ボールト・サービスの詳細

このトピックでは、ボールト・サービスへのアクセスを制御するポリシーの記述の詳細を説明します。

個々のリソース・タイプ

vaults

keys

key-delegate

secrets

secret-versions

secret-bundles

集約リソース・タイプ

secret-family

ポリシーで<verb> secret-familyを使用することは、個々のシークレット・リソース・タイプごとに個別の<verb> <individual resource-type>ステートメントを使用してポリシーを記述することと同じです。(シークレット・リソース・タイプには、secretssecret-versionsおよびsecret-bundlesのみが含まれます。)

secret-familyに含まれる個々のリソース・タイプについて、各動詞でカバーされているAPI操作の詳細は、動詞とリソース・タイプの組合せの詳細の表を参照してください。

key-family

<verb> Key-familyを使用するポリシーは、個々のシークレット・リソース・タイプごとに個別の<verb> <individual resource-type>文を使用して記述することと同じです。(キー・リソース・タイプには、vaultskeysおよびkey-delegateのみが含まれます。)

secret-familyに含まれる個々のリソース・タイプについて、各動詞でカバーされているAPI操作の詳細は、動詞とリソース・タイプの組合せの詳細の表を参照してください。

サポートされている変数

ボールトでは、すべての一般的な変数と、ここにリストされた変数がサポートされています。Oracle Cloud Infrastructureサービスでサポートされる一般的な変数の詳細は、すべてのリクエストの一般的な変数を参照してください。

変数 変数タイプ コメント
request.includePlainTextKey 文字列 この変数を使用して、データ暗号化キーの生成リクエストに応答して暗号化キーに加えてプレーン・テキスト・キーを戻すかどうかを制御します。
request.kms-key.id 文字列 この変数を使用して、ボールト・マスター暗号化キーなしでブロック・ボリュームまたはバケットを作成できるかどうかを制御します。
target.boot-volume.kms-key.id 文字列 この変数を使用して、ボールト・マスター暗号化キーなしで作成されたブート・ボリュームでコンピュート・インスタンスを起動できるかどうかを制御します。
target.key.id エンティティ(OCID) この変数を使用して、OCID別に特定のキーへのアクセスを制御します。
target.vault.id エンティティ(OCID) この変数を使用して、OCID別に特定のボールトへのアクセスを制御します。
target.secret.name 文字列 この変数を使用して、名前別に特定のシークレット、シークレット・バージョンおよびシークレット・バンドルへのアクセスを制御します。
target.secret.id エンティティ(OCID) この変数を使用して、OCID別に特定のシークレット、シークレット・バージョンおよびシークレット・バンドルへのアクセスを制御します。

動詞とリソース・タイプの組合せの詳細

次の表に、各動詞でカバーされている権限およびAPI操作を示します。アクセス・レベルは、inspect > read > use > manageの順に累積されます。たとえば、リソースを使用できるグループは、そのリソースを検査して読み取ることもできます。表セル内のプラス記号(+)は、その上のセルと比較して増分アクセスを示しますが、「余分なし」は増分アクセスを示しません。

たとえば、keysリソース・タイプに対するuse動詞には、read動詞と同じ権限およびAPI操作に加え、KEY_ENCRYPT権限とKEY_DECRYPT権限、および多数のAPI操作(EncryptDecryptおよびGenerateDataEncryptionKey)が含まれます。manage動詞は、use動詞と比較したときに、さらに権限とAPI操作を使用できます。

vaults
動詞 権限 完全に対象となるAPI 部分的に対象となるAPI
inspect

VAULT_INSPECT

ListVaults

なし

read

INSPECT +

VAULT_READ

INSPECT +

GetVault

なし

use

READ +

VAULT_CREATE_KEY

VAULT_IMPORT_KEY

VAULT_CREATE_SECRET

余分なし

 

CreateKey (manage keysも必要)

ImportKey (manage keysも必要)

