ファイル・ストレージ・サービスの詳細

このトピックでは、ファイル・ストレージ・サービスへのアクセスを制御するポリシーの書込みの詳細について説明します。

集約リソース・タイプ

  • file-family

個々のリソース・タイプ

  • file-systems
  • filesystem-snapshot-policies
  • mount-targets
  • outbound-connectors
  • export-sets
  • replications
  • replication-targets
  • work-requests

コメント

<verb> file-familyを使用するポリシーは、個々のリソース・タイプごとに個別の<verb> <individual resource-type>ステートメントを使用して記述することと同じです。

file-familyに含まれる個々のリソース・タイプについて、各動詞でカバーされているAPI操作の詳細は、動詞とリソース・タイプの組合せの詳細の表を参照してください。

動詞とリソース・タイプの組合せの詳細

次の表に、各動詞でカバーされている権限およびAPI操作を示します。アクセス・レベルは、inspect > read > use > manageの順に累積されます。たとえば、リソースを使用できるグループは、そのリソースを検査して読み取ることもできます。表セル内のプラス記号(+)は、その上のセルと比較して増分アクセスを示しますが、「余分なし」は増分アクセスを示しません。

たとえば、file-systemsリソース・タイプに対するread動詞には、inspect動詞と同じ権限およびAPI操作に加え、FILE_SYSTEM_READ権限と多数のAPI操作(GetFileSystemListMountTargetsなど)が含まれます。use動詞は、readと比較して、別の権限と一連のAPI操作をカバーします。最後に、manageは、useと比較して2つの追加の権限と操作をカバーします。

export-sets
動詞 権限 完全に対象となるAPI 部分的に対象となるAPI
inspect

EXPORT_SET_INSPECT

ListExportSets

なし

read

INSPECT +

EXPORT_SET_READ

INSPECT +

GetExport

GetExportSet

ListExports

なし

use

余分なし

余分なし

なし

manage

USE +

EXPORT_SET_CREATE

EXPORT_SET_UPDATE

EXPORT_SET_DELETE

USE +

CreateExportSet

UpdateExportSet

DeleteExportSet

CreateExport

DeleteExport

(両方ともuse file-systemsが必要です。)

AddExportLock

RemoveExportLock

file-systems
動詞 権限 完全に対象となるAPI 部分的に対象となるAPI
inspect

FILE_SYSTEM_INSPECT

ListFileSystems

なし

read

INSPECT +

FILE_SYSTEM_READ

INSPECT +

GetFileSystem

GetSnapshot

ListSnapshots

なし

use

READ +

FILE_SYSTEM_NFSv3_EXPORT

FILE_SYSTEM_NFSv3_UNEXPORT

FILE_SYSTEM_CLONE

FILE_SYSTEM_REPLICATION_SOURCE

FILE_SYSTEM_UPDATE _FILESYSTEM_SNAPSHOT_POLICY

余分なし

DeleteExport

(両方ともmanage export-setsが必要です。)

manage

USE +

FILE_SYSTEM_CREATE

FILE_SYSTEM_UPDATE

FILE_SYSTEM_DELETE

FILE_SYSTEM_MOVE

FILE_SYSTEM_CREATE_SNAPSHOT

FILE_SYSTEM_DELETE_SNAPSHOT

FILE_SYSTEM_CLONE

FILE_SYSTEM_REPLICATION_TARGET

USE +

CreateFileSystem

UpdateFileSystem

DeleteFileSystem

ChangeFileSystemCompartment

CreateSnapshot

DeleteSnapshot

 

キー管理マスター暗号化キーを使用して暗号化されたファイル・システムまたはクローンを作成する場合、use key-delegate (呼出し側)およびread keys (サービス・プリンシパル)も必要です。詳細は、ボールト・サービスの詳細を参照してください。

ファイル・システムのクローニングでは、CreateFileSystem APIを使用し、FILE_SYSTEM_CLONEが必要です。

AddFileSystemLock

RemoveFileSystemLock

ファイルシステム- スナップショット- ポリシー
動詞 権限 完全に対象となるAPI 部分的に対象となるAPI
inspect

FILESYSTEM_SNAPSHOT _POLICY_INSPECT

ListFilesystemSnapshotPolicies

なし

read

INSPECT +

FILESYSTEM_SNAPSHOT _POLICY_READ

ListFilesystemSnapshotPolicies

GetFilesystemSnapshotPolicy

なし

use

READ +

FILE_SYSTEM_UPDATE _FILESYSTEM_SNAPSHOT_POLICY

ListFilesystemSnapshotPolicies

GetFilesystemSnapshotPolicy

UpdateFileSystem

manage

USE +

FILESYSTEM_SNAPSHOT_POLICY_CREATE

FILESYSTEM_SNAPSHOTポリシーの更新

FILESYSTEM_SNAPSHOT_ポリシー移動

FILESYSTEM_SNAPSHOT _POLICY_DELETE(ポリシー削除)

