共通ポリシー

アクセス・タイプ:ユーザーとその資格証明を作成、更新および削除する機能。これには、ユーザーをグループに配置する機能は含まれません。

ポリシーを作成する場所: テナンシにユーザーが存在するため、テナンシ。

Allow group HelpDesk to manage users in tenancy

アクセス・タイプ:すべてのコンパートメントのリソースをリストする機能。次の点に注意:

• IAMポリシーをリストする操作には、ポリシー自体のコンテンツが含まれます
• ネットワーキング・リソース・タイプのリスト操作はすべての情報(たとえば、セキュリティ・リストおよびルート表の内容)を返します
• インスタンスをリストする操作には、inspectではなくread動詞が必要で、コンテンツにはユーザーが指定したメタデータが含まれます。
• 監査サービス・イベントを表示する操作には、inspectではなくread動詞が必要です。

ポリシーを作成する場所: テナンシ内。ポリシー継承の概念上、監査者はテナンシとその下にあるすべてのコンパートメントの両方を検査できます。または、特定のコンパートメントに対してのみ監査者のアクセス権を付与することもできます(テナンシ全体へのアクセス権が不要な場合)。

Allow group Auditors to inspect all-resources in tenancy

Allow group Auditors to read instances in tenancy

Allow group Auditors to read audit-events in tenancy

このポリシーは、単一セットのリカバリ・サービス管理者がすべてのコンパートメント内のすべてのリカバリ・サービス・リソースを管理できるようにする場合に適用されます。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメント内のリカバリ・サービス・リソースへのアクセス範囲を減らすには、テナンシのかわりに必要なコンパートメントを指定します。

Allow group RecoveryServiceGroup to manage recovery-service-family in tenancy

アクセス・タイプ:すべてのコンパートメントの保護ポリシーを管理する機能。

このポリシーは、単一のコンプライアンス管理者にすべてのコンパートメントの保護ポリシーの管理を許可する場合に適用されます。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメント内の保護ポリシーへのアクセス範囲を減らすには、テナンシのかわりに必要なコンパートメントを指定します。

Allow group ComplianceGroup to manage recovery-service-policy in tenancy
    

アクセス・タイプ:ネットワーキング内のすべてのコンポーネントを管理する機能。これには、クラウド・ネットワーク、サブネット、ゲートウェイ、仮想回線、セキュリティ・リスト、ルート表などが含まれます。ネットワーク接続をテストするためにネットワーク管理者がインスタンスを起動する必要がある場合は、ユーザーによるコンピュート・インスタンスの起動を参照してください。

ポリシーを作成する場所: テナンシ内。ポリシー継承の概念上、NetworkAdminsは任意のコンパートメントでクラウド・ネットワークを管理できます。特定のコンパートメントへのアクセスの範囲を減らすには、テナンシのかわりにコンパートメントを指定します。

Allow group NetworkAdmins to manage virtual-network-family in tenancy

他のリージョンおよびテナンシのVCNおよびDRGへのDRGの接続に使用されるポリシーについては、VCN間のルーティングのためのIAMポリシーを参照してください。

アクセス・タイプ:Load Balancerのすべてのコンポーネントを管理する機能。グループがインスタンスを起動する必要がある場合は、ユーザーによるコンピュート・インスタンスの起動を参照してください。

ポリシーを作成する場所: テナンシ内。ポリシー継承の概念により、NetworkAdminsは、任意のコンパートメント内のロード・バランサを管理できます。特定のコンパートメントへのアクセスの範囲を減らすには、テナンシのかわりにコンパートメントを指定します。

Allow group NetworkAdmins to manage load-balancers in tenancy

グループがロード・バランサおよびネットワーク・ロード・バランサを管理する場合は、関連するネットワーキング・リソースを使用するための追加のポリシーが必要です。

Allow group NetworkAdmins to manage load-balancers in tenancy

Allow group NetworkAdmins to use virtual-network-family in tenancy

Allow group NetworkAdmins to manage instances in tenancy

特定のグループが既存のロード・バランサを更新する(たとえば、バックエンド・セットを変更する)必要があるが、作成や削除はする必要がない場合は、次のステートメントを使用します。

Allow group LBUsers to use load-balancers in tenancy

アクセス・タイプ:クラウド・ネットワークに起動したインスタンスおよびコンパートメントXYZのサブネットのすべての操作を実行し、コンパートメントABCにすでに存在する既存のボリュームをアタッチ/デタッチする機能。最初のステートメントでは、グループがコンパートメントABCにインスタンス・イメージを作成および管理することもできます。グループでボリュームをアタッチまたはデタッチする必要がない場合は、volume-familyステートメントを削除できます。

ポリシーを作成する場所:このポリシーをテナンシに配置する方法が最も簡単です。各コンパートメント(ABCおよびXYZ)の管理者が、コンパートメントの個々のポリシー・ステートメントを制御できるようにするには、ポリシー・アタッチメントを参照してください。

Allow group InstanceLaunchers to manage instance-family in compartment ABC
Allow group InstanceLaunchers to read app-catalog-listing in tenancy
Allow group InstanceLaunchers to use volume-family in compartment ABC
Allow group InstanceLaunchers to use virtual-network-family in compartment XYZ

ユーザーが新しいクラウド・ネットワークおよびサブネットを作成できるようにするには、ネットワーク管理者によるクラウド・ネットワークの管理を参照してください。

インスタンスを作成する前に、ユーザーが特定のシェイプで容量を使用できるかどうかを判断できるようにするには、ポリシーに次のステートメントを追加します:

Allow group InstanceLaunchers to manage compute-capacity-reports in tenancy

アクセス・タイプ: 指定したカスタム・イメージのみを使用してコンパートメントXYZのクラウド・ネットワークおよびサブネットにインスタンスを起動する機能。ポリシーには、コンパートメントABCにすでに存在する既存のボリュームをアタッチ/デタッチする機能も含まれます。グループでボリュームをアタッチ/デタッチする必要がない場合は、volume-familyステートメントを削除できます。

複数のカスタム・イメージを指定するには、条件を使用できます。

ポリシーを作成する場所:このポリシーをテナンシに配置する方法が最も簡単です。各コンパートメント(ABCおよびXYZ)の管理者が、コンパートメントの個々のポリシー・ステートメントを制御できるようにするには、ポリシー・アタッチメントを参照してください。

Allow group ImageUsers to inspect instance-images in compartment ABC
Allow group ImageUsers to {INSTANCE_IMAGE_READ} in compartment ABC where target.image.id='<image_OCID>'
Allow group ImageUsers to manage instances in compartment ABC
Allow group ImageUsers to read app-catalog-listing in tenancy
Allow group ImageUsers to use volume-family in compartment ABC
Allow group ImageUsers to use virtual-network-family in compartment XYZ

アクセス・タイプ: カスタム・イメージおよびコンピュート・インスタンスのすべての操作を実行する機能。また、コンパートメントYのオブジェクト・ストレージ・バケット、オブジェクトおよびネームスペースのすべての操作(オブジェクトからイメージを作成し、イメージへの事前認証済リクエストを作成するため)、コンパートメントXの既存のボリュームのアタッチ/デタッチ、およびコンパートメントZのクラウド・ネットワークおよびサブネット内でのインスタンスの起動(イメージのベースにする新規インスタンスを作成するため)を実行する機能も含まれます。グループでボリュームをアタッチ/デタッチする必要がない場合は、volume-familyステートメントを削除できます。

ポリシーを作成する場所:このポリシーをテナンシに配置する方法が最も簡単です。各コンパートメント(X、YおよびZ)の管理者が、コンパートメントの個々のポリシー・ステートメントを制御できるようにするには、ポリシー・アタッチメントを参照してください。

Allow group ImageAdmins to manage instances in compartment X
Allow group ImageAdmins to manage instance-images in compartment X
Allow group ImageAdmins to read app-catalog-listing in tenancy
Allow group ImageAdmins to manage object-family in compartment Y
Allow group ImageAdmins to use volume-family in compartment X
Allow group ImageAdmins to use virtual-network-family in compartment Z

