Oracle Cloud Infrastructureドキュメント

動詞

ポリシー・ステートメントの動詞要素は、アクセスのタイプを指定します。たとえば、inspectを使用して、サード・パーティ監査者が指定したリソースをリストできるようにします。

IAMポリシーを作成するための動詞は、Oracleによって定義されます。

最低限からほとんどのアクセスでは、次の動詞を使用できます。

  • inspect
  • read
  • use
  • manage

各動詞でカバーされる一般アクセス

次に、可能な各動詞の一般的なアクセス・タイプとターゲット・ユーザーを示します。これらは、最小から最大へのアクセス順に並べられます。一部のリソースでは例外がサポートされています。参照

動詞 ターゲット・ユーザー カバーされるアクセスのタイプ
inspect サードパーティ監査者 リソースに含まれる可能性がある機密情報またはユーザー指定メタデータにはアクセスせずに、リソースをリストできる権限。重要:ポリシーをリストする操作には、ポリシー自体のコンテンツが含まれます。ネットワーキング・リソース・タイプのリスト操作はすべての情報(たとえば、セキュリティ・リストおよびルート表の内容)を返します。
read 内部監査者 inspectに加えて、ユーザー指定のメタデータと実際のリソース自体を取得する機能が含まれます。
use リソースの日常的なエンド・ユーザー readに、既存のリソースを操作する機能を追加します(アクションはリソース・タイプによって異なります)。リソースの更新機能が含まれますが、「更新」操作が「作成」操作と同じ効果的な影響を及ぼすリソース・タイプ(UpdatePolicyUpdateSecurityListなど)は除きます。この場合、「更新」機能はmanage動詞でのみ使用できます。通常、この動詞にはそのタイプのリソースを作成または削除する権限は含まれません。
manage 管理者 リソースのすべての権限が含まれます。

動詞は、特定の一般的なアクセスのタイプ(たとえば、inspectを指定すると、リソースをリストして取得できます)を提供します。次に、そのアクセスのタイプをポリシー内の特定のリソース・タイプと結合する場合(たとえばAllow group XYZ to inspect compartments in the tenancy)、そのグループに特定のセットの権限とAPI操作(ListCompartmentsGetCompartmentなど)のアクセス権を付与えます。詳細な例は、動詞とリソース・タイプの組合せの詳細を参照してください。詳細なサービス・ポリシー・リファレンスには各サービスについて同様の表が含まれ、動詞とリソース・タイプの各組合せについてどのAPI操作が対象かが正確にリストされて提供されます。

特定のリソース・タイプには、いくつかの特別な例外や微妙な違いがあります。

ユーザー: manage usersmanage groupsの両方へのアクセス権によって、ユーザーおよびグループの作成および削除、グループに対するユーザーの追加/削除など、ユーザーおよびグループに対してあらゆる操作を実行できます。ユーザーとグループの作成および削除のためのアクセス権なしでグループのユーザーを追加/削除するには、use usersuse groupsの両方のみが必要です。ポリシー・ビルダーのポリシー・テンプレートを参照してください。

ポリシー:ポリシーの更新は新規ポリシーの作成と同様であるため、ポリシーを更新する機能は、use policiesではなくmanage policiesでのみ使用可能です(既存のポリシー・ステートメントは上書きできます)。また、inspect policiesを使用すると、ポリシーの全コンテンツを取得できます。

オブジェクト・ストレージ・オブジェクト:inspect objectsによって、バケット内のすべてのオブジェクトをリストし、特定のオブジェクトに対してヘッド操作を実行できます。また、read objectsでは、オブジェクト自体をダウンロードできます。

Load Balancerリソース:inspect load-balancersによって、ロード・バランサや関連コンポーネント(バックエンド・セットなど)に関するすべての情報を取得できます。

ネットワーキング・リソース:

inspect動詞では、クラウド・ネットワークのコンポーネント(セキュリティ・リストまたはルート表の名前とOCIDなど)に関する一般情報が戻されるだけではありません。コンポーネントのコンテンツ(たとえば、セキュリティ・リスト内の実際のルール、ルート表内のルートなど)も含まれます。

また、次のタイプの機能はmanage動詞でのみ使用でき、use動詞では使用できません。

  • internet-gatewaysの更新(有効化/無効化)
  • security-listsの更新
  • route-tablesの更新
  • dhcp-optionsの更新
  • Dynamic Routing Gateway (DRG)のVirtual Cloud Network (VCN)へのアタッチ
  • DRGと顧客構内機器(CPE)間のIPSec接続の作成
  • ピアVCN
重要

各VCNには、ネットワークの動作に直接影響する様々なコンポーネント(ルート表、セキュリティ・リスト、DHCPオプション、インターネット・ゲートウェイなど)があります。これらのコンポーネントのいずれかを作成する場合、そのコンポーネントとVCNの間の関係を確立します。つまり、コンポーネントを作成してVCN自体を管理することがポリシーで許可されている必要があります。ただし、(ルート・ルールやセキュリティ・リスト・ルールなどを変更するため)そのコンポーネントを更新する機能は、コンポーネントを変更してネットワークの動作に直接影響する場合でも、VCN自体を管理する権限を必要としません。これは、ユーザーに最低限の権限を付与する柔軟性を提供するためであり、ユーザーがネットワークの他のコンポーネントを管理できるように、VCNに過度のアクセス権を付与する必要はありません。特定のタイプのコンポーネントを更新する機能をユーザーに提供することで、ネットワークの動作の制御を暗黙的に信頼することになるので注意してください。