ListFilesystemSnapshotPolicies

GetFilesystemSnapshotPolicy

CreateFilesystemSnapshotPolicy

UpdateFilesystemSnapshotPolicy

MoveFilesystemSnapshotPolicy

DeleteFilesystemSnapshotPolicy

AddFilesystemSnapshotPolicyLock

RemoveFilesystemSnapshotPolicyLock

mount-targets
動詞 権限 完全に対象となるAPI 部分的に対象となるAPI
inspect

MOUNT_TARGET_INSPECT

ListMountTargets

なし

read

INSPECT +

MOUNT_TARGET_READ

INSPECT +

GetMountTarget

なし

use

余分なし

余分なし

なし

manage

USE +

MOUNT_TARGET_CREATE

MOUNT_TARGET_UPDATE

MOUNT_TARGET_SHAPE_UPGRADE

MOUNT_TARGET_SHAPE_DOWNGRADE

MOUNT_TARGET_DELETE

MOUNT_TARGET_MOVE

USE +

CreateMountTarget,

DeleteMountTarget,

(両方ともuse vnicsuse private-ipsおよびuse subnetsが必要です。)

ChangeMountTargetCompartment,

UpgradeMountTarget,

DowngradeMountTarget,

AddMountTargetLock,

RemoveMountTargetLock

アウトバウンド・コネクタ
動詞 権限 完全に対象となるAPI 部分的に対象となるAPI
inspect

OUTBOUND_CONNECTOR _INSPECT

ListOutboundConnectors

なし

read

INSPECT +

OUTBOUND_CONNECTOR_READ

INSPECT +

GetOutboundConnector

なし

use

余分なし

余分なし

なし

manage

USE +

OUTBOUND_CONNECTOR作成(_C)

OUTBOUND_CONNECTOR更新

OUTBOUND_CONNECTOR削除(_D)

OUTBOUND_CONNECTOR移動(_M)

USE +

CreateOutboundConnector

UpdateOutboundConnector

DeleteOutboundConnector

ChangeOutboundConnectorCompartment

AddOutboundConnectorLock

RemoveOutboundConnectorLock

レプリケーションとレプリケーションターゲット
動詞 権限 完全に対象となるAPI 部分的に対象となるAPI
inspect

REPLICATION_INSPECT

ListReplications

なし

read

INSPECT +

REPLICATION_READ

INSPECT +

GetReplication

なし

use

余分なし

余分なし

なし

manage

USE +

REPLICATION_CREATE

REPLICATION_UPDATE

REPLICATION_DELETE

REPLICATION_MOVE

USE +

CreateReplication

UpdateReplication

ChangeReplicationCompartment

DeleteReplication

DeleteReplicationTarget

AddReplicationLock

RemoveReplicationLock

work-requests
動詞 権限 完全に対象となるAPI 部分的に対象となるAPI
inspect

FSS_WORK_REQUEST_INSPECT

ListWorkRequests

なし

read

INSPECT +

FSS_WORK_REQUEST_READ

INSPECT +

GetWorkRequest

なし

各API操作に必要な権限

次の表は、API操作を論理的な順序で、リソース・タイプ別にグループ化して示しています。

ヒント

グループがコンソールを使用してファイル・システムを作成する場合、マウント・ターゲットを読み取る権限が必要です。詳細は、ファイル・ストレージ・ポリシーの例を参照してください。

権限の詳細は、権限を参照してください。

API操作 操作の使用に必要な権限
ListExports EXPORT_SET_READ
CreateExport EXPORT_SET_UPDATE + FILE_SYSTEM_NFSv3_EXPORT
GetExport EXPORT_SET_READ
AddExportLock

EXPORT_SET_UPDATE +

RESOURCE_LOCK_ADD
RemoveExportLock

EXPORT_SET_UPDATE +

RESOURCE_LOCK_REMOVE
DeleteExport EXPORT_SET_UPDATE + FILE_SYSTEM_NFSv3_UNEXPORT
ListExportSets EXPORT_SET_INSPECT
CreateExportSet EXPORT_SET_CREATE
GetExportSet EXPORT_SET_READ
UpdateExportSet EXPORT_SET_UPDATE
DeleteExportSet EXPORT_SET_DELETE
ListFileSystems FILE_SYSTEM_INSPECT
CreateFileSystem FILE_SYSTEM_CREATE

ファイル・システムのクローニングには、FILE_SYSTEM_CLONEも必要です

ファイル・システムをスナップショット・ポリシーに関連付けるには、FILE_SYSTEM_UPDATE_FILESYSTEM _SNAPSHOT_POLICYも必要です

GetFileSystem FILE_SYSTEM_READ
UpdateFileSystem FILE_SYSTEM_UPDATE

ファイル・システムをスナップショット・ポリシーに関連付けるには、FILE_SYSTEM_UPDATE_FILESYSTEM _SNAPSHOT_POLICYも必要です