アクセス・タイプ:すべてのコンパートメントでインスタンス構成、インスタンス・プールおよびクラスタ・ネットワークをすべて処理する機能。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメントのインスタンス構成、インスタンス・プールおよびクラスタ・ネットワークにアクセスの範囲を狭めるには、テナンシのかわりに対象のコンパートメントを指定します。

Allow group InstancePoolAdmins to manage compute-management-family in tenancy

グループがテンプレートとして既存のインスタンスを使用してインスタンス構成を作成する必要があり、API、SDK、またはコマンドライン・インタフェース(CLI)を使用してこれを行う場合は、次のステートメントをポリシーに追加します。

Allow group InstancePoolAdmins to read instance-family in tenancy
Allow group InstancePoolAdmins to inspect volumes in tenancy

特定のグループが既存のインスタンス・プールのインスタンスを起動、停止またはリセットする必要があるが、インスタンス・プールを作成または削除する必要がない場合は、次のステートメントを使用します。

Allow group InstancePoolUsers to use instance-pools in tenancy

インスタンス・プールで使用されるリソースにデフォルト・タグが含まれる場合、タグ・ネームスペースOracle-Tagsに対する権限をグループに付与するために、次のステートメントをポリシーに追加します:

Allow group InstancePoolUsers to use tag-namespaces in tenancy where target.tag-namespace.name = 'oracle-tags'

インスタンス・プールで使用されるインスタンス構成が容量予約でインスタンスを起動する場合は、次のステートメントをポリシーに追加します:

Allow service compute_management to use compute-capacity-reservations in tenancy

インスタンス・プールを作成するためにインスタンス構成で使用されているブート・ボリュームがKMSキーを使用して暗号化されている場合は、次のステートメントをポリシーに追加します

allow service compute, blockstorage, compute_management to use key-family in compartment <compartment_id/<tenant_id>>

アクセス・タイプ:自動スケーリング構成を作成、更新および削除する機能。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメントの自動スケーリング構成のみにアクセス範囲を減らすには、テナンシのかわりに対象のコンパートメントを指定します。

Allow group AutoscalingAdmins to manage auto-scaling-configurations in tenancy
Allow group AutoscalingAdmins to manage instance-pools in tenancy

アクセス・タイプ:パートナ・イメージ・カタログ内のイメージのサブスクリプションをリストし、作成する機能。パートナ・イメージ・カタログのイメージを使用してインスタンスを作成する機能は含まれていません(ユーザーによるコンピュート・インスタンスの起動を参照)。

ポリシーを作成する場所: テナンシ内。特定のコンパートメントのサブスクリプションの作成のみにアクセス範囲を狭めるには、3番目のステートメントでテナンシのかわりにそのコンパートメントを指定します。

Allow group CatalogSubscribers to inspect app-catalog-listing in tenancy
Allow group CatalogSubscribers to read app-catalog-listing in tenancy
Allow group CatalogSubscribers to manage app-catalog-listing in tenancy

アクセス・タイプ: インスタンス・コンソール接続を作成する機能。

ポリシーを作成する場所: テナンシ内。

Allow group <group_name> to manage instance-console-connection in tenancy
Allow group <group_name> to read instance in tenancy

アクセス・タイプ:専用仮想マシン・ホストを作成、更新および削除する機能、および専用仮想マシン・ホストのインスタンスを起動する機能。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメントの専用仮想マシン・ホストおよびインスタンスのみにアクセス範囲を減らすには、テナンシのかわりに、そのコンパートメントを指定します。

Allow group DedicatedVMHostAdmins to manage dedicated-vm-hosts in tenancy
Allow group DedicatedVMHostAdmins to manage instances in tenancy

アクセス・タイプ:専用仮想マシン・ホストのインスタンスを起動する機能。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメントの専用仮想マシン・ホストおよびインスタンスのみにアクセス範囲を減らすには、テナンシのかわりに、そのコンパートメントを指定します。

Allow group DedicatedVMHostAdmins to use dedicated-vm-hosts in tenancy
Allow group DedicatedVMHostAdmins to manage instances in tenancy

アクセス・タイプ:リージョン間でボリューム・バックアップをコピーする場合を除き、すべてのコンパートメントのブロック・ストレージ・ボリューム、ボリューム・バックアップおよびボリューム・グループのすべての操作を実行する機能。これは、単一セットのボリューム管理者がすべてのコンパートメントのすべてのボリューム、ボリューム・バックアップおよびボリューム・グループを管理する場合に意味を持ちます。インスタンスからボリュームをアタッチ/デタッチするには、2番目のステートメントが必要です。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメントのボリューム/バックアップおよびインスタンスのみにアクセス範囲を減らすには、テナンシのかわりにそのコンパートメントを指定します。

Allow group VolumeAdmins to manage volume-family in tenancy

Allow group VolumeAdmins to use instance-family in tenancy

グループがリージョン間でボリューム・バックアップおよびブート・ボリューム・バックアップをコピーする必要もある場合、次のステートメントをポリシーに追加します:

Allow group VolumeAdmins to use volume-backups in tenancy where request.permission='VOLUME_BACKUP_COPY'
Allow group VolumeAdmins to use boot-volume-backups in tenancy where request.permission='BOOT_VOLUME_BACKUP_COPY'

アクセス・タイプ:ボリューム・バックアップのすべての操作を実行する機能。ボリューム自体の作成や管理はできません。これは、単一セットのボリューム・バックアップ管理者がすべてのコンパートメントのすべてのボリューム・バックアップを管理する場合に意味を持ちます。最初のステートメントは、バックアップされるボリュームに必要なアクセスを付与し、2番目のステートメントではバックアップの作成(およびバックアップの削除)が可能です。3番目のステートメントでは、ユーザー定義のバックアップ・ポリシーの作成と管理が可能です。4番目のステートメントでは、バックアップ・ポリシーの割当ておよび削除が可能です。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメント内のボリュームおよびバックアップのみにアクセス範囲を減らすには、テナンシのかわりにそのコンパートメントを指定します。

Allow group VolumeBackupAdmins to use volumes in tenancy

Allow group VolumeBackupAdmins to manage volume-backups in tenancy

Allow group VolumeBackupAdmins to manage backup-policies in tenancy

Allow group VolumeBackupAdmins to manage backup-policy-assignments in tenancy

グループがコンソールを使用する場合、次のポリシーによりユーザー・エクスペリエンスが向上します。

Allow group VolumeBackupAdmins to use volumes in tenancy

Allow group VolumeBackupAdmins to manage volume-backups in tenancy

Allow group VolumeBackupAdmins to inspect volume-attachments in tenancy

Allow group VolumeBackupAdmins to inspect instances in tenancy

Allow group VolumeBackupAdmins to manage backup-policies in tenancy

Allow group VolumeBackupAdmins to manage backup-policy-assignments in tenancy

最後の2つのステートメントは、ボリューム・バックアップを管理するために必要ありません。ただし、コンソールで特定のボリュームに関するすべての情報および使用可能なバックアップ・ポリシーを表示できます。

アクセス・タイプ: ブート・ボリューム・バックアップのすべての操作を実行する機能。ブート・ボリューム自体の作成と管理はできません。これは、単一セットのブート・ボリューム・バックアップ管理者がすべてのコンパートメントのすべてのブート・ボリューム・バックアップを管理する場合に意味を持ちます。最初のステートメントは、バックアップされるブート・ボリュームに必要なアクセスを付与し、2番目のステートメントはバックアップの作成(およびバックアップの削除)を可能にします。3番目のステートメントでは、ユーザー定義のバックアップ・ポリシーの作成と管理が可能です。4番目のステートメントでは、バックアップ・ポリシーの割当ておよび削除が可能です。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメント内のブート・ボリュームおよびバックアップのみにアクセス範囲を減らすには、テナンシのかわりにそのコンパートメントを指定します。

