証明書サービスの詳細
リソースへのアクセスを制御するポリシーを記述できるように、証明書サービスの権限の詳細について学習します。
このトピックでは、権限を付与できるリソース・タイプ、ポリシーに条件を追加するときに使用できる特別な変数、各リソース・タイプの各動詞でカバーされる権限およびAPI操作の階層、および各API操作の権限に関する証明書サービスの詳細について説明します。
個々のリソース・タイプ
個々のリソース・タイプでは、特定のリソース・タイプにのみスコープ設定されたポリシー・ステートメントを記述できます。
leaf-certificates
leaf-certificate-versions
leaf-certificate-bundles
certificate-authorities
certificate-authority-versions
certificate-authority-bundles
certificate-authority-delegates
cabundles
certificate-associations
certificate-authority-associations
cabundle-associations
集約リソース・タイプ
集約リソース・タイプでは、個々のリソース・タイプを超えて集約リソース・タイプでカバーされるすべてのリソース・タイプにまで拡張されたスコープを持つポリシー・ステートメントを記述できます。
leaf-certificate-family
certificate-authority-family
<verb> leaf-certificate-familyを使用するポリシーは、個々の証明書リソース・タイプ(leaf-certificates、leaf-certificate-versions、leaf-certificate-bundles、cabundles、certificate-associationsおよびcabundle-associations)に対して個別の<verb> <individual resource-type>ステートメントを使用して記述することと同じです。
<verb> certificate-authority-familyを使用するポリシーは、個々の認証局(CA)および証明書リソース・タイプ(certificate-authorities、certificate-authority-versions、certificate-authority-bundles、certificate-authority-delegates、leaf-certificates、leaf-certificate-versions、leaf-certificate-bundles、cabundles、certificate-associations、certificate-authority-associationsおよびcabundle-associations)に対して個別の<verb> <individual resource-type>ステートメントを使用して記述することと同じです。
leaf-certificate-familyおよびcertificate-authority-familyに含まれる個々のリソース・タイプについて、各動詞でカバーされているAPI操作の詳細は、動詞とリソース・タイプの組合せの詳細の表を参照してください。
サポートされている変数
証明書では、すべての一般的な変数と、ここにリストされた変数がサポートされています。Oracle Cloud Infrastructureサービスでサポートされる一般的な変数の詳細は、すべてのリクエストの一般的な変数を参照してください。
| このリソース・タイプの操作... | 使用できる変数... | 変数タイプ | コメント |
|---|---|---|---|
| certificate-authorities | target.certificate-authority.id |
エンティティ(OCID) | この変数を使用して、認証局(CA)のOCIDに基づいてCAへのアクセスを制御します。(CAの作成時には、まだOCIDを持つCAが存在しないため、この変数を使用できません。) |
target.certificate-authority.name |
文字列 | この変数を使用して、特定のCA名へのアクセスを制限します。 | |
target.certificate-authority.subject |
文字列 | この変数を使用して、CAサブジェクトに基づいてCAへのアクセスを制御します。 | |
target.certificate-authority.type |
文字列 | この変数を使用して、特定のタイプのCAへのアクセスを制限します。CAタイプには、ROOT_CAおよびSUBORDINATE_CAが含まれます。 |
|
target.issuer-certificate-authority.id |
文字列 | この変数を使用して、発行者CAのOCIDに基づいてCAへのアクセスを制限します。 | |
| certificate-authority-versions | target.certificate-authority.id |
エンティティ(OCID) | この変数を使用して、CAのOCIDに基づいてCAバージョンへのアクセスを制御します。 |
target.certificate-authority.name |
