Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OCI技術資料 : 組織管理 (Organization Management)

OCI技術資料 : 組織管理 (Organization Management)

OCIの技術説明資料 組織管理 (Organization Management) の概要資料です。
複数のテナンシの請求やコスト管理を一元化できる機能である「組織管理」に関して解説しています。

2022/4/12 新規作成
2022/6/2 わかりにくかった表記を修正
2023/2/10 最新情報を反映(予算、ガバナンスルール)、子テナント追加方法のスライドを追加
2023/6/13 最新情報を反映
2023/6/28 招待テナンシの削除について追加。絵を修正。
2024/3/7: サービス制限引き上げが必要な旨を追記
2024/6/13: PAYGの記述を修正
2024/7/23: 価格タイプ別の可否を追加
2024/08/09: サービス制限のデフォルト値の記載を最新情報に合わせて修正、招待テナンシのリージョンの注意点を追加。
2025/02/27: 最新情報に合わせて改定。子テナンシ作成や招待時の手順の詳細化、作成された子テナンシの転送の手順追加、サービス制限やIAMポリシーのスライド追加、その他のこまかなアップデート

#oci #OCI #organizations

More Decks by Oracle Cloud Infrastructure ソリューション・エンジニア

Other Decks in Technology

Transcript

  1. 組織管理 テナンシA コンパートメントB コンパートメントD コンパートメントA OCIにおける“テナント管理” Copyright – © 2025

    Oracle and/or its affiliates. All rights reserved. 2 組織管理 リソース 組織管理(Organization Management): • 複数のテナンシでサブスクリプション(≒請求単位)やコストを一 元管理したり、サブスクリプションを複数テナンシで共有して利用 することができる機能 • ユースケースとして、各テナンシで完全に分離された独立した環境 を持ちつつ、請求は単一のサブスクリプションを利用したい場合や、 コストを一元管理したい場合などが挙げられる コンパートメント・モデル: • コンパートメント とは、1つのテナンシ内のリソースの編成、および、 アクセスを制御できる “論理的な単位”(例えば、部署/用途 別などで、OCIリソースの集合体を作るなど) • 権限の付与を行う際、テナンシ全体ではなく コンパートメントを指 定することで、認可を与える範囲を調整できる • リソースは必ずどこか1つのコンパートメントに所属する必要がある • コンパートメントは、最大6レベルまでの深さを持つ階層構造で 作成できる コンパートメント サブスクリプションA テナンシB テナンシA サブスクリプションB テナンシC コンパートメントC
  2. 複数テナンシの請求やコストを一括して管理 • 複数のテナンシの請求やコスト管理を一元化できる機能 • 以前Unified BillingまたはSubscription Sharingと呼ばれていた機能が組織管理に統合されて進化 • 現時点で一元管理できるのは請求、コスト分析、コストレポート、予算、ガバナンス・ルール。 •

    IAMやネットワーク、インスタンス等の通常のリソースはテナンシごとに独立。 組織管理サービス(Organization Management) Copyright – © 2025 Oracle and/or its affiliates. All rights reserved. 3 親テナンシー 子テナンシ 子テナンシ 親テナンシ 親テナンシと子テナンシ • 親テナンシ: • 請求やコスト管理の親。子テナンシを含めたコスト分析が可能。 • Free Tierやトライアル・テナンシは子テナンシを持てない。 • 子テナンシ: • 親テナンシのサブスクリプションを消費する、または同じ親テナンシ内で管理され ている別のサブスクリプションを適用することも可能 • 1つの親テナンシは、複数の子テナンシを持つことが可能 • 1つの子テナンシは、1つだけの親を持つことが可能 (子テナンシが更に親テナンシとして子を持つことは不可) 子テナンシ 子テナンシ 注)利用する際は親テナンシにて組織管理のサービス制限を確認の上、必要に応じてサービス制限の引き上げリクエストを行うこと
  3. 2種類のいずれかの方法により、テナンシを組織管理下に追加することができる A) 新規テナンシを子テナンシとして作成 • 子テナンシが作成されると自動的に親テナンシのデフォルト・サブスクリプションにマップされる。サブスクリプション・マッピングを変更することも可能 B) 既存テナンシを子テナンシとして招待する。子テナンシ側では招待の受け入れを行う。 • テナンシが組織に加わると、そのサブスクリプションも組織管理の中に持ち込むことになり、親テナンシによって管理される。 •

