ポリシー・アタッチメント
IAMポリシーを作成する場合は、それをIAMのコンパートメントにアタッチする必要があります。
ルート・コンパートメントにポリシーを記述すると、ポリシーはテナンシ全体に適用されます。通常、管理者グループ、または作成した同様のグループがポリシーを管理します。ポリシーをテナンシにアタッチすると、テナンシのポリシーを管理できるユーザーは、テナンシ全体のポリシーを変更または削除できます。子コンパートメントにのみアクセスできるユーザーは、ルート・コンパートメントにアタッチされているポリシーを変更または削除できません。
ポリシーを子コンパートメントにアタッチすると、そのコンパートメント内のポリシーを管理するアクセス権を持つユーザーがポリシーを管理します。つまり、コンパートメント管理者は、他のコンパートメントやテナンシへのより広範なアクセス権を付与することなく、自分のコンパートメントのポリシーを簡単に管理できます。