リソース
リソース・タイプはOracleによって定義されます。リソース・タイプは、ポリシーが適用されるタイプまたはリソースを指定します。
構文:
<resource> | all-resourcesアクセス権が付与される条件を指定する機能など、ポリシーをより細かくするには、より多くのオプションがあります。
アクセス権が付与される条件を指定する機能など、ポリシーをより細かくするには、他の方法を使用できます。詳細は、条件を参照してください。
個別リソース・タイプ
個々のリソース・タイプには特定のタイプのリソースが含まれます。vcnsが複数ある場合は、サブジェクト内のすべてのユーザーが動詞を実行できます。たとえば、vcnsリソース・タイプは、仮想クラウド・ネットワーク(VCN)専用です。その他の個々のリソース・タイプには、subnets、instancesおよびvolumesがあります。サポートされるリソースタイプの詳細は、サービスの詳細を参照してください。
Allow group HelpDesk to manage vcns in tenancyアクセス権が付与される条件を指定する機能など、ポリシーをより細かくするためのその他のオプションがあります。
ファミリ・リソース・タイプ
ポリシーの書込みを簡単にするために、ファミリ・リソース・タイプには、頻繁に管理される複数の個別のリソース・タイプが含まれます。たとえば、virtual-network-familyタイプでは、VCNの管理に関連する様々なリソース・タイプ(VCNs、サブネット、ルート表、セキュリティ・リストなど)がまとめられます。個々のリソース・タイプのみにアクセスできるより詳細なポリシーを作成する必要がある場合は、実行できます。しかし、より幅広いリソースにアクセスできるようにポリシーを簡単に作成することもできます。
別の例では、ブロック・ボリュームにボリューム、ボリューム・アタッチメントおよびボリューム・バックアップがあります。ボリュームのバックアップの作成のみにアクセス権を付与する必要がある場合は、ポリシーでボリューム・バックアップ・リソース・タイプを指定できます。ただし、すべてのリソースに幅広いアクセス権限を付与する必要がある場合は、volume-familyというファミリ・タイプを指定できます。
Allow group A-Users to manage volume-family in compartment Project-Aサービスが新しい個々のリソース・タイプを導入する場合、それらは通常、そのサービスのファミリ・タイプに含まれます。たとえば、Networkingが新しい個別のリソース・タイプを導入した場合、それはvirtual-network-familyリソース・タイプの定義に自動的に組み込まれます。サービス更新中のリソース・タイプの定義に対する変更の詳細は、ポリシーとサービスの更新を参照してください。
複数のリソース・タイプを必要とするアクセス
例:
一部のAPI操作では、複数のリソース・タイプにアクセスする必要があります。たとえば、LaunchInstance操作では、コンピュート・インスタンスを作成し、クラウド・ネットワークを使用する機能が必要です。CreateVolumeBackup操作では、ボリュームとボリューム・バックアップの両方にアクセスする必要があります。各リソース・タイプへのアクセス権を付与するには、個別のポリシー・ステートメントが必要です。
Allow group A-Users to manage volumes in compartment Project-AAllow group B-Users to manage volume-backups in compartment Project-Aこれらの個々のステートメントは同じポリシー内に存在する必要はなく、ユーザーは異なるグループから必要なアクセス権を取得できます。
たとえば、Georgeは、ボリューム・リソース・タイプに必要なアクセス・レベルを付与するグループと、volume-backupsリソース・タイプに必要なアクセス・レベルを付与する別のグループに配置できます。個々のステートメントを合計すると、GeorgeにCreateVolumeBackupにアクセスできます。
すべてのリソース
コンパートメントまたはテナンシ内のすべてのリソースを指定するには、all-resourcesを使用します。例:
Allow group A-Admins to manage all-resources in compartment Project-A