    子テナンシになると自動的に親テナンシのデフォルト・サブスクリプションにマップされる。サブスクリプション・マッピングを変更することも可能 • 招待された子テナンシは組織管理から削除することも可能。ただし削除する場合は元のサブスクリプションにマッピングを戻す必要がある。同じサブス クリプションに他のテナンシがマップされている場合は削除できない。 子テナンシの追加方法 Copyright – © 2025 Oracle and/or its affiliates. All rights reserved. 4
  4. 親テナンシから新規子テナンシを作成する手順 その1 1. 親となるテナンシのコンソールから「新規テナンシの作成」 • テナンシ名 • ホーム・リージョン • 管理者のメールアドレス

    A) 新しい子テナンシを作成 Copyright – © 2025 Oracle and/or its affiliates. All rights reserved. 5 注) • 新規作成する子テナンシのホーム・リージョンにかかわらず、親テナンシ のホーム・リージョンで作成操作を行う必要がある。 • 新規作成する子テナンシのホーム・リージョンは、親テナンシがサブスクラ イブしているリージョンの中から選択可能。 2. サブスクリプション・マッピングの設定 • この組織管理のデフォルトのサブスクリプション、もしくはすで にこの組織管理内に存在する他のサブスクリプションにマッ ピングすることを選択することも可能。
  5. 親テナンシから新規子テナンシを作成する手順 その2 A) 新しい子テナンシを作成 Copyright – © 2025 Oracle and/or

    its affiliates. All rights reserved. 6 3. ガバナンス・ルールの設定(オプション) • 作成済みのガバナンス・ルールを適用する場合に選択 4. サマリーの確認 • サマリーを確認し、「テナンシの作成」をクリック
  6. 親テナンシから新規子テナンシを作成する手順 その3 • 数分すると、指定した管理者メール・アドレスにメールが送付される。 • 件名:Your Oracle Tenancy is Ready.

    • 送信元:[email protected] • メールを受信した子テナンシ管理者はメールの「Activate Tenancy」 リンクから新規テナンシのアクティベーションを行う。 作成直後の子テナンシのサブスクリプション・マッピングの状態 • 新規作成された子テナンシは自身のサブスクリプションは持っていない。 • 作成ウィザード内で指定したサブスクリプションにマッピングされている。 • 他に招待された子テナンシがない環境であれば、親テナンシのサブスクリプション しか存在しないので、以下のようになる。 A) 新しい子テナンシを作成 Copyright – © 2025 Oracle and/or its affiliates. All rights reserved. 7 Subscription A Organization Child Tenancy B Parent Tenancy A 送信されるメールのイメージ
  7. 既存のテナンシを子テナンシとして招待する手順 その1 B) 既存テナンシの招待 Copyright – © 2025 Oracle and/or

    its affiliates. All rights reserved. 8 注)招待する子テナンシがサブスクライブしているリージョンは全て 親テナンシはサブスクライブしている必要がある。親がサブスクライブ していないリージョンが含まれる場合は、あらかじめ親テナンシ側でそ のリージョンのサブスクライブを行うこと。 1. 親テナンシとなるテナンシのコンソールから「テナンシの招待」 • 招待名 • 受信者テナンシのOCID • 受取人電子メールアドレス(管理権限のあるユーザ) 2. ガバナンス・ルールの設定(オプション) • 作成済みのガバナンス・ルールを適用する場合に選択 3. サマリーを確認して、「テナンシの招待」をクリック
  8. 既存のテナンシを子テナンシとして招待する手順 その2 4. 招待された子テナンシ側で権限のあるユーザーとしてログインし、 受信した招待(ステータス「保留中」タイプ「受信済み」となって いる)の右にあるトリコロンのメニューから「招待に応じる」を選択。 • 受け入れない場合、招待は30日で失効 5. 親テナンシ側の画面、子テナンシ側の画面いずれも、招待のス

