IAMポリシーの概要
IAMポリシーは、Oracle Cloud Infrastructure (OCI)テナンシ内のリソースの制御を管理します。
1つのポリシーには、1つ以上のポリシー・ステートメントが含まれます。各文では、基本構文または条件構文を使用します。
基本的な構文:
Allow <subject> to <verb> <resource> in <location>条件付き構文:
Allow <subject> to <verb> <resource> in <location> where <conditions>次の表に、構文の要素について簡単に説明し、各要素の詳細情報へのリンクを示します。
| 要素 | 説明 |
|---|---|
| 許可 | 必要な開始語。ポリシー・ステートメントは常にAllowという語で始まります。ポリシーではアクセスのみが許可され、拒否することはできません。 |
| <件名> |
アクセス権を付与されるユーザー、グループ、またはその他のプリンシパル。サブジェクトにはプリンシパル・タイプおよび識別子(名前またはOCID)が含まれ、デフォルトのアイデンティティ・ドメインが使用されないかぎり、アイデンティティ・ドメインの名前が接頭辞として付けられます。 組織の管理者がテナンシのグループとコンパートメントを定義します。 |
| <verb> | アクセスのレベル。Oracleでは、ポリシーで使用できる動詞およびリソース・タイプを定義しています。動詞を参照してください。 |
| <resource>> |
ポリシーがアクセス権を付与するリソース。Oracleでは、ポリシーで使用できるリソース・タイプを定義しています。リソースを参照してください。一部のAPI操作では、いくつかのリソース・タイプにアクセスする必要があります。たとえば、 |
| <ロケーション> |
(オプション)ポリシーが適用されるコンパートメントまたはテナンシ。コンパートメントの場合、値には識別子(名前またはOCID)が含まれます。 場合によっては、ポリシーはテナンシ内のコンパートメントではなく、テナンシ全体に適用する必要があります。次に、<location>が特定のコンパートメントであるコンパートメント固有のポリシー・ステートメントの例を示します: 次に、<location>がテナンシであるテナンシ全体のポリシー・ステートメントの例を示します: |
| <condition> | (オプション)リソースへのアクセスを制限します。 |
OCIでは、クロステナンシ・ポリシーも作成できます。詳細は、クロステナンシ・アクセス・ポリシーを参照してください。
クロステナンシ・ポリシー
クロステナンシ・ポリシー・ステートメントは、サブジェクトに他のテナンシのリソースを使用する権限を付与します。クロス・テナンシ・アクセス・ポリシーを参照してください。