层级中的所有资源。
• 如果您想删除一个隔离层级，您必须先删除该隔离层级中的所有资源。
• 最后，在规划隔离层级时，您应该考虑如何希望汇总使用情况和审计数据。

考虑谁应该访问哪些资源

在规划您的租户设置时的另一个主要考虑因素是谁应该访问哪些资源。定义不同用户组需要如何访问资源将帮助您更有效地规划组织资源，从而更容易编写和维护您的访问策略。

例如，您可能会有需要：

• 查看控制台，但不被允许编辑或创建资源的用户
• 在几个隔离层级中创建和更新特定资源的用户（例如，需要管理您的云网络和子网的网络管理员）
• 启动和管理实例及块卷，但不能访问您的云网络的用户
• 在特定隔离层级中对所有资源拥有完全权限的用户
• 管理其他用户的权限和凭据的用户 要查看一些示例策略，请参阅常见策略。

示例方法设置隔离层级

将所有资源放在租户（根隔离层级）中

如果您的组织规模较小，或者您仍处于评估Oracle云基础设施的概念验证阶段，您可能会考虑将所有资源放在根隔离层级（租户）中。这种方法使您能够快速查看和管理所有资源。您仍然可以编写策略并创建群组，以限制特定资源的权限，仅供需要访问的用户使用。

设置单一隔离层级方法的高级任务：

1. （最佳实践）创建一个沙盒隔离层级。即使您计划将资源保留在根隔离层级中，Oracle建议设置一个沙盒隔离层级，以便您可以为用户提供专门的空间来尝试功能。在沙盒隔离层级中，您可以授予用户创建和管理资源的权限，同时在您的租户（根）隔离层级中保持更严格的权限。请参阅创建沙盒隔离层级。
2. 创建群组和策略。请参阅常见策略。
3. 添加用户。请参阅管理用户。

创建隔离层级以符合公司项目

如果您的公司有多个部门，您希望分别管理，或者公司有几个不同的项目，单独管理会更容易，可以考虑这种方法。

在这种方法中，您可以为每个隔离层级（项目）添加一个专门的管理员群组，他们可以为该项目设置访问策略。（用户和群组仍然必须在租户级别添加。）您可以授予一个群组对其所有资源的控制权，同时不允许他们对根隔离层级或任何其他项目拥有管理员权限。这样，您可以使公司的不同群组为他们自己的资源建立自己的“子云”，并独立管理它们。

设置多个项目方法的高级任务：

1. 创建一个沙盒隔离层级。Oracle建议设置一个沙盒隔离层级，这样您可以为用户提供专门的空间来尝试功能。在沙盒隔离层级中，您可以授予用户创建和管理资源的权限，同时在您的租户（根）隔离层级中保持更严格的权限。
2. 为每个项目创建一个隔离层级，例如，ProjectA、ProjectB。
3. 为每个项目创建一个管理员群组，例如，ProjectA_Admins。
4. 为每个管理员群组创建一个策略。
5. 添加用户。请参阅管理用户。
6. 让ProjectA和ProjectB的管理员在他们指定的隔离层级内创建子隔离层级来管理资源。
7. 让ProjectA和ProjectB的管理员创建管理其隔离层级访问的策略。

创建隔离层级以符合您的安全要求

如果您的公司有需要不同安全级别的项目或应用程序，请考虑这种方法。

安全区域与隔离层级和安全区域配方关联。在安全区域中创建和更新资源时，Oracle云基础设施会根据安全区域配方中的策略验证这些操作。如果违反了任何安全区域策略，则操作将被拒绝。默认情况下，任何子隔离层级也在同一安全区域中。

安全区域策略符合Oracle安全原则，包括：

• 安全区域中的数据不能复制到区域外的隔离层级中，因为可能安全性较低。
• 安全区域中的资源不得从公共互联网访问。
• 安全区域中的资源必须仅使用Oracle批准的配置和模板。

在这种方法中，您为必须遵守我们的最大安全架构和最佳实践的项目创建隔离层级和安全区域。对于不需要这种安全合规性级别的项目，您创建不在安全区域中的隔离层级。您还可以为您的安全区域创建自定义配方，仅启用可用策略的子集。

与前一种方法类似，您可以为每个隔离层级添加一个专门的管理员群组，然后为该单一项目设置访问策略。

• 访问（IAM）策略授予用户在隔离层级中管理某些资源的能力。
• 安全区域策略确保在安全区域隔离层级中的管理操作符合Oracle安全最佳实践。

开启您的Oracle云之旅：Agilewing - 您的智能云服务伙伴

作为Oracle的高级合作伙伴，Agilewing正重新定义企业体验Oracle云服务的方式。借助于其简化的开户流程和一流的技术支持，Agilewing将复杂的开户和操作流程转化为一种轻松、直观的体验。通过我们的一站式服务，您可以迅速开启并享受Oracle云的全方位服务，从而无缝融入云端世界。

Agilewing的AgileCDN服务，结合了OCI的云基础服务，提供了一流的全球内容加速解决方案。超过2800个全球POP节点和7000个直连点的强大网络，确保了无论您的业务扩展到全球哪个角落，都能保持高效稳定的运行。

利用Oracle云的先进技术，Agilewing致力于简化云服务搭建、云迁移和业务出海的过程。我们的合作模式为客户带来经济高效的解决方案，使他们能够更加专注于核心业务，同时享受Oracle云的高性能和安全保障。

Oracle云服务，作为一个充满潜力的领域，以其高性能、安全性和全球统一的服务标准，为各类企业开启了新的机遇之门。通过Agilewing的专业服务，无论是个人用户还是企业，都能轻松步入这个充满技术革新和高效能的新时代。现在，就让Agilewing引领您开始探索Oracle云服务，打开一个全新的世界大门。

如您想咨询 Oracle 的相关业务，可联系搜索微信号：lhh1843812463 或 woshiwhw123

或者可以进入以下群组进行咨询：

微信公众号

微信技术交流社群：