文字列 | この変数を使用して、CAの名前に基づいてCAバージョンへのアクセスを制御します。 | |
| certificate-authority-bundles | target.certificate-authority.id |
エンティティ(OCID) | この変数を使用して、バンドルのCAのOCIDに基づいてCAのバンドルへのアクセスを制御します。 |
target.certificate-authority.name |
文字列 | この変数を使用して、バンドルのCAの名前によってCAのバンドルへのアクセスを制御します。 | |
| certificate-authority-associations | target.association.id |
エンティティ(OCID) | この変数を使用して、アソシエーションのOCIDに基づいてCAアソシエーションへのアクセスを制御します。(CAアソシエーションの作成時には、まだOCIDを持つアソシエーションが存在しないため、この変数を使用できません。) |
target.association.name |
文字列 | この変数を使用して、アソシエーションの名前に基づいてCAアソシエーションへのアクセスを制御します。 | |
target.association.resourceid |
エンティティ(OCID) | この変数を使用して、アソシエーションで構成されたリソースのOCIDに基づいてCAアソシエーションへのアクセスを制御します。 | |
target.leaf-certificate.id |
エンティティ(OCID) | この変数を使用して、アソシエーションで構成された証明書のOCIDに基づいてCAアソシエーションへのアクセスを制御します。 | |
target.leaf-certificate.name |
文字列 | この変数を使用して、アソシエーションで構成された証明書の名前に基づいてCAアソシエーションへのアクセスを制御します。 | |
| certificate-authority-delegates | target.certificate-authority.id |
エンティティ(OCID) | この変数を使用して、CAのOCIDに基づいてCA委任へのアクセスを制御します。 |
target.certificate-authority.name |
文字列 | この変数を使用して、CAの名前に基づいてCA委任へのアクセスを制御します。 | |
target.issuer-certificate-authority.id |
文字列 | この変数を使用して、発行者CAのOCIDに基づいてCA委任へのアクセスを制御します。 | |
target.resource.type |
文字列 | この変数を使用して、委任のリソース・タイプ(リソースがleaf-certificate、certificate-authorityまたはcabundleのいずれであるか)に基づいてCA委任へのアクセスを制御します。 |
|
| leaf-certificates | target.leaf-certificate.allow-wildcard
|
文字列 | この変数を使用して、証明書の共通名またはサブジェクト代替名にワイルドカードが含まれているかどうかに基づいて証明書へのアクセスを制御します。 |
target.leaf-certificate.alt-subject
|
リスト | この変数を使用して、証明書のサブジェクト代替名に基づいて証明書へのアクセスを制御します。 | |
target.leaf-certificate.alt-subject-size
|
文字列 | この変数を使用して、証明書のサブジェクト代替名の数に基づいて証明書へのアクセスを制御します。 | |
target.leaf-certificate.id
|
エンティティ(OCID) | この変数を使用して、証明書のOCIDに基づいて証明書へのアクセスを制御します。(証明書の作成時には、まだOCIDを持つ証明書が存在しないため、この変数を使用できません。) | |
target.leaf-certificate.name
|
文字列 | この変数を使用して、証明書名に基づいて証明書へのアクセスを制御します。 | |
target.issuer-certificate-authority.id
|
文字列 | この変数を使用して、発行者CAのOCIDに基づいて証明書へのアクセスを制御します。 | |
target.leaf-certificate.profile-type
|
文字列 | この変数を使用して、証明書プロファイル・タイプに基づいて証明書へのアクセスを制御します。証明書プロファイル・タイプには、TLS_SERVER_OR_CLIENT、TLS_SERVER、TLS_CLIENTおよびTLS_CODE_SIGNが含まれます。 |
|
target.leaf-certificate.subject |
文字列 | この変数を使用して、証明書のサブジェクトに基づいて証明書へのアクセスを制御します。 | |
target.leaf-certificate.type |
文字列 | この変数を使用して、証明書の作成方法に基づいて証明書へのアクセスを制御します。証明書構成タイプには、MANAGED_EXTERNALLY_ISSUED_BY_INTERNAL_CA、ISSUED_BY_INTERNAL_CAまたはIMPORTEDが含まれます。 |
|