CreateSecret (manage secretsも必要)

manage

USE +

VAULT_CREATE

VAULT_UPDATE

VAULT_DELETE

VAULT_MOVE

VAULT_BACKUP

VAULT_RESTORE

VAULT_REPLICATE

USE +

CreateVault

UpdateVault

ScheduleVaultDeletion

CancelVaultDeletion

ChangeVaultCompartment

BackupVault

RestoreVaultFromFile

RestoreVaultFromObjectStore

CreateVaultReplica

DeleteVaultReplica

なし

keys
動詞 権限 完全に対象となるAPI 部分的に対象となるAPI
inspect

KEY_INSPECT

ListKeys

ListKeyVersions

なし

read

INSPECT +

KEY_READ

INSPECT +

GetKey

GetKeyVersion

なし

use

READ +

KEY_ENCRYPT

KEY_DECRYPT

KEY_EXPORT

KEY_SIGN

KEY_VERIFY

READ +

Encrypt

Decrypt

ExportKey

Sign

Verify

なし

manage

USE +

KEY_CREATE

KEY_UPDATE

KEY_ROTATE

KEY_DELETE

KEY_MOVE

KEY_IMPORT

KEY_BACKUP

KEY_RESTORE

USE +

CreateKey

UpdateKey

CreateKeyVersion

CancelKeyDeletion

ChangeKeyCompartment

ImportKeyVersion

BackupKey

RestoreKeyFromFile

RestoreKeyFromObjectStore

CreateKey (use vaultsも必要)

ImportKey (use vaultsも必要)

key-delegate
動詞 権限 完全に対象となるAPI 部分的に対象となるAPI
use

KEY_ASSOCIATE

KEY_DISASSOCIATE

Encrypt

GenerateDataEncryptionKey

Decrypt

なし

key-family

このトピックでは、key-familyリソース・タイプの動詞、権限およびAPI操作のリストを示します。

動詞 権限 API操作
inspect

KEY_INSPECT

VAULT_INSPECT

ListKeys

ListVaultReplicas

read

KEY_INSPECT

KEY_READ

VAULT_INSPECT

VAULT_READ

ListKeys

GetKey

ListVaultReplicas

GetVault

use

KEY_ASSOCIATE

KEY_DECRYPT

KEY_DISSOCIATE

KEY_ENCRYPT

KEY_INSPECT

KEY_READ

VAULT_CREATE_KEY

VAULT_INSPECT

VAULT_READ

Encrypt

Decrypt

GenerateDataEncryptionKey

Encrypt

ListKeys

GetKey

CreateKey

ListVaultReplicas

GetVault

manage

KEY_ASSOCIATE

KEY_BACKUP

KEY_CREATE

KEY_DECRYPT

KEY_DELETE

KEY_DISSOCIATE

KEY_ENCRYPT

VAULT_INSPECT

VAULT_MOVE

Encrypt

BackupKey

CreateKey

Decrypt

ScheduleKeyDeletion

GenerateDataEncryptionKey

Encrypt

ListVaultReplicas

ChangeVaultCompartment

hsmクラスタ
動詞 権限 完全にカバーされるAPI 一部カバーされるAPI
インスペクト

HSM_CLUSTER_INSPECT

ListHsmClusters

ListHsmPartitions

なし

read

HSM_CLUSTER_READ

GetHsmCluster

GetHsmPartition

なし

use

HSM_CLUSTER_UPDATE

GetPreCoUserCredentials

DownloadCertificateSigningRequest

UpdateHsmCluster

UploadPartitionCertificates

なし

manage

HSM_CLUSTER_DELETE

HSM_CLUSTER_CREATE

HSM_CLUSTER_MOVE

CreateHsmCluster

ChangeHsmClusterCompartment

ScheduleHsmClusterDeletion

CancelHsmClusterDeletion

なし

secrets
動詞 権限 完全に対象となるAPI 部分的に対象となるAPI
inspect

SECRET_INSPECT

ListSecrets

なし

read

INSPECT +

SECRET_READ

INSPECT +

GetSecret

なし

use

READ +

SECRET_UPDATE

READ +

UpdateSecret

READ +

ChangeSecretCompartment (manage secretsも必要)

