関数の詳細
このトピックでは、OCIファンクションへのアクセスを制御するポリシーの書込みの詳細を説明します。
リソース・タイプ
集約リソース・タイプ
functions-family
個々のリソース・タイプ
fn-appfn-functionfn-invocation
コメント
<verb> functions-familyを使用するポリシーは、個々のリソース・タイプごとに個別の<verb> <individual resource-type>ステートメントを使用して記述することと同じです。
functions-familyに含まれる個々のリソース・タイプについて、各動詞でカバーされているAPI操作の詳細は、動詞とリソース・タイプの組合せの詳細の表を参照してください。
サポートされている変数
OCI関数は、すべての一般的な変数をサポートします(すべてのリクエストの一般的な変数を参照)。
動詞とリソース・タイプの組合せの詳細
次の表に、各動詞でカバーされている権限およびAPI操作を示します。アクセス・レベルは、inspect > read > use > manageの順に累積されます。たとえば、リソースを使用できるグループは、そのリソースを検査して読み取ることもできます。表セル内のプラス記号(+)は、その上のセルと比較して増分アクセスを示しますが、「余分なし」は増分アクセスを示しません。
たとえば、fn-appリソース・タイプに対するread動詞には、inspect動詞と同じ権限およびAPI操作に加えて、FN_APP_READ権限とGetApp API操作が含まれます。fn-appリソース・タイプの場合、use動詞では、readと比較して追加の権限またはAPI操作は含まれません。最後に、manageではuseと比較してより多くの権限および操作をカバーします。
| 動詞 | 権限 | 完全に対象となるAPI | 部分的に対象となるAPI |
|---|---|---|---|
| inspect | FN_APP_LIST |
ListApp
|
なし |
| read | INSPECT + FN_APP_READ |
INSPECT +
|
なし |
| use | 余分なし |
余分なし |
なし |
| manage | USE + FN_APP_CREATE FN_APP_DELETE FN_APP_UPDATE |
USE +
|
なし |
| 動詞 | 権限 | 完全に対象となるAPI | 部分的に対象となるAPI |
|---|---|---|---|
| inspect | FN_FUNCTION_LIST |
ListFunctions
|
なし |
| read | INSPECT + FN_FUNCTION_READ |
INSPECT +
|
なし |
| use | 余分なし |
余分なし |
なし |
| manage | USE + FN_FUNCTION_CREATE FN_FUNCTION_DELETE FN_FUNCTION_UPDATE |
USE +
|
なし |
| 動詞 | 権限 | 完全に対象となるAPI | 部分的に対象となるAPI |
|---|---|---|---|
| inspect | なし |
なし |
なし |
| read | なし |
なし |
なし |
| use | FN_INVOCATION |
InvokeFunction
|
なし |
| manage | 余分なし |
余分なし |
なし |
各API操作に必要な権限
次の表は、API操作を論理的な順序で、リソース・タイプ別にグループ化して示しています。権限の詳細は、権限を参照してください。
| API操作 | 操作の使用に必要な権限 |
|---|---|
CreateApp
|
FN_APP_CREATE |
DeleteApp
|
FN_APP_DELETE |
ListApp
|
FN_APP_LIST |
GetApp
|
FN_APP_READ |
UpdateApp
|
FN_APP_UPDATE |
CreateFunction
|
FN_FUNCTION_CREATE |
DeleteFunction
|
FN_FUNCTION_DELETE |
ListFunctions
|
FN_FUNCTION_LIST |
GetFunction
|
FN_FUNCTION_READ |
UpdateFunction
|
FN_FUNCTION_UPDATE |
InvokeFunction
|
FN_INVOCATION |