| leaf-certificate-versions | target.leaf-certificate.id
|
エンティティ(OCID) | この変数を使用して、証明書のOCIDに基づいて証明書バージョンへのアクセスを制御します。この変数を使用して、ボールト・マスター暗号化キーなしでブロック・ボリュームまたはバケットを作成できるかどうかを制御します。 |
target.leaf-certificate.name |
文字列 | この変数を使用して、証明書の名前に基づいて証明書バージョンへのアクセスを制御します。 | |
| leaf-certificate-bundles | target.leaf-certificate.id
|
エンティティ(OCID) | この変数を使用して、証明書のOCIDに基づいて証明書バンドルへのアクセスを制御します。 |
target.leaf-certificate.name |
文字列 | この変数を使用して、証明書の名前に基づいて証明書バンドルへのアクセスを制御します。 | |
target.leaf-certificate.bundle-type |
文字列 | この変数を使用して、証明書バンドル・タイプに基づいて証明書バンドルへのアクセスを制御します。証明書バンドル・タイプには、CERTIFICATE_CONTENT_PUBLIC_ONLYおよびCERTIFICATE_CONTENT_WITH_PRIVATE_KEYが含まれます。 |
|
| certificate-associations | target.association.id
|
エンティティ(OCID) | この変数を使用して、アソシエーションのOCIDに基づいて証明書アソシエーションへのアクセスを制御します。(証明書アソシエーションの作成時には、まだOCIDを持つアソシエーションが存在しないため、この変数を使用できません。) |
target.association.name
|
文字列 | この変数を使用して、証明書バンドル・アソシエーションの名前に基づいて証明書バンドルへのアクセスを制御します。 | |
target.association.resourceid
|
エンティティ(OCID) | この変数を使用して、証明書バンドル・アソシエーションでターゲット指定されたリソースのOCIDに基づいて証明書バンドルへのアクセスを制御します。 | |
target.leaf-certificate.id
|
エンティティ(OCID) | この変数を使用して、証明書のOCIDに基づいて証明書アソシエーションへのアクセスを制御します。 | |
target.leaf-certificate.name |
文字列 | この変数を使用して、証明書の名前に基づいて証明書アソシエーションへのアクセスを制御します。 | |
| cabundles | target.cabundle.id |
エンティティ(OCID) | この変数を使用して、CAバンドルのOCIDに基づいてCAバンドルへのアクセスを制御します。(CAバンドルの作成時には、まだOCIDを持つCAバンドルが存在しないため、この変数を使用できません。) |
target.cabundle.name |
文字列 | この変数を使用して、CAバンドルの名前に基づいてCAバンドルへのアクセスを制御します。 | |
| cabundle-associations | target.association.id |
エンティティ(OCID) | この変数を使用して、バンドル・アソシエーションのOCIDに基づいてCAバンドル・アソシエーションへのアクセスを制御します。 |
target.association.name |
文字列 | この変数を使用して、バンドル・アソシエーションの名前に基づいてCAバンドル・アソシエーションへのアクセスを制御します(CAバンドル・アソシエーションの作成時には、まだOCIDを持つアソシエーションが存在しないため、この変数を使用できません。)。 | |
target.association.resourceid |
エンティティ(OCID) | この変数を使用して、アソシエーションで構成されたリソースのOCIDに基づいてCAバンドル・アソシエーションへのアクセスを制御します。 | |
target.cabundle.id |
エンティティ(OCID) | この変数を使用して、バンドルのOCIDに基づいてCAバンドル・アソシエーションへのアクセスを制御します。 | |
target.cabundle.name |
文字列 | この変数を使用して、バンドルの名前に基づいてCAバンドル・アソシエーションへのアクセスを制御します。 |
動詞とリソース・タイプの組合せの詳細
各リソース・タイプの各動詞によって付与される増分アクセスを理解し、必要なアクセスのみを付与するポリシーを記述できるようにします。
次の表に、各動詞でカバーされている権限およびAPI操作を示します。アクセス・レベルは、inspect > read > use > manageの順に累積されます。表セル内のプラス記号(+)は、その上のセルと比較して増分アクセスを示しますが、「余分なし」は増分アクセスを示しません。
たとえば、cabundlesリソース・タイプに対するuse動詞には、read動詞と同じ権限およびAPI操作に加え、CABUNDLE_UPDATE権限とUpdateCaBundle API操作が含まれます。manage動詞は、use動詞と比較したときに、さらに権限とAPI操作を使用できます。