Allow group BootVolumeBackupAdmins to use volumes in tenancy

Allow group BootVolumeBackupAdmins to manage boot-volume-backups in tenancy

Allow group BootVolumeBackupAdmins to manage backup-policies in tenancy

Allow group BootVolumeBackupAdmins to manage backup-policy-assignments in tenancy

グループがコンソールを使用する場合、次のポリシーによりユーザー・エクスペリエンスが向上します。

Allow group BootVolumeBackupAdmins to use volumes in tenancy

Allow group BootVolumeBackupAdmins to manage boot-volume-backups in tenancy

Allow group BootVolumeBackupAdmins to inspect instances in tenancy

Allow group BootVolumeBackupAdmins to manage backup-policies in tenancy

Allow group BootVolumeBackupAdmins to manage backup-policy-assignments in tenancy

最後の2つのステートメントは、ボリューム・バックアップを管理するために必要ありません。ただし、コンソールで特定のブート・ボリュームに関するすべての情報および使用可能なバックアップ・ポリシーを表示できます。

アクセス・タイプ:ボリューム・グループをボリューム・セットから作成する機能。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメント内のボリュームおよびボリューム・グループのみにアクセス範囲を減らすには、テナンシのかわりにそのコンパートメントを指定します。

Allow group VolumeGroupCreators to inspect volumes in tenancy
Allow group VolumeGroupCreators to manage volume-groups in tenancy

アクセス・タイプ:既存のボリューム・グループからボリューム・グループをクローニングする機能。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメント内のボリュームおよびボリューム・グループのみにアクセス範囲を減らすには、テナンシのかわりにそのコンパートメントを指定します。

Allow group VolumeGroupCloners to inspect volumes in tenancy
Allow group VolumeGroupCloners to manage volume-groups in tenancy
Allow group VolumeGroupCloners to manage volumes in tenancy

アクセス・タイプ:ボリューム・グループ・バックアップを作成する機能。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメントにあるボリューム/バックアップおよびボリューム・グループ/ボリューム・グループ・バックアップのみにアクセス範囲を減らすには、テナンシのかわりに、そのコンパートメントを指定します。

Allow group VolumeGroupBackupAdmins to inspect volume-groups in tenancy
Allow group VolumeGroupBackupAdmins to manage volumes in tenancy
Allow group VolumeGroupBackupAdmins to manage volume-group-backups in tenancy
Allow group VolumeGroupBackupAdmins to manage volume-backups in tenancy

アクセス・タイプ:ボリューム・グループ・バックアップをリストアしてボリューム・グループを作成する機能。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメントにあるボリューム/バックアップおよびボリューム・グループ/ボリューム・グループ・バックアップのみにアクセス範囲を減らすには、テナンシのかわりに、そのコンパートメントを指定します。

Allow group VolumeGroupBackupAdmins to inspect volume-group-backups in tenancy
Allow group VolumeGroupBackupAdmins to read volume-backups in tenancy
Allow group VolumeGroupBackupAdmins to manage volume-groups in tenancy
Allow group VolumeGroupBackupAdmins to manage volumes in tenancy

アクセス・タイプ: ファイル・システムまたはファイル・システム・クローンを作成、管理または削除する機能。ファイル・システムの管理機能には、名前の変更や削除、またはファイル・システムからの切断などが含まれます。

ポリシーを作成する場所:ファイル・システムを作成、管理または削除する機能をポリシー継承を介してすべてのコンパートメントに容易に付与できるようにするため、テナンシ。これらの管理機能の有効範囲を特定のコンパートメント内のファイル・システムに限定するには、テナンシのかわりにそのコンパートメントを指定します。

Allow group StorageAdmins to manage file-family in tenancy

アクセス・タイプ: ファイル・システムまたはファイル・システム・クローンを作成する機能。

ポリシーを作成する場所:ファイル・システムを作成する機能がポリシー継承を介してすべてのコンパートメントに容易に付与されるようにするため、テナンシ。これらの管理機能の有効範囲を特定のコンパートメント内のファイル・システムに限定するには、テナンシのかわりにそのコンパートメントを指定します。

Allow group Managers to manage file-systems in tenancy

Allow group Managers to read mount-targets in tenancy

2つ目のステートメントは、ユーザーがコンソールを使用してファイル・システムを作成する場合に必要です。コンソールに、新しいファイル・システムを関連付けることができるマウント・ターゲットのリストを表示できます。

アクセス・タイプ:すべてのコンパートメントのオブジェクト・ストレージ・バケットおよびオブジェクトのすべての操作を実行する機能。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメント内のバケットおよびオブジェクトのみにアクセス範囲を減らすには、テナンシのかわりにそのコンパートメントを指定します。

Allow group ObjectAdmins to manage buckets in tenancy

Allow group ObjectAdmins to manage objects in tenancy

アクセス・タイプ:コンパートメントABCの任意のオブジェクト・ストレージ・バケットにオブジェクトを書き込む機能(クライアントが定期的にログ・ファイルをバケットに書き込む必要がある場合が考えられます)。これには、コンパートメント内のバケットのリスト、バケット内のオブジェクトのリスト、およびバケット内の新規オブジェクトの作成が含まれます。2つ目のステートメントでは、manage動詞による広範なアクセス権を付与しますが、このアクセス権はステートメントの末尾の条件を使用したOBJECT_INSPECTおよびOBJECT_CREATE 権限のみにスコープ指定されます。

ポリシーを作成する場所: このポリシーをテナンシに配置する方法が最も簡単です。コンパートメントABCの管理者がポリシーを制御するには、ポリシー・アタッチメントを参照してください。

Allow group ObjectWriters to read buckets in compartment ABC

Allow group ObjectWriters to manage objects in compartment ABC where any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}

特定のバケットに限定されたアクセス: 特定のコンパートメント内の特定のバケットへのアクセスを制限するには、条件where target.bucket.name='<bucket_name>'を追加します。次のポリシーによって、ユーザーは特定のコンパートメント内のすべてのバケットをリストできますが、リストできるのはBucketAのオブジェクトのみで、BucketAにのみオブジェクトをアップロードできます。

Allow group ObjectWriters to read buckets in compartment ABC

Allow group ObjectWriters to manage objects in compartment ABC where all {target.bucket.name='BucketA', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}}

特定の定義済タグを持つバケットに限定されたアクセス: 指定されたコンパートメント内の特定のタグを持つバケットへのアクセスを制限するには、条件where target.bucket.tag.<TagNamespace>.<TagKeyDefinition>='<TagValue>'を追加します。次のポリシーによって、ユーザーはコンパートメントABC内のすべてのバケットをリストできますが、タグMyTagNamespace.TagKey='MyTagValue'を持つバケット内のオブジェクトのみをリストして、バケットにオブジェクトをアップロードできます:

Allow group ObjectWriters to read buckets in compartment ABC
Allow group ObjectWriters to manage objects in compartment ABC where all {target.bucket.tag.MyTagNamespace.TagKey='MyTagValue', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}}

条件の使用の詳細は、高度なポリシーの機能を参照してください。

アクセス・タイプ:コンパートメントABCの任意のオブジェクト・ストレージ・バケットからオブジェクトをダウンロードする機能。これには、コンパートメント内のバケットのリスト、バケット内のオブジェクトのリスト、およびバケット内の既存オブジェクトの読取りが含まれます。

ポリシーを作成する場所:このポリシーをテナンシに配置する方法が最も簡単です。コンパートメントABCの管理者がポリシーを制御するには、ポリシー・アタッチメントを参照してください。

Allow group ObjectReaders to read buckets in compartment ABC

Allow group ObjectReaders to read objects in compartment ABC

特定のバケットに限定されたアクセス:特定のコンパートメント内の特定のバケットへのアクセスを制限するには、条件where target.bucket.name='<bucket_name>'を追加します。次のポリシーによって、ユーザーは特定のコンパートメントのすべてのバケットをリストできますが、BucketAのオブジェクトのみを読み取ることができ、BucketAからのダウンロードのみ可能です。

Allow group ObjectReaders to read buckets in compartment ABC

Allow group ObjectReaders to read objects in compartment ABC where target.bucket.name='BucketA'