    テータスが「受入れ済」となったことを確認する。 • 招待受け入れ後、親テナンシのサブスクリプションを消費す るようになるまでは1時間程度かかる B) 既存テナンシの招待 Copyright – © 2025 Oracle and/or its affiliates. All rights reserved. 9 Subscription A Organization Child Tenancy B Parent Tenancy A Subscription B 招待受け入れ直後の子テナンシのサブスクリプション・マッピングの状態 • もともと持っていたサブスクリプションも組織管理の管理下に持ち込んでくることになる。 • 参加直後は組織管理のデフォルトのサブスクリプション(親テナンシのサブスクリプション)にマッピングされる。後から変更することも可能。
  9. 価格モデルによって、子テナンシの新規作成または招待の可否が異なる 価格モデルごとの組織管理の利用可否 Copyright – © 2025 Oracle and/or its affiliates.

    All rights reserved. 10 価格モデル 子テナンシを新規作成 子テナンシを招待 子テナンシとして招待される Pay As You Go No Yes Yes Annual Commit Yes Yes Yes Funded Allocation Yes Yes Yes Trial / Free Tier No No No
  10. 1. 子テナンシが親テナンシのサブスクリプションを共有 • 一つのサブスクリプションで、複数のテナンシを持ちたい場合。あるいは、当初は別々の契約で開 始したが、環境再構築せずにあとから同じサブスクリプションを使わせたい場合 • 新規作成や招待した子テナンシは、どちらも初期状態ではデフォルト・サブスクリプションにマッピン グされているのでこの状態になる。(その後、以下の2のようにマッピングを変更して、組織管理の 配下の別のサブスクリプションに変更することも可能。) 2.

    子テナンシが親テナンシとは別のサブスクリプションを利用 • 子テナンシは親とは別のサブスクリプションを利用するが、親テナンシの管理者が子テナンシも含め てすべてのサブスクリプションのコスト状況を把握、管理したい場合 • 招待した子テナンシのサブスクリプション・マッピングをあとから変更する。 3. 親テナンシが子テナンシのサブスクリプションを利用 • 何らかの理由であとから子テナンシのサブスクリプションから消費する必要が出てきた場合 • 親テナンシと子テナンシのサブスクリプション・マッピングを変更する。 サブスクリプション・マッピングのユースケース Copyright – © 2025 Oracle and/or its affiliates. All rights reserved. 12 Subscription A Organization Child Tenancy B Parent Tenancy A Subscription B Subscription A Organization Child Tenancy B Parent Tenancy A Subscription B Subscription A Organization Child Tenancy B Parent Tenancy A Subscription B
  11. • 親から新規作成された子テナンシは組織管理から削除して独立させることはできないが、別の親テナンシの下の子テナンシとして移動 させることは可能。 • 注)招待された子テナンシの場合はこの手順は利用できません。前述の組織管理からの削除を行い一度テナンシとして独立さ せてから、再度新しい親テナンシから招待を受ける必要があります。 • 手順詳細はドキュメントを参照 • https://docs.oracle.com/ja-jp/iaas/Content/General/organization/approve-createdchildtenancy-for-

    transfer.htm • 現行の親テナンシで以下のOCI CLIコマンドを使用して、自分が作成した子テナンシを別の組織に転送することを許可する • 実行例 1. 現・親テナンシの管理ユーザーとして以下のOCI CLIを実行 2. 新・親テナンシから、通常通りの「既存テナンシの招待」の手順を実施 3. 必要なテナンシ分繰り返す。 親から新規作成された子テナンシを別の組織管理配下に移動する方法 Copyright – © 2025 Oracle and/or its affiliates. All rights reserved. 14 oci organizations organization-tenancy approve-organization-tenancy-for-transfer oci organizations organization-tenancy approve-organization-tenancy-for-transfer --compartment-id <現親テナンシのテナ ンシOCID> --organization-tenancy-id <対象の子テナンシのOCID>
  12. 親テナンシから子テナンシのリソースを管理するためのルール設定が可能 3つのガバナンス・ルール・タイプ: • 許可されるリージョン: ターゲット・テナンシがサブスクライブできる1つ以上のリージョン。(※許可されるリージョンに含まれていないリー ジョンで、既にサブスクライブされている場合は、そのリージョンにサブスクライブされたままになる) • 割当て制限ポリシー: Quotaを設定して、サービス内のリソース数を制限するか、特定のサービスを無効にする。 •

