はじめに
本記事では OCI Organization Management についてまとめていきます。
- 親テナンシのサブスクリプションタイプは PAYG で試しています
概要
OCI Organization Management では、複数テナンシの以下機能及びコンポーネントを一元管理することが可能となります。
- サブスクリプション (≒ 請求単位)
- コスト分析
- コストレポート
- 予算
- ガバナンス・ルール
- リソースの一元管理や、テナンシを跨いだ SSO 機能はないのでご注意
(いつかできるようになることを期待)
実践
サービス制限引き上げリクエスト実施
以下の通り、デフォルトではクォータにより子テナンシの作成及び招待ができない ため、サービス制限の引き上げリクエストを実施します。
引き上げ前の値を一応確認すると、確かに上記ドキュメント通りでした。
それでは実際にやっていきましょう。
OCI コンソール左上のハンバーガーマークをクリックし、Governance & Administration → Limits, quotas and usage をクリックします。
画面左上の Request a service limit increase をクリックします。
各項目以下の通り入力し、 Create Support Request をクリックします。
※今回は上限値を 5 にしています。
クリックすると Support → Service Limit Updates 画面に遷移し、サポートリクエストが作成されます。
そして、リクエストを実施したユーザーのメールアドレスにリクエストを受け付けた旨のメールが届きます。
( 日本時間 2026/3/8(日) 20:57 )
メールは来てないですが、サポートリクエストの画面を確認するとステータスが Pending with customer となっており、コメントが追加されていました。 ( 日本時間 2026/3/9(月) 13:56 )
コメントの原文は以下の通り。
Dear Customer
Thank you for your interest in Oracle Cloud Infrastructure!
Please note that your request is being reviewed and we will get back with an answer as soon as possible. Meanwhile we need this mandatory information for our records
* Provide details on how the *Child Tenancies* will be used to accomplish your business needs and the need for the amount requested. If you are inviting existing tenancies, provide the list of tenancies you plan to invite.
* Agreement needed: Please confirm that you (and all tenancy administrators) have reviewed and understand the OCI Security Guide documentation available: [https://docs.oracle.com/en-us/iaas/Content/Security/Concepts/security\_guide.htm\]
Thank you
Add comment から以下の文章を追加してみます。
( 日本時間 2026/3/9(月) 16:28 )
追加すると、ステータスが Pending with Oracle に変わるので返信が来るのを待ちます。
Dear Oracle Cloud Infrastructure Customer Support
Thank you for your assistance.
The primary purposes for using child tenancies are as follows:
1. Verifying the centralized cost management functionality in a multi-tenant environment
2. Verifying the governance rule functionality in a multi-tenant environment
The specified quantity requirement represents the maximum number of child tenancies that may be added during the aforementioned verification process.
Thank you
Kind regards
時間をおいて再度確認すると、ステータスが再度 Pending with customer となっており、コメントが追加されていました。 ( 日本時間 2026/3/10(火) 9:31 )
コメントの原文は以下の通り。
最初に来たコメントの一部に返信が出来てなかったので再確認のコメントが来てました。
* Agreement needed: Please confirm that you (and all tenancy administrators) have reviewed and understand the OCI Security Guide documentation available: [https://docs.oracle.com/en-us/iaas/Content/Security/Concepts/security\_guide.htm\]
Add comment から以下の文章を追加してみます。
( 日本時間 2026/3/10(火) 10:36 )
追加すると、ステータスが Pending with Oracle に変わるので返信が来るのを待ちます。
I have reviewed and understood the OCI Security Guide documentation. I agree to its contents.
時間をおいて再度確認すると、ステータスが Closed となっており、コメントが追加されていました。 ( 日本時間 2026/3/10(火) 12:47 )
コメントの原文は以下の通り。
PAYG では 最大値は 3 だそうです。
Dear Customer,
Thank you for utilizing Oracle for your cloud infrastructure needs.
Your request was approved for 3 child tenancies. This is the max value allowed for a PAYGO account. If you need more child tenancies you have to upgrade to any of our Universal Credits Subscription models available
If anything else is needed, please don’t hesitate to submit additional requests
Thank you!