特定の定義済タグを持つバケットに限定されたアクセス

指定されたコンパートメント内の特定のタグを持つバケットへのアクセスを制限するには、条件where target.bucket.tag.<TagNamespace>.<TagKeyDefinition>='<TagValue>'を追加します。次のポリシーによって、ユーザーはコンパートメントABC内のすべてのバケットをリストできますが、タグMyTagNamespace.TagKey='MyTagValue'を持つバケット内のオブジェクトのみを読み取り、バケットからオブジェクトをダウンロードできます:

Allow group ObjectReaders to read buckets in compartment ABC
Allow group ObjectReaders to read objects in compartment ABC where target.bucket.tag.MyTagNamespace.TagKey='MyTagValue'

条件の使用の詳細は、高度なポリシーの機能を参照してください。

アクセス・タイプ:顧客管理キーを作成する機能。これは、顧客管理キーで暗号化されたデータにアクセスするためのポリシーを設定する機能で構成されます。

allow group <group_in_tenancy> to manage vaults in compartment <key_located_compartment>
allow group <group_in_tenancy> to manage keys in compartment <key_located_compartment>
allow group <group_in_tenancy> to manage key-delegate in compartment <key_located_compartment>
allow group <group_in_tenancy> to use object-family in compartment <key_located_compartment>
allow service objectstorage-<region_name> to use keys in compartment <key_located_compartment>

前述のポリシー例の最後の文はリージョン固有です。つまり、顧客はリージョンごとにこのステートメントを繰り返し記述する必要があります。利便性ポリシーの設定には、次のポリシー設定例を使用できます。

allow group <group_in_tenancy> to manage vaults in compartment <key_located_compartment>
allow group <group_in_tenancy> to manage keys in compartment <key_located_compartment>
allow group <group_in_tenancy> to manage key-delegate in compartment <key_located_compartment>
allow group <group_in_tenancy> to use object-family in compartment <key_located_compartment>
allow any-group to use keys in compartment <key_located_compartment> where all {request.principal.type = 'service', request.service.name = /objectstorage-*/}

アクセス・タイプ:ユーザー・グループがオブジェクト・ストレージ・バケットとそのオブジェクトに対するすべてのアクションを実行する機能。

ポリシーを作成する場所:ユーザーが存在するテナンシ。

ALLOW group test-group TO manage objects IN TENANCY where all {target.bucket.name = 'test-bucket', target.object.name = 'prod/*'} 

アクセス・タイプ:ユーザー・グループがオブジェクト・ストレージ・バケットとそのオブジェクトへの読取り専用アクセス権を持つ機能。

ポリシーを作成する場所:ユーザーが存在するテナンシ。

ALLOW group test-group TO manage objects IN TENANCY where all {target.bucket.name = 'test-bucket', target.object.name = 'prod/*', any{request.permission='OBJECT_INSPECT', request.permission='OBJECT_READ'}}

アクセス・タイプ:ユーザーのグループがバケット内のオブジェクトのフォルダへの書込み専用アクセス権を持つ機能。ユーザーはバケット内のオブジェクトのリストを表示したり、それに含まれるオブジェクトを削除することはできません。

ポリシーを作成する場所:ユーザーが存在するテナンシ。

ALLOW group test-group TO manage objects IN TENANCY where all {target.bucket.name = 'test-bucket', target.object.name = 'prod/*', any{request.permission='OBJECT_CREATE'}}

アクセス・タイプ:ユーザー・グループがオブジェクト・ストレージ・バケット内のオブジェクトのフォルダに対する読取りおよび書込みアクセス権を持つ機能。ユーザーは、フォルダ内のオブジェクトのリストを生成したり、フォルダ内の既存のオブジェクトを上書きすることはできません。

ポリシーを作成する場所:ユーザーが存在するテナンシ。

ALLOW group test-group TO manage objects IN TENANCY where all {target.bucket.name = 'test-bucket', target.object.name = 'prod/*', any{request.permission='OBJECT_CREATE', request.permission='OBJECT_READ'}}

アクセス・タイプ:指定したユーザーが、オブジェクト・ストレージ・バケット内の指定されたパターンと一致するすべてのオブジェクトへのフル・アクセス権を持つ機能。

ポリシーを作成する場所:ユーザーが存在するテナント内。

ALLOW any-group TO manage objects IN TENANCY where all {target.bucket.name = 'test-bucket', target.object.name = '*.pdf', request.user.id='ocid1.user.oc1..exampleuniqueID'}

これは、単一セットのデータベース管理者がすべてのコンパートメントのすべてのベア・メタル、仮想マシンおよびExadataシステムを管理する場合に意味を持ちます。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメント内のデータベース・システムのみにアクセス範囲を狭めるには、テナンシのかわりにそのコンパートメントを指定します。

Allow group DatabaseAdmins to manage database-family in tenancy

アクセス・タイプ: すべてのコンパートメントのExadata Database Service on Cloud@Customerリソースのすべての操作を実行する機能。これは、単一セットのデータベース管理者がすべてのコンパートメントのすべてのExadata Database Service on Cloud@Customerシステムを管理する場合に意味を持ちます。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。アクセスの範囲をExadata Database Service on Cloud@Customerのみに減らすには

特定のコンパートメント内のシステム、テナンシのかわりにそのコンパートメントを指定します。

Allow group ExaCCAdmins to manage database-family in tenancy

アクセス・タイプ:

すべてのコンパートメントのMySQL DatabaseおよびMySQL HeatWaveリソースのすべての操作を実行する機能。MySQL Database DBシステムを作成および管理するには、テナンシのVCN、サブネットおよびタグ・ネームスペースへの制限付きアクセスも必要です。

Allow group <group_name> to {
  	COMPARTMENT_INSPECT, 
    VCN_READ, 
    SUBNET_READ, SUBNET_ATTACH, SUBNET_DETACH, 
    NETWORK_SECURITY_GROUP_UPDATE_MEMBERS,
    VNIC_CREATE, VNIC_UPDATE, VNIC_DELETE, VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP
  } in tenancy | compartment <compartment_name> | compartment <compartment_ocid>
  Allow group <group_name> to manage mysql-family in tenancy | compartment <compartment_name> | compartment <compartment_ocid>
  Allow group <group_name> to use tag-namespaces in tenancy

アクセス・タイプ:すべてのコンパートメントのAutonomous Databaseインスタンスのすべての操作を実行する機能。単一セットのデータベース管理者がすべてのコンパートメントのすべてのAutonomous Databaseデータベースを管理する場合に適用されます。

ポリシーを作成する場所: ポリシー継承を介してすべてのコンパートメントにアクセス権が付与されるようにするため、テナンシ。アクセス範囲を特定のコンパートメントのAutonomous Databasesのみに減らすには、テナンシのかわりにそのコンパートメントを指定します。

例1: 専用Exadataインフラストラクチャ上のAutonomous Databaseに関連付けられたユーザー・ロールの場合。Autonomous Databaseフリート管理者が任意のワークロード・タイプにアクセスして、次の専用Exadataインフラストラクチャ・リソースを管理できるようにします: Autonomous Container DatabaseおよびAutonomous VMクラスタ。

Allow group DatabaseAdmins to manage autonomous-database-family in tenancy

Autonomous VMクラスタおよびAutonomous Container Databaseリソース・タイプへのアクセスを制限する必要がある場合(専用Exadataインフラストラクチャにのみ適用)、Autonomous Databasesおよびそのバックアップのみへのアクセスを許可する個別のポリシー・ステートメントをデータベース管理者用に作成できます。ポリシー・ステートメントで指定できるリソース・タイプは1つのみであるため、データベース・リソースとバックアップ・リソースに対して別々のステートメントを作成する必要があります。

例2: 専用Exadataインフラストラクチャ上のAutonomous Databaseの場合。Autonomous Databaseデータベース管理者による様々なワークロード・タイプのデータベースおよびバックアップへのアクセスを可能にしますが、Autonomous Container Database、Autonomous VMクラスタおよびクラウドExadataインフラストラクチャ・リソースへのアクセスは拒否します。