    タグ: 一貫したタグ付けのためにタグ・ネームスペースを共有することも、すべてのリソースがタグ付けされるようにタグのデフォルトを定義 することも可能。 ガバナンス・ルール Copyright – © 2025 Oracle and/or its affiliates. All rights reserved. 18 ガバナンス・ルールで親テナンシから 設定されたポリシーは子テナンシ側で はロックされ、編集することはできない
  13. • 各テナンシの管理ユーザー(manage all-resources in tenancyの権限を持つユーザー)であれば特別な権限は不要 • 組織管理を使用するためのIAMポリシー • 招待される子テナンシ側で招待を受け入れるためのIAMポリシー 組織管理の操作に必要なIAMポリシー

    Copyright – © 2025 Oracle and/or its affiliates. All rights reserved. 19 Allow group linkUsers to use organizations-family in tenancy Allow group linkAdmins to manage organizations-family in tenancy allow group linkAccepters to manage organizations-recipient-invitations in tenancy
  14. 独立したスタンドアロンのテナンシ 親子関係のテナンシ(組織管理) コンパートメント分割 サブスクリプション (請求単位) • テナンシごとに異なるサブスクリプ ション • 他のテナンシのサブスクリプションを共有

    して消費することも、個別のサブスクリプ ションにすることも可能 • テナンシ内のコンパートメントはすべて同じサ ブスクリプションを消費 リソース • リソースは完全に分離している • サービス制限もテナンシごと • テナンシをまたいでリソースを移動 する際には再構築 • コスト、請求関連以外はリソースは完 全に分離している • サービス制限もテナンシごと • テナンシをまたいでリソースを移動する 際には再構築 • ユーザ管理(IAM)リソースなどのテナンシ に紐づくリソースは共通 • 権限設定次第でコンパートメントをまたいで リソースを共有して利用することも可能 • リソースをコンパートメント移動可能 環境へのログイン、 IAM • 個別環境へのログイン • IDとアクセス管理自体が独立 • 個別環境へのログイン • IDとアクセス管理自体が独立 • テナンシ内で共通。ただしIAM Identity Domainを利用することでユーザ管理やログ イン方法を分けることも可能。 管理者 • 独立したテナンシ管理者 • 独立したテナンシ管理者 • テナンシ管理者は共通 • 権限設定で各コンパートメント内の管理権 限をユーザに付与 コスト管理 • テナンシごとに独立 • 親テナンシの管理者が全ての子テナン シのコスト状況を参照できる • 子テナンシの管理者は自テナンシ内の コスト分析のみ可能 • 子テナンシの予算を設定可能 • テナンシ内で共通 (コンパートメントごとにコスト分析やコストレポートの参 照権限を制限することはできない) • コンパートメントごとに予算を設定可能 独立したテナンシ、親子関係のテナンシとコンパートメントの違い Copyright – © 2025 Oracle and/or its affiliates. All rights reserved. 21 要件に応じてどの単位で管理すべきかを判断する
  15. マッピングされているサブスクリプションのクレジットが枯渇した場合、自動的にあまっているサブスクリプションから消費できますか? • いいえ、組織管理の機能では自動的に別のサブスクリプションから消費するようなことは行いません。 • 各テナンシが利用するサブスクリプションを変更したい場合にはユーザー側でサブスクリプション・マッピングの変更を行ってください。 サポートのSR問い合わせはどうなりますか? • 2024年11月から導入された新しいMy Oracle Cloud

    Support (CMOS)の仕組みによって、親テナンシから新規作成した子テナンシ用にも自動的にユーザーグループが作 成されるようになりました。子テナンシごとに別のユーザーグループを利用することが可能です。 サービス制限はテナンシごとに別ですか? • サービス制限はテナンシごとで独立しています。 子テナンシごとの利用金額に制限をかけられますか? • 制限をかけることはできませんが、「予算」機能で閾値を設けてアラートを上げることは可能です。 FAQ Copyright – © 2025 Oracle and/or its affiliates. All rights reserved. 22