Kind Regards
- 迅速な対応でした
- サポートリクエストのステータス変更やクローズによるメールは来なかったので、随時確認するか通知がくる仕組みを作る必要があるかもしれません
引き上げ後の値を確認すると、反映されているのが確認できました。
新規子テナンシ作成
早速子テナンシを作成していきます。
- 今回は実施しませんが、既に存在するテナンシを招待することも可能です
- その場合は 招待するテナンシがサブスクライブしているリージョンを親テナンシ側でサブスクライブしている必要があります
OCI コンソール左上のハンバーガーマークをクリックし、Governance & Administration → Tenancies をクリックします。
Actions → Create new tenancy をクリックします。
各情報を入力していきます。
テナンシ名は組織内で一意である必要があります。
ホームリージョンは、親テナンシがサブスクライブしているリージョンからのみ選択が可能です。
2つのメールアドレス入力欄には、作成するテナンシのルートユーザーのメールアドレスを入力します。
サブスクリプションは親テナンシが保持しているサブスクリプションから選択が可能です。
ガバナンスルールは後からでも設定が可能なのでこの時点ではスキップします。
入力内容を確認し、問題なければ Create tenancy をクリックします。
テナンシの準備が完了すると、作成時に登録したメールアドレスへメールが届きます。
Active Tenancy をクリックしてアクティブ化します。
- メールを受信してから 7 日以内にアクティブ化する必要があります
-
アクティブ化 = 対象ユーザーでコンソールにログインです
アクティブ化が完了すると、テナンシ一覧にてステータスが ACTIVE になります。
これで新規テナンシの作成は完了です。
ガバナンスルール検証
ガバナンスルールを検証していきます。
ガバナンスルールを適用するには、適用対象のテナンシを明示的にオプトインする必要があります。
- 親テナンシにもガバナンスルールを適用するには、親テナンシ自身もオプトインする必要があります
- 子テナンシのオプトインは、親テナンシ or 子テナンシ どちらからでも可能です
※今回は親テナンシからやっています
対象テナンシをクリックします。
画面右上の Request to join organization governance をクリックします。
幾つか入力項目が表示されます。
Recipient Email はオプションで、本リクエストの通知を送るメールアドレスです。大抵はリクエストを送る子テナンシ管理者のメールアドレスを設定します。今回は入力しません。
このタイミングではガバナンスルールをアタッチしないので Skip and select governance rules later を選択し Send request をクリックします。
クリック後、元の画面に戻り、画面下部に Success と表示されればOKです。
- 上記メールアドレスは入力しなくても、招待メールは該当テナンシのルートユーザーメールアドレス宛に来てました
続いてリクエストを受けたテナンシにログインし、Organization Management サービスページの Invitations をクリックすると受け取ったリクエストが表示されているのでクリックします。
リクエストの詳細を見るとガバナンスルールのことだとわかるので、画面右上の Action → Accept をクリックします。
ポップアップが表示されるので Accept Invitation をクリックします。
招待一覧の画面に戻り、ステータスが Accepted になっていればOKです。
親テナンシ側に戻り、テナンシ一覧にて対象のテナンシの Organization governance が Joined になっていればOKです。
これで準備ができたのでガバナンスルールを作成していきましょう。
親テナンシにて Create rule をクリックします。
今回は許可するリージョンを制限したいので Allowed regions を選択します。
- 現在対応しているガバナンスルールは 3 種類です
- 各詳細は以下ドキュメントを参照してみてください
選択すると、幾つか設定項目が表示されます。
まずリージョンですが、選択できるのは親テナンシでサブスクライブしているリージョンのみ となります。
- 既に子テナンシ側で許可されていないリージョンをサブスクライブしている場合、そのリージョンの制限はされません
- その場合は、
Quota policyでリソース削減制限をかけてください
続いてルールのアタッチですが、特定のテナンシ or 組織全体 を選択できます。
今回は特定のテナンシを選択し Create rule をクリックします。
- 後から変更することは可能です
作成したルール画面のテナンシ一覧にて Attached になっていればOKです。
最後にルールをアタッチされたテナンシで動作確認していきましょう。
まず、対象テナンシにて大阪リージョンをサブスクライブできるか確認してみます。
問題なくサブスクライブできました。
続いて適当なリージョンをサブスクライブしてみます。
ガバナンスルールによりエラーになりました。ちゃんと機能していますね。
おわりに
本記事では OCI Organization Management を試してみました。
請求単位を親テナンシで一元管理しつつも柔軟に変えられる点はとても魅力的ですし、機能はシンプルですがガバナンスを効かせられるのも魅力的です。マルチテナント間でリソースを一元管理できないことは、リソースがテナンシで完全に分離されるという点ではむしろ良いポイントかなと思います。
強いて言うなら親テナンシから子テナンシへSSOできるようになるともっと良いサービスになるのかなと感じました。
🌟この記事が誰かの役に立てば幸いです!
また、ご質問やフィードバックもお待ちしています。