Allow group ADB-Admins to manage autonomous-database in tenancy

Allow group ADB-Admins to manage autonomous-backup in tenancy

特定のワークロード・タイプにデータベースおよびバックアップのアクセス範囲を減らすには、where句を使用します。

例3: 専用Exadataインフラストラクチャ上のAutonomous Databaseの場合。Autonomous Databaseアクセスを特定のワークロード・タイプのデータベースおよびバックアップに制限します。

Allow group ADB-Admins to manage autonomous-databases in tenancy where target.workloadType = 'workload_type'

Allow group ADB-Admins to manage autonomous-backups in tenancy where target.workloadType = 'workload_type'

前述のコード例で、workload_typeは、次の表にリストされている文字列の1つです。

アクセス・タイプ: すべてのコンパートメントのボールト・サービスのすべての操作を実行する機能。これは、単一のセキュリティ管理者セットにより、すべてのコンパートメント内のすべてのボールト、キーおよびシークレット・コンポーネント(シークレット、シークレット・バージョンおよびシークレット・バンドルを含む)を管理する場合に意味があります。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメント内のボールト、キーおよびシークレット・コンポーネントのみにアクセス範囲を減らすには、テナンシのかわりにそのコンパートメントを指定します。ボールト、キーまたはシークレット・コンポーネントのみにアクセス範囲を減らすには、必要に応じて、個々のリソース・タイプまたは集約リソース・タイプに関連するポリシー・ステートメントのみを含めます。

Allow group SecurityAdmins to manage vaults in tenancy

Allow group SecurityAdmins to manage keys in tenancy

Allow group SecurityAdmins to manage secret-family in tenancy

アクセス・タイプ:コンパートメントABC内の特定のボールト内のキーのすべての操作を実行する機能。

ポリシーを作成する場所:このポリシーをテナンシに配置する方法が最も簡単です。個々のコンパートメント(ABC)の管理者がコンパートメントの個々のポリシー・ステートメントを制御するには、ポリシー・アタッチメントを参照してください。

Allow group SecurityAdmins to manage keys in compartment ABC where target.vault.id='<vault_OCID>'

アクセス・タイプ:コンパートメント内の特定のキーを使用して暗号化操作をリスト、表示および実行する機能。

ポリシーを作成する場所:このポリシーをテナンシに配置する方法が最も簡単です。個々のコンパートメント(ABC)の管理者がコンパートメントの個々のポリシー・ステートメントを制御するには、ポリシー・アタッチメントを参照してください。

Allow group SecurityAdmins to use keys in compartment ABC where target.key.id='<key_OCID>'

アクセス・タイプ: オブジェクト・ストレージ・バケット、ブロック・ボリューム・ボリューム、ファイル・ストレージ・ファイル・システム、Kubernetesクラスタまたはストリーミング・ストリーム・プールを、特定のコンパートメントで使用することを許可された特定のキーと関連付ける機能。このポリシーでは、指定されたグループのユーザーは、そのキー自体を使用する権限を持っていません。関連付けにより、オブジェクト・ストレージ、ブロック・ボリューム、ファイル・ストレージ、Kubernetesエンジンまたはストリーミングはキーを使用して、次のことを実行できます:

• 暗号化されたバケット、ボリュームまたはファイル・システムを作成または更新し、バケット、ボリュームまたはファイル・システム内のデータを暗号化または復号化します。
• Kubernetesシークレットがetcdキー/値ストアへの保存時に暗号化されるKubernetesクラスタを作成します。
• ストリーム・プールを作成して、ストリーム・プール内のストリームのデータを暗号化します。

このポリシーでは、Object Storage、Block Volume、File Storage、Kubernetes EngineまたはStreamingがキーを使用して暗号化操作を実行できるようにするコンパニオン・ポリシーも必要です。

ポリシーを作成する場所:このポリシーをテナンシに配置する方法が最も簡単です。個々のコンパートメント(ABC)の管理者がコンパートメントの個々のポリシー・ステートメントを制御するには、ポリシー・アタッチメントを参照してください。

Allow group ObjectWriters, VolumeWriters, FileWriters, ClusterWriters, StreamWriters to use key-delegate in compartment ABC where target.key.id = '<key_OCID>'

アクセス・タイプ:コンパートメントABCのすべてのキーを使用して暗号操作をリスト、表示および実行する機能。オブジェクト・ストレージはリージョン別サービスであるため、地域エンドポイントがあります。このため、ボールトの暗号化を使用してオブジェクト・ストレージを使用している各リージョンに対して、リージョン別サービス名を指定する必要があります。このポリシーでは、オブジェクト・ストレージ、ブロック・ボリューム、Kubernetesエンジンまたはストリーミングが使用する委任キーをユーザー・グループが使用できるようにするコンパニオン・ポリシーも必要です。

ポリシーを作成する場所:このポリシーをテナンシに配置する方法が最も簡単です。個々のコンパートメント(ABC)の管理者がコンパートメントの個々のポリシー・ステートメントを制御するには、ポリシー・アタッチメントを参照してください。

Allow service blockstorage, objectstorage-<region_name>, oke, streaming to use keys in compartment ABC where target.key.id = '<key_OCID>'

オブジェクト・ストレージの場合、<region_name>を適切なリージョン識別子に置き換えます。例:

• objectstorage-us-phoenix-1

• objectstorage-us-ashburn-1

• objectstorage-eu-frankfurt-1

• objectstorage-uk-london-1

• objectstorage-ap-tokyo-1

Oracle Cloud Infrastructureリージョンのリージョン名の値を決定するには、リージョンおよび可用性ドメインを参照してください。

Kubernetesエンジンの場合、ポリシーで使用されるサービス名はokeです。

ストリーミングの場合、ポリシーで使用されるサービス名はstreamingです。

アクセス・タイプ:コンパートメントABCのすべてのキーを使用して暗号操作をリスト、表示および実行する機能。このポリシーでは、ファイル・ストレージが使用する委任キーをユーザー・グループが使用できるようにするコンパニオン・ポリシーも必要です。

ポリシーを作成する場所:このポリシーをテナンシに配置する方法が最も簡単です。個々のコンパートメント(ABC)の管理者がコンパートメントの個々のポリシー・ステートメントを制御するには、ポリシー・アタッチメントを参照してください。

1. 次のようなルールを使用して、ファイル・システムの動的グループを作成します:

   ALL { resource.type='filesystem', resource.compartment.id = '<file_system_compartment_OCID>' }

   ノート
   
   動的グループに複数のルールがある場合は、必ずMatch any rules defined belowオプションを使用してください。

2. ファイル・システムの動的グループにVaultキーへのアクセス権を付与するIAMポリシーを作成します:

   allow dynamic-group <dynamic_group_name> to use keys in compartment ABC

アクセス・タイプ: コンパートメントABCの特定のボールト内のシークレットに関するすべての操作を実行する機能。

ポリシーを作成する場所:このポリシーをテナンシに配置する方法が最も簡単です。個々のコンパートメント(ABC)の管理者がコンパートメントの個々のポリシー・ステートメントを制御するには、ポリシー・アタッチメントを参照してください。

Allow group SecurityAdmins to manage secret-family in compartment ABC where target.vault.id='<vault_OCID>'

アクセス・タイプ: テナンシ内の任意のボールトにあるすべてのシークレットの読取り、更新およびローテーションを行う機能。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメント内のボールト、キーおよびシークレットのみにアクセス範囲を減らすには、テナンシのかわりにそのコンパートメントを指定します。

Allow group SecretsUsers to use secret-family in tenancy

ユーザーが自分の資格証明を管理するためにポリシーは不要です。すべてのユーザーが、独自のパスワードの変更やリセット、独自のAPIキーの管理、独自の認証トークンの管理を行うことができます。詳細は、ユーザー資格証明を参照してください。

アクセス・タイプ:特定のコンパートメントのすべての側面を管理する機能。たとえば、A-Adminsというグループは、Project-Aというコンパートメントのすべての側面を管理できます。これには、コンパートメントに影響する追加のポリシーの書込みも含まれます。詳細は、ポリシー・アタッチメントを参照してください。このような設定と有用な追加ポリシーの例は、シナリオ例を参照してください。

