ポリシー・アタッチメント

IAMポリシーを作成する場合は、IAMのコンパートメントにアタッチする必要があります。

ルート・コンパートメントにポリシーを記述する場合、ポリシーはテナンシ全体に適用されます。通常、管理者グループ、または作成した同様のグループがポリシーを管理します。ポリシーをテナンシにアタッチすると、テナンシのポリシーを管理できるすべてのユーザーが、テナンシ全体のポリシーを変更または削除できます。子コンパートメントにのみアクセスできるユーザーは、ルート・コンパートメントにアタッチされたポリシーを変更または削除できません。

ポリシーを子コンパートメントにアタッチすると、そのコンパートメント内のポリシーを管理するためのアクセス権を持つユーザーがポリシーを管理します。つまり、コンパートメント管理者は、他のコンパートメントやテナンシでより広いアクセス権を付与することなく、自分のコンパートメントのポリシーを簡単に管理できます。