| 動詞 | 権限 | 完全に対象となるAPI | 部分的に対象となるAPI |
|---|---|---|---|
| inspect |
CERTIFICATE_INSPECT |
ListCertificates
|
なし |
| read |
INSPECT + CERTIFICATE_READ |
INSPECT +
|
なし |
| use |
READ + CERTIFICATE_UPDATE |
余分なし |
|
| manage |
USE + CERTIFICATE_CREATE CERTIFICATE_DELETE CERTIFICATE_MOVE |
USE +
|
|
| 動詞 | 権限 | 完全に対象となるAPI | 部分的に対象となるAPI |
|---|---|---|---|
| inspect |
CERTIFICATE_VERSION_INSPECT |
ListCertificateVersions
|
なし |
| read |
INSPECT + CERTIFICATE_VERSION_READ |
INSPECT +
|
なし |
| use |
READ + 余分なし |
なし |
なし |
| manage |
USE + CERTIFICATE_VERSION_REVOKE CERTIFICATE_VERSION_DELETE |
なし |
|
| 動詞 | 権限 | 完全に対象となるAPI | 部分的に対象となるAPI |
|---|---|---|---|
| inspect |
CERTIFICATE_BUNDLE_INSPECT |
ListCertificateBundleVersions
|
なし |
| read |
INSPECT + CERTIFICATE_BUNDLE_READ |
INSPECT +
ノート:この操作に必要な権限は、問合せパラメータ
|
なし |
| use |
READ + 余分なし |
なし |
なし |
| manage |
USE+ 余分なし |
なし |
|
| 動詞 | 権限 | 完全に対象となるAPI | 部分的に対象となるAPI |
|---|---|---|---|
| inspect |
CABUNDLE_INSPECT |
ListCaBundles
|
なし |
| read |
INSPECT + CABUNDLE_READ |
INSPECT +
|
なし |
| use |
READ + CABUNDLE_UPDATE |
READ+
|
なし |
| manage |
USE + CABUNDLE_CREATE CABUNDLE_DELETE CABUNDLE_MOVE |
USE +
|
なし |
| 動詞 | 権限 | 完全に対象となるAPI | 部分的に対象となるAPI |
|---|---|---|---|
| inspect |
CERTIFICATE_ASSOCIATION_INSPECT |
ListAssociations
|
なし |
| read |
INSPECT + CERTIFICATE_ASSOCIATION_READ |
INSPECT +
|
なし |
| use |
READ + 余分なし |
なし |
なし |
| manage |
USE + CERTIFICATE_ASSOCIATION_CREATE CERTIFICATE_ASSOCIATION_DELETE |
USE +
|
なし |
| 動詞 | 権限 | 完全に対象となるAPI | 部分的に対象となるAPI |
|---|---|---|---|
| inspect |
CABUNDLE_ASSOCIATION_INSPECT |
ListAssociations
|
なし |
| read |
INSPECT + CABUNDLE_ASSOCIATION_READ |
INSPECT +
|
なし |
| use |
READ + 余分なし |
なし |
なし |
| manage |
USE + CABUNDLE_ASSOCIATION_CREATE CABUNDLE_ASSOCIATION_DELETE |
USE +
|
なし |
各API操作に必要な権限
次の表は、API操作を論理的な順序で、リソース・タイプ別にグループ化して示しています。
権限の詳細は、権限を参照してください。
| API操作 | 操作の使用に必要な権限 |
|---|---|
ListCertificateAuthorities
|
CERTIFICATE_AUTHORITY_INSPECT |
GetCertificateAuthority
|
CERTIFICATE_AUTHORITY_READ |
CreateCertificateAuthority
|
CERTIFICATE_AUTHORITY_CREATEおよびCERTIFICATE_AUTHORITY_APPLY |
UpdateCertificateAuthority
|
CERTIFICATE_AUTHORITY_UPDATEおよびCERTIFICATE_AUTHORITY_APPLY |
ChangeCertificateAuthorityCompartment |
CERTIFICATE_AUTHORITY_MOVE |
ScheduleCertificateAuthorityDeletion |
CERTIFICATE_AUTHORITY_DELETE |