ポリシーを作成する場所: テナンシ内。

Allow group A-Admins to manage all-resources in compartment Project-A

アクセス・タイプ:特定のリージョンのリソースを管理する機能。IAMのリソースはホーム・リージョンで管理する必要があることに注意してください。指定したリージョンがホーム・リージョンではない場合、管理者はIAMリソースを管理できません。ホーム・リージョンの詳細は、リージョンの管理を参照してください。

ポリシーを作成する場所: テナンシ内。

Allow group PHX-Admins to manage all-resources in tenancy where request.region='phx'

前述のポリシーにより、PHX管理者は米国西部(フェニックス)内のすべてのリソースのすべての側面を管理できます。

PHXのメンバー- 管理グループは、テナンシのホーム・リージョンがUS West (フェニックス)の場合、IAMリソースのみ管理できます。

アクセス・タイプ:Oracle Cloud Infrastructureサービスの操作ステータスに関するお知らせの要約バージョンを表示する機能。

ポリシーを作成する場所: テナンシ内。

Allow group AnnouncementListers to inspect announcements in tenancy

前述のポリシーによって、AnnouncementListersは、要約のお知らせのリストを表示できます。

アクセス・タイプ:Oracle Cloud Infrastructureサービスの操作ステータスに関するお知らせの詳細を表示する機能。

ポリシーを作成する場所: テナンシ内。

Allow group AnnouncementReaders to read announcements in tenancy

このポリシーによって、AnnouncementReadersは、要約のお知らせのリストおよび特定のお知らせの詳細を表示できます。

アクセス・タイプ:すべてのコンパートメントのストリーミング・サービスのすべての操作を実行する機能。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメント内のストリームにのみアクセス範囲を狭くするには、そのコンパートメントをテナンシのかわりに指定します。

Allow group StreamAdmins to manage stream-family in tenancy

アクセス・タイプ:すべてのコンパートメント内のストリーミング・サービスとともにストリームに対してメッセージを生成する機能。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメント内のストリームにのみアクセス範囲を狭くするには、そのコンパートメントをテナンシのかわりに指定します。

Allow group StreamUsers to use stream-push in tenancy

アクセス・タイプ:ストリーミング・サービスとともにストリームへのメッセージを生成する機能。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメント内のストリームにのみアクセス範囲を狭くするには、そのコンパートメントをテナンシのかわりに指定します。

Allow group StreamUsers to use stream-push in tenancy where target.stream.id = '<stream_OCID>'

アクセス・タイプ:ストリーミング・サービスとともにストリームへのメッセージを生成する機能。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメント内のストリームにのみアクセス範囲を狭くするには、そのコンパートメントをテナンシのかわりに指定します。

Allow group StreamUsers to use stream-push in tenancy where target.streampool.id = '<streampool_OCID>'

アクセス・タイプ:すべてのコンパートメントのストリーミング・サービスとともにストリームからメッセージを消費する機能。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメント内のストリームにのみアクセス範囲を狭くするには、そのコンパートメントをテナンシのかわりに指定します。

Allow group StreamUsers to use stream-pull in tenancy

アクセス・タイプ:特定のコンパートメント内のメトリック定義をリストする機能。詳細は、メトリック定義のリストを参照してください。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメント内のメトリック定義のみにアクセスの範囲を減らすには、テナンシのかわりにそのコンパートメントを指定します。

Allow group <group_name> to inspect metrics in compartment <compartment_name>

アクセス・タイプ:特定のコンパートメント内でサポートされているリソースのメトリックを問い合せる機能。詳細は、問合せの作成を参照してください。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。アクセス範囲を特定のコンパートメント内のメトリックのみに減らすには、テナンシのかわりにそのコンパートメントを指定します。

Allow group <group_name> to read metrics in compartment <compartment_name>

アクセス・タイプ:特定のメトリック・ネームスペースのリソースのメトリックを問い合せる機能。詳細は、問合せの作成を参照してください。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。指定されたメトリック・ネームスペースのアクセスの範囲を特定のコンパートメント内のみに減らすには、テナンシのかわりにそのコンパートメントを指定します。

Allow group <group_name> to read metrics in compartment <compartment_name>
  where target.metrics.namespace='<metric_namespace>'

アクセス・タイプ:特定のメトリック・ネームスペースの下にあるカスタム・メトリックをモニタリング・サービスに公開する機能、およびメトリック・データの表示、アラームおよびトピックの作成、およびアラームのあるストリームの使用。カスタム・メトリックの公開の詳細は、カスタム・メトリックの公開を参照してください。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメントのメトリックのみにアクセス範囲を狭くするには、テナンシのかわりにコンパートメントを指定します。

Allow group <group_name> to use metrics in tenancy 
  where target.metrics.namespace=<metric_namespace>'
Allow group <group_name> to read metrics in tenancy
Allow group <group_name> to manage alarms in tenancy
Allow group <group_name> to manage ons-topics in tenancy
Allow group <group_name> to use streams in tenancy

アクセス・タイプ:モニタリング・メトリックにアクセスするために モニタリングAPIを呼び出す機能。APIリクエストの発生元のインスタンスは、ポリシーに示される動的グループのメンバーである必要があります。APIをコールするコンピュート・インスタンスの詳細は、インスタンスからのサービスのコールを参照してください。

ポリシーを作成する場所: テナンシ内。

Allow dynamic-group MetricInstances to read metrics in tenancy

アクセス・タイプ: アラーム詳細の取得およびアラーム履歴の取得の機能。アラームを作成したり、トピックを作成または削除したりする機能は含まれません。

ポリシーを作成する場所: テナンシ内。ポリシー継承の概念上、グループは任意のコンパートメントのアラームを表示できます。特定のコンパートメントへのアクセスの範囲を減らすには、テナンシのかわりにコンパートメントを指定します。

Allow group <group_name> to read alarms in tenancy
Allow group <group_name> to read metrics in tenancy

アクセス・タイプ:通知にストリームおよび既存のトピックを使用して、アラームを管理する機能。トピックを作成または削除する機能は含まれません。

ポリシーを作成する場所: テナンシ内。ポリシー継承の概念上、グループは、任意のコンパートメントでアラームを表示および作成できるようになります。特定のコンパートメントへのアクセスの範囲を減らすには、テナンシのかわりにコンパートメントを指定します。

Allow group <group_name> to manage alarms in tenancy
Allow group <group_name> to read metrics in tenancy
Allow group <group_name> to use ons-topics in tenancy
Allow group <group_name> to use streams in tenancy

アクセス・タイプ: 通知のトピック(およびサブスクリプション)の作成(および通知のストリームの使用)など、アラームを管理する機能。

ポリシーを作成する場所: テナンシ内。ポリシー継承の概念上、グループは、任意のコンパートメントでアラームを表示および作成できるようになります。特定のコンパートメントへのアクセスの範囲を減らすには、テナンシのかわりにコンパートメントを指定します。

Allow group <group_name> to manage alarms in tenancy
Allow group <group_name> to read metrics in tenancy
Allow group <group_name> to manage ons-topics in tenancy
Allow group <group_name> to use streams in tenancy

アクセス・タイプ: テナンシの使用状況レポートを表示する機能。使用状況レポートの詳細は、コストおよび使用状況レポートの概要を参照してください。

ポリシーの作成場所: これは特殊なクロス・テナンシ・ポリシーであり、テナンシ内に作成する必要があります。詳細は、コストおよび使用状況レポートへのアクセスに関する項を参照してください。

define tenancy usage-report as ocid1.tenancy.oc1..aaaaaaaaned4fkpkisbwjlr56u7cj63lf3wffbilvqknstgtvzub7vhqkggq
				endorse group Administrators to read objects in tenancy usage-report