ScheduleSecretVersionDeletion (manage secret-versionsも必要)

CancelSecretVersionDeletion (manage secret-versionsも必要)

manage

USE +

SECRET_CREATE

SECRET_DELETE

SECRET_MOVE

USE +

ScheduleSecretDeletion

CancelSecretDeletion

USE +

CreateSecret (use vaultsも必要)

ChangeSecretCompartment (use secretsも必要)

secret-versions
動詞 権限 完全に対象となるAPI 部分的に対象となるAPI
inspect

SECRET_VERSION_INSPECT

ListSecretVersions

なし

read

INSPECT +

SECRET_VERSION_READ

INSPECT +

GetKeyVersion

なし

manage

READ +

SECRET_VERSION_DELETE

余分なし

ScheduleSecretVersionDeletion (use secretsも必要)

CancelSecretVersionDeletion (use secretsも必要)

secret-bundles
動詞 権限 完全に対象となるAPI 部分的に対象となるAPI
inspect

SECRET_BUNDLE_INSPECT

ListSecretBundles

なし

read

INSPECT +

SECRET_BUNDLE_READ

INSPECT +

GetSecretBundle

なし

各API操作に必要な権限

次の表は、API操作を論理的な順序で、リソース・タイプ別にグループ化して示しています。

権限の詳細は、権限を参照してください。

API操作 操作の使用に必要な権限
ListVaults VAULT_INSPECT
GetVault VAULT_READ
CreateVault VAULT_CREATE
UpdateVault VAULT_UPDATE
ScheduleVaultDeletion VAULT_DELETE
CancelVaultDeletion VAULT_DELETE
ChangeVaultCompartment VAULT_MOVE
BackupVault VAULT_BACKUP
RestoreVaultFromFile VAULT_RESTORE
RestoreVaultFromObjectStore VAULT_RESTORE
ListVaultReplicas VAULT_INSPECT
CreateVaultReplica VAULT_REPLICATE
DeleteVaultReplica VAULT_REPLICATE
ListKeys KEY_INSPECT
ListKeyVersions KEY_INSPECT
GetKey KEY_READ
CreateKey KEY_CREATEとVAULT_CREATE_KEY
EnableKey KEY_UPDATE
DisableKey KEY_UPDATE
UpdateKey KEY_UPDATE
ScheduleKeyDeletion KEY_DELETE
CancelKeyDeletion KEY_DELETE
ChangeKeyCompartment KEY_MOVE
BackupKey KEY_BACKUP
RestoreKeyFromFile KEY_RESTORE
RestoreKeyFromObjectStore KEY_RESTORE
GetKeyVersion KEY_READ
CreateKeyVersion KEY_ROTATE
ImportKey KEY_IMPORTおよびVAULT_IMPORT_KEY
ImportKeyVersion KEY_IMPORT
ExportKey KEY_EXPORT
GenerateDataEncryptionKey KEY_ENCRYPT
Encrypt KEY_ENCRYPT
Decrypt KEY_DECRYPT
Sign KEY_SIGN
Verify KEY_VERIFY
CreateSecret KEY_ENCRYPT、KEY_DECRYPT、SECRET_CREATEおよびVAULT_CREATE_SECRET
UpdateSecret SECRET_UPDATE
ListSecrets SECRET_INSPECT
GetSecret SECRET_READ
ScheduleSecretDeletion SECRET_DELETE
ChangeSecretCompartment SECRET_MOVEおよびSECRET_UPDATE
ListSecretVersions SECRET_VERSION_INSPECT
GetSecretVersion SECRET_VERSION_READ
ScheduleSecretVersionDeletion SECRET_VERSION_DELETEおよびSECRET_UPDATE
CancelSecretVersionDeletion SECRET_VERSION_DELETEおよびSECRET_UPDATE
ListSecretBundles SECRET_BUNDLE_INSPECT
GetSecretBundle SECRET_BUNDLE_READ
GetSecretBundleByName SECRET_BUNDLE_READ