CancelCertificateAuthorityDeletion |
CERTIFICATE_AUTHORITY_DELETE |
ListCertificateAuthorityVersions |
CERTIFICATE_AUTHORITY_VERSION_INSPECT |
GetCertificateAuthorityVersion |
CERTIFICATE_AUTHORITY_VERSION_READ |
RevokeCertificateAuthorityVersion |
CERTIFICATE_AUTHORITY_VERSION_REVOKE、CERTIFICATE_AUTHORITY_UPDATEおよびCERTIFICATE_AUTHORITY_APPLY |
ScheduleCertificateAuthorityVersionDeletion |
CERTIFICATE_AUTHORITY_VERSION_DELETEおよびCERTIFICATE_AUTHORITY_UPDATE |
CancelCertificateAuthorityVersionDeletion |
CERTIFICATE_AUTHORITY_VERSION_DELETEおよびCERTIFICATE_AUTHORITY_UPDATE |
ListCertificateAuthorityBundleVersions |
CERTIFICATE_AUTHORITY_BUNDLE_INSPECT |
GetCertificateAuthorityBundle |
CERTIFICATE_AUTHORITY_BUNDLE_READ |
ListCertificates |
CERTIFICATE_INSPECT |
GetCertificate |
CERTIFICATE_READ |
CreateCertificate |
CERTIFICATE_CREATEおよびCERTIFICATE_AUTHORITY_APPLY |
UpdateCertificate |
CERTIFICATE_UPDATEおよびCERTIFICATE_AUTHORITY_APPLY |
ChangeCertificateCompartment |
CERTIFICATE_MOVE |
ScheduleCertificateDeletion |
CERTIFICATE_DELETE |
CancelCertificateDeletion |
CERTIFICATE_DELETE |
ListCertificateVersions |
CERTIFICATE_VERSION_INSPECT |
GetCertificateVersion |
CERTIFICATE_VERSION_READ |
RevokeCertificateVersion |
CERTIFICATE_VERSION_REVOKE、CERTIFICATE_UPDATEおよびCERTIFICATE_AUTHORITY_APPLY |
ScheduleCertificateVersionDeletion |
CERTIFICATE_VERSION_DELETEおよびCERTIFICATE_UPDATE |
CancelCertificateVersionDeletion |
CERTIFICATE_VERSION_DELETEおよびCERTIFICATE_UPDATE |
ListCertificateBundleVersions |
CERTIFICATE_BUNDLE_INSPECT |
GetCertificateBundle |
CERTIFICATE_BUNDLE_READ 詳細は、leaf-certificate-bundlesを参照してください。 |
ListCaBundles
|
CABUNDLE_INSPECT |
GetCaBundle |
CABUNDLE_READ |
CreateCaBundle |
CABUNDLE_CREATE |
UpdateCaBundle |
CABUNDLE_UPDATE |
ChangeCaBundleCompartment |
CABUNDLE_MOVE |
DeleteCaBundle |
CABUNDLE_DELETE |
ListAssociations |
CERTIFICATE_AUTHORITY_ASSOCIATION_INSPECT (certificate-authoritiesの場合)、CERTIFICATE_ASSOCIATION_INSPECT (leaf-certificatesの場合)またはCABUNDLE_ASSOCIATION_INSPECT (cabundlesの場合) |
GetAssociation |
CERTIFICATE_AUTHORITY_ASSOCIATION_READ (certificate-authoritiesの場合)、CERTIFICATE_ASSOCIATION_READ (leaf-certificatesの場合)またはCABUNDLE_ASSOCIATION_READ (cabundlesの場合) |
DeleteAssociation |
CERTIFICATE_AUTHORITY_ASSOCIATION_DELETE (certificate-authoritiesの場合)、CERTIFICATE_ASSOCIATION_DELETE (leaf-certificatesの場合)またはCABUNDLE_ASSOCIATION_DELETE (cabundlesの場合) |