AddFileSystemLock

FILE_SYSTEM_UPDATE +

RESOURCE_LOCK_ADD
RemoveFileSystemLock

FILE_SYSTEM_UPDATE +

RESOURCE_LOCK_REMOVE
DeleteFileSystem FILE_SYSTEM_DELETE
ChangeFileSystemCompartment FILE_SYSTEM_MOVE
GetFilesystemSnapshotPolicy FILESYSTEM_SNAPSHOT_POLICY_READ
ListFilesystemSnapshotPolicies FILESYSTEM_SNAPSHOT_POLICY_INSPECT
CreateFilesystemSnapshotPolicy FILESYSTEM_SNAPSHOT_POLICY_CREATE
UpdateFilesystemSnapshotPolicy FILESYSTEM_SNAPSHOT_POLICY_UPDATE
AddFilesystemSnapshotPolicyLock

FILESYSTEM_SNAPSHOT_POLICY_UPDATE +

RESOURCE_LOCK_ADD
RemoveFilesystemSnapshotPolicyLock

FILESYSTEM_SNAPSHOT_POLICY_UPDATE +

RESOURCE_LOCK_REMOVE
DeleteFilesystemSnapshotPolicy FILESYSTEM_SNAPSHOT_POLICY_DELETE
MoveFilesystemSnapshotPolicy FILESYSTEM_SNAPSHOT_POLICY_MOVE
ListMountTargets MOUNT_TARGET_INSPECT
CreateMountTarget

MOUNT_TARGET_CREATE +

VNIC_CREATE(vnicCompartment) +

SUBNET_ATTACH(subnetCompartment) +

VNIC_ATTACH(vnicCompartment) +

PRIVATE_IP_CREATE (subnetCompartment) +

PRIVATE_IP_ASSIGN(subnetCompartment) +

VNIC_ASSIGN(subnetCompartment)

GetMountTarget MOUNT_TARGET_READ
UpdateMountTarget MOUNT_TARGET_UPDATE
UpgradeShapeMountTarget MOUNT_TARGET_SHAPE_UPGRADE
ScheduleDowngradeShapeMountTarget MOUNT_TARGET_SHAPE_DOWNGRADE
CancelDowngradeShapeMountTarget MOUNT_TARGET_SHAPE_DOWNGRADE
AddMountTargetLock

MOUNT_TARGET_UPDATE +

RESOURCE_LOCK_ADD
RemoveMountTargetLock

MOUNT_TARGET_UPDATE +

RESOURCE_LOCK_REMOVE
DeleteMountTarget

MOUNT_TARGET_DELETE +

VNIC_DELETE(vnicCompartment) +

SUBNET_DETACH(subnetCompartment) +

VNIC_DETACH(vnicCompartment) +

PRIVATE_IP_DELETE(subnetCompartment) +

PRIVATE_IP_UNASSIGN(subnetCompartment) +

VNIC_UNASSIGN(vnicCompartment)

ChangeMountTargetCompartment MOUNT_TARGET_MOVE
ListOutboundConnectors OUTBOUND_CONNECTOR_INSPECT
CreateOutboundConnector OUTBOUND_CONNECTOR_CREATE
GetOutboundConnector OUTBOUND_CONNECTOR_READ
UpdateOutboundConnector OUTBOUND_CONNECTOR_UPDATE
AddOutboundConnectorLock

OUTBOUND_CONNECTOR_UPDATE +

RESOURCE_LOCK_ADD
RemoveOutboundConnectorLock

OUTBOUND_CONNECTOR_UPDATE +

RESOURCE_LOCK_REMOVE
DeleteOutboundConnector OUTBOUND_CONNECTOR_DELETE
ChangeOutboundConnectorCompartment OUTBOUND_CONNECTOR_MOVE
ListSnapshots FILE_SYSTEM_READ
CreateSnapshot FILE_SYSTEM_CREATE_SNAPSHOT
GetSnapshot FILE_SYSTEM_READ
DeleteSnapshot FILE_SYSTEM_DELETE_SNAPSHOT
GetReplication REPLICATION_READ
ListReplications REPLICATION_INSPECT
CreateReplication

REPLICATION_CREATE +

FILE_SYSTEM_REPLICATION_SOURCE (ソース・ファイル・システム) +

FILE_SYSTEM_REPLICATION_TARGET (ターゲット・ファイル・システム)

UpdateReplication REPLICATION_UPDATE
AddReplicationLock

REPLICATION_UPDATE +

RESOURCE_LOCK_ADD
RemoveReplicationLock

REPLICATION_UPDATE +

RESOURCE_LOCK_REMOVE
ChangeReplicationCompartment REPLICATION_MOVE
DeleteReplication REPLICATION_DELETE
DeleteReplicationTarget REPLICATION_DELETE
GetWorkRequest FSS_WORK_REQUEST_READ
ListWorkRequests FSS_WORK_REQUEST_INSPECT