アクセス権タイプ: テナンシのコストを表示する権限。経費と使用状況の確認を参照してください。

ポリシーを作成する場所: テナンシ内。<Example_Group>のユーザーがアカウント全体のコストを確認できるようになります。

Allow group <Example_Group> to read usage-reports in tenancy

アクセス・タイプ:テナンシ内のトピックを取得、作成、更新および削除する機能、およびテナンシ内の異なるコンパートメントにトピックを移動する機能。また、テナンシでサブスクリプションを作成し、テナンシのすべてのサブスクリプションにメッセージ(ブロードキャスト通知メッセージ)を公開する機能も含まれます。

ポリシーを作成する場所: テナンシ内。

Allow group TopicManagers to manage ons-topics in tenancy

アクセス・タイプ:テナンシのトピックのサブスクリプションをリスト、作成、更新および削除する機能。サブスクリプションをテナンシ内の異なるコンパートメントに移動する機能。

ポリシーを作成する場所: テナンシ内。

Allow group SubscriptionUsers to manage ons-subscriptions in tenancy

アクセス・タイプ:テナンシ内のすべてのサブスクリプションに通知メッセージをブロードキャストし、テナンシ内のサブスクリプションをリスト、作成、更新および削除する機能。

ポリシーを作成する場所: テナンシ内。

Allow group TopicUsers to use ons-topics in tenancy

アクセス・タイプ:クラウド・シェルを使用してOCI関数のアプリケーションおよび関数を作成、デプロイおよび管理する機能。これらのポリシー・ステートメントにより、クラウド・シェル、Oracle Cloud Infrastructure Registry内のリポジトリ、ログ、メトリック、ファンクション、ネットワークおよびトレースへのアクセス権がグループに付与されます。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメント内のリソースのみにアクセス範囲を減らすには、ほとんどのポリシー・ステートメントでテナンシのかわりにそのコンパートメントを指定します。ただし、to use cloud-shell、to manage reposおよびto read objectstorage-namespacesでは、常にテナンシにスコープ設定する必要があります。

Allow group functions-developers to use cloud-shell in tenancy
Allow group functions-developers to manage repos in tenancy
Allow group functions-developers to read objectstorage-namespaces in tenancy
Allow group functions-developers to manage logging-family in tenancy
Allow group functions-developers to read metrics in tenancy
Allow group functions-developers to manage functions-family in tenancy
Allow group functions-developers to use virtual-network-family in tenancy
Allow group functions-developers to use apm-domains in tenancy
Allow group functions-developers to read vaults in tenancy
Allow group functions-developers to use keys in tenancy
Allow service faas to use apm-domains in tenancy
Allow service faas to read repos in tenancy where request.operation='ListContainerImageSignatures'
Allow service faas to {KEY_READ} in tenancy where request.operation='GetKeyVersion'
Allow service faas to {KEY_VERIFY} in tenancy where request.operation='Verify'

アクセス・タイプ: イベント・ルールをリストできるかどうか。

ポリシーを作成する場所: テナンシ内。

Allow group RuleReaders to read cloudevents-rules in tenancy

前述のポリシーを使用すると、RuleReadersはテナンシのルールをリストできます。

アクセス・タイプ:ルールの作成、削除、更新など、イベント・ルールを管理する機能。

ポリシーを作成する場所: テナンシ内。

allow group <RuleAdmins> to inspect compartments in tenancy

allow group <RuleAdmins> to use tag-namespaces in tenancy

allow group <RuleAdmins> to inspect streams in tenancy
allow group <RuleAdmins> to use stream-push in tenancy
allow group <RuleAdmins> to use stream-pull in tenancy

allow group <RuleAdmins> to use virtual-network-family in tenancy
allow group <RuleAdmins> to manage function-family in tenancy

allow group <RuleAdmins> to use ons-topic in tenancy

allow group <RuleAdmins> to manage cloudevents-rules in tenancy

アクセス・タイプ: クラウド・ガードのすべてへの読取り専用アクセス。ポリシーの例では、グループは「CloudGuard_ReadOnly」です。

allow group CloudGuard_ReadOnly to read cloud-guard-family in tenancy
allow group CloudGuard_ReadOnly to read compartments in tenancy
allow group CloudGuard_ReadOnly to read announcements in tenancy

アクセス・タイプ: クラウド・ガードの問題への読取り専用アクセス。ポリシーの例では、グループは「CloudGuard_ReadOnlyProblems」です。

allow group CloudGuard_ReadOnlyProblems to read cloud-guard-family in tenancy
allow group CloudGuard_ReadOnlyProblems to inspect cloud-guard-detectors in tenancy
allow group CloudGuard_ReadOnlyProblems to inspect cloud-guard-targets in tenancy
allow group CloudGuard_ReadOnlyProblems to inspect cloud-guard-resource-types in tenancy
allow group CloudGuard_ReadOnlyProblems to read announcements in tenancy
allow group CloudGuard_ReadOnlyProblems to read compartments in tenancy
allow group CloudGuard_ReadOnlyProblems to read cloud-guard-config in tenancy

アクセス・タイプ: クラウド・ガード・ディテクタ・レシピへの読取り専用アクセス。ポリシーの例では、グループは「CloudGuard_ReadOnlyDetectors」です。

allow group CloudGuard_ReadOnlyDetectors to read cloud-guard-detector-recipes in tenancy
allow group CloudGuard_ReadOnlyDetectors to read announcements in tenancy
allow group CloudGuard_ReadOnlyDetectors to read compartments in tenancy
allow group CloudGuard_ReadOnlyDetectors to read cloud-guard-config in tenancy

アクセス・タイプ: 単一コンパートメント内のクラウド・ガードへの読取り専用アクセス。ポリシーの例では、グループは「CloudGuard_ReadOnly_SingleCompartment」で、コンパートメント名は「cgDemo_RestrictedAccess」です。

allow group CloudGuard_ReadOnly_SingleCompartment to read compartments in tenancy where target.compartment.name = 'cgDemo_RestrictedAccess'
allow group CloudGuard_ReadOnly_SingleCompartment to read cloud-guard-family in compartment cgDemo_RestrictedAccess
allow group CloudGuard_ReadOnly_SingleCompartment to read announcements in compartment cgDemo_RestrictedAccess
allow group CloudGuard_ReadOnly_SingleCompartment to read cloud-guard-config in tenancy

アクセス・タイプ: グループがすべてのフル・スタック・ディザスタ・リカバリ操作のスーパーユーザーになることを許可する機能。

Allow group DRUberAdmins to manage disaster-recovery-family in tenancy

アクセス・タイプ: グループにディザスタ・リカバリ(DR)保護グループ、DR計画および事前チェックの実行を許可する機能。ただし、実際にDR計画実行を作成することはできません。

ポリシーを作成する場所: コンパートメント内。

Allow group DRMonitors to manage disaster-recovery-protection-groups in compartment ApplicationERP
Allow group DRMonitors to manage disaster-recovery-plans in compartment ApplicationERP
Allow group DRMonitors to manage disaster-recovery-prechecks in compartment ApplicationERP

アクセス・タイプ: グループにディザスタ・リカバリ(DR)保護グループおよびDR計画の作成を許可するが、DR計画実行または事前チェックの作成を許可する機能。

Allow group DRConfig to manage disaster-recovery-protection-groups in compartment ApplicationERP
Allow group DRConfig to manage disaster-recovery-plans in compartment ApplicationERP

アクセス・タイプ: KMSキーを使用するためにKMSと統合するその他のサービス。

ポリシーを作成する場所:このポリシーをテナンシに配置する方法が最も簡単です。個々のコンパートメント(ABC)の管理者がコンパートメントの個々のポリシー・ステートメントを制御するには、次のコマンドを実行します。

例: Allow service objectstorage-<region> to use keys in compartment ABC where target.key.id = '<key_OCID>'

allow service objectstorage-<region> to use keys in compartment Compartments where target.key.id = ocid1.key.oc1..exampleuniqueID

アクセス・タイプ: すべてのコンパートメントの要塞サービスのすべてのリソースを管理する機能。これは、単一セットのセキュリティ管理者がすべてのコンパートメントのすべての要塞およびセッションを管理する場合に意味を持ちます。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメント内の要塞および要塞セッションのみにアクセス範囲を減らすには、テナンシのかわりにそのコンパートメントを指定します。

Allow group SecurityAdmins to manage bastion in tenancy
Allow group SecurityAdmins to manage bastion-session in tenancy
Allow group SecurityAdmins to manage virtual-network-family in tenancy
Allow group SecurityAdmins to read instance-family in tenancy
Allow group SecurityAdmins to read instance-agent-plugins in tenancy
Allow group SecurityAdmins to inspect work-requests in tenancy

アクセス・タイプ: すべての要塞およびすべてのコンパートメントのすべてのセッションを管理する機能(セッションの作成、接続および終了を含む)。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメント内の要塞セッションのみにアクセス範囲を減らすには、テナンシのかわりにそのコンパートメントを指定します。

Allow group SecurityAdmins to use bastion in tenancy
Allow group SecurityAdmins to manage bastion-session in tenancy
Allow group SecurityAdmins to manage virtual-network-family in tenancy
Allow group SecurityAdmins to read instance-family in tenancy
Allow group SecurityAdmins to read instance-agent-plugins in tenancy
Allow group SecurityAdmins to inspect work-requests in tenancy

アクセス・タイプ: 特定のコンパートメント内の要塞のセッションを管理する機能(特定のコンピュート・インスタンスに接続を提供するセッションのみが対象)。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。

Allow group SecurityAdmins to use bastion in compartment ABC
Allow group SecurityAdmins to manage bastion-session in compartment ABC where ALL {target.resource.ocid='<instance_OCID>', target.bastion-session.username='<session_username>'}
Allow group SecurityAdmins to manage virtual-network-family in tenancy
Allow group SecurityAdmins to read instance-family in tenancy
Allow group SecurityAdmins to read instance-agent-plugins in tenancy
Allow group SecurityAdmins to inspect work-requests in tenancy

アクセス・タイプ:すべてのコンパートメント内のすべてのコンピュート・インスタンスをスキャンし、スキャン結果を表示するようにOracle Cloud Infrastructure Vulnerability Scanning Serviceを構成する機能。単一セットのセキュリティ管理者がすべてのインスタンスの脆弱性スキャンを構成する場合は、このポリシーを検討してください。

ポリシーを作成する場所: ポリシー継承を介してすべてのコンパートメントにアクセス権が付与されるようにするため、テナンシ。特定のコンパートメント内のコンピュート・インスタンスのみにアクセス範囲を減らすには、テナンシのかわりにそのコンパートメントを指定します。

Allow group SecurityAdmins to manage vss-family in tenancy
Allow service vulnerability-scanning-service to manage instances in tenancy
Allow service vulnerability-scanning-service to read compartments in tenancy
Allow service vulnerability-scanning-service to read vnics in tenancy
Allow service vulnerability-scanning-service to read vnic-attachments in tenancy

アクセス・タイプ:セキュリティ脆弱性を検出するために、すべてのコンパートメント内のコンピュート・・インスタンスのスキャン結果を表示する機能。専門チームがテナンシ全体のセキュリティの確認または監査を担当する場合は、このポリシーを検討してください。

ポリシーを作成する場所: ポリシー継承を介してすべてのコンパートメントにアクセス権が付与されるようにするため、テナンシ。特定のコンパートメント内のスキャン結果のみにアクセス範囲を減らすには、テナンシのかわりにそのコンパートメントを指定します。

Allow group SecurityReviewers to read vss-family in tenancy

アクセス・タイプ:テナンシのコネクタをリスト、作成、更新および削除する機能。テナンシ内の別のコンパートメントにコネクタを移動する機能。

ポリシーを作成する場所: テナンシ内。

Allow group A-Admins to manage serviceconnectors in tenancy

IAMポリシー(コネクタ・ハブの保護)も参照してください。

アクセス・タイプ:テナンシ・レベルでのみOpsインサイト収集操作をコールする機能。

ポリシーを作成する場所: テナンシ内。

allow group opsi-users to use opsi-database-insights in tenancy 
where any 
{request.operation='IngestSqlBucket', 
request.operation='IngestSqlText',
request.operation='IngestSqlPlanLines'}

コンパートメント内のワークスペースを作成、削除および変更する機能。

allow group <group-name> to manage dis-workspaces in <compartment-name>
allow group <group-name> to manage dis-work-requests in <compartment-name>
allow group <group-name> to manage tag-namespaces in <compartment-name>

仮想ネットワーク内のワークスペースを作成、削除および変更する機能。

allow service dataintegration to use virtual-network-family in <compartment-name>
allow group <group-name> to manage dis-workspaces in <compartment-name>
allow group <group-name> to manage dis-work-requests in <compartment-name>
allow group <group-name> to use virtual-network-family in <compartment-name>
allow group <group-name> to manage tag-namespaces in <compartment-name>

すべてのワークスペース内でオブジェクト・ストレージ・データ・アセットを作成および使用する機能。

allow any-group to use buckets in <compartment-name> where ALL {request.principal.type='disworkspace'}
allow any-group to manage objects in <compartment-name> where ALL {request.principal.type='disworkspace'}
allow group <group-name> to use object-family in <compartment-name>

個々のワークスペースへのアクセス権を付与するには、アクセスを許可するワークスペースのOCIDを指定します。例:

allow any-group to use buckets in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}
allow any-group to manage objects in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}

すべてのワークスペース内でAutonomous Databaseデータ・アセットを作成および使用する機能。

allow any-group to use buckets in <compartment-name> where ALL {request.principal.type='disworkspace'}
allow any-group to manage objects in <compartment-name> where ALL {request.principal.type='disworkspace'}
allow group <group-name> to use object-family in <compartment-name>
allow any-group to manage buckets in <compartment-name> where ALL {request.principal.type='disworkspace', request.permission='PAR_MANAGE'}

個々のワークスペースへのアクセス権を付与するには、アクセスを許可するワークスペースのOCIDを指定します。例:

allow any-group to use buckets in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}
allow any-group to manage objects in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}
allow any-group to manage buckets in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>', request.permission='PAR_MANAGE'}

指定されたワークスペースでデータ統合のコンポーネントを検索する機能。

このポリシーは、テナンシ(ルート・コンパートメント)レベルで適用する必要があります。

allow service dataintegration to {TENANCY_INSPECT} in tenancy
allow service dataintegration to {DIS_METADATA_INSPECT} in tenancy

新規コンパートメントにワークスペースを移動する機能。

allow service dataintegration to inspect compartments in <compartment-name>
allow group <group-name> to manage dis-workspaces in <compartment-name>

すべてのワークスペース内の様々なタスクをOCIデータ・フロー・サービスに公開する機能。

allow any-group to manage dataflow-application in <compartment-name> where ALL {request.principal.type='disworkspace'}

個々のワークスペースへのアクセス権を付与するには、アクセスを許可するワークスペースのOCIDを指定します。例:

allow any-group to manage dataflow-application in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}

すべてのワークスペース内のOCIボールト・シークレットを使用する機能。

allow any-group to read secret-bundles in <compartment-name> where ALL {request.principal.type='disworkspace'}
allow group <group-name> to read secret-bundles in <compartment-name>

個々のワークスペースへのアクセス権を付与するには、アクセスを許可するワークスペースのOCIDを指定します。例:

allow any-group to read secret-bundles in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}

アクセス・タイプ: Oracle Cloud Infrastructureサービスの操作ステータスに関するお知らせを配信するサブスクリプションを管理する機能。

ポリシーを作成する場所:このポリシーをテナンシに配置する方法が最も簡単です。ポリシー継承の概念により、アクセス権を付与するグループは、任意のコンパートメントでお知らせのサブスクリプションを管理できます。特定のコンパートメントのお知らせにアクセス範囲を減らすには、テナンシのかわりにコンパートメントを指定します。

Allow group AnnouncementAdmins to manage announcement-subscriptions in tenancy

このポリシーによって、AnnouncementAdminsは、要約のお知らせのリストおよび特定のお知らせの詳細を表示できます。