IAMポリシーのビッグ・データ・サービス・リソースおよび権限の理解
Oracle Identity and Access Management (IAM)は、リソースの相互作用を制御するポリシー・ステートメントを作成するための柔軟なフレームワークを提供します。IAMによって、多数の標準リソースと、それらとの相互作用に必要な権限が定義されます。ビッグ・データ・サービスによって、その独自のサービス固有のリソースおよび権限が追加されます。
このトピックでは、管理者がビッグ・データ・サービスのIAMポリシー・ステートメントを作成するために使用できるリソースおよび権限について説明します。
リソースの種類および権限
| リソース・ファミリ | リソースの種類 | 権限 |
|---|---|---|
| bds-family | bds-instances |
|
| bds-family | bds-limits |
|
操作から権限へのマップ
次の表は、ビッグ・データ・サービス固有のIAM操作を示しています。これらの操作を含むIAMポリシーを作成するか、またはこれらの操作をカプセル化する定義済の動詞を使用するポリシーを作成できます。
| 操作 | API操作 | 操作の使用に必要な権限 |
|---|---|---|
| 指定したコンパートメント内のすべてのクラスタのリスト | ListBdsInstances | BDS_INSPECT |
| クラスタを作成します | CreateBdsInstance | BDS_CREATE |
| 指定したクラスタの詳細の表示 | GetBdsInstance | BDS_READ |
| クラスタのサイズ変更 | ChangeShape | BDS_UPDATE |
| クラスタの詳細の更新 | UpdateBdsInstance | BDS_UPDATE |
| 指定したインスタンスの削除 | DeleteBdsInstance | BDS_DELETE |
| 指定したクラスタへのブロック・ストレージの追加 | AddBlockStorage | BDS_UPDATE |
| 指定したクラスタへのワーカー・ノードの追加 | AddWorkerNodes | BDS_UPDATE |
| クラスタの指定ノードの再起動 | RestartNode | BDS_UPDATE |
| 指定クラスタへのクラウドSQLの追加 | AddCloudSql | BDS_UPDATE |
| 指定クラスタからのクラウドSQLの削除 | RemoveCloudSql | BDS_UPDATE |
| コンパートメント間でのクラスタの移動 | ChangeBdsInstanceCompartment | BDS_MOVE |
| 指定したクラスタのすべての自動スケール構成のリスト | ListAutoScalingConfigurations | BDS_INSPECT |
| 指定したクラスタへの自動スケール構成の追加 | AddAutoScalingConfiguration | BDS_UPDATE |
| 指定した自動スケール構成の詳細の表示 | GetAutoScalingConfiguration | BDS_READ |
| 自動スケール構成のフィールドの更新 | UpdateAutoScalingConfiguration | BDS_UPDATE |
| 自動スケール構成の削除 | RemoveAutoScalingConfiguration | BDS_UPDATE |
| 指定したコンパートメント内のすべてのビッグ・データ作業リクエストのリスト | ListWorkRequests | BDS_INSPECT |
| 指定した作業リクエストの詳細の表示 | GetWorkRequest | BDS_READ |
| 指定した作業リクエストのログの表示 | ListWorkRequestLogs | BDS_INSPECT |
| 指定した作業リクエストのエラーの表示 | ListWorkRequestErrors | BDS_INSPECT |
| 使用済リソースの表示 | ListConsumptions | BDS_CONSUMPTION_INSPECT |
| 指定したクラスタのAPIキーのリスト | ListBdsApiKeys | BDS_READ |
| 指定したクラスタのAPIキーの作成 | CreateBdsApiKey | BDS_UPDATE |
| 指定したクラスタのAPIキーの取得 | GetBdsApiKey | BDS_READ |
| 指定したクラスタのAPIキーの削除 | DeleteBdsApiKey | BDS_UPDATE |
| 指定したAPIキーを使用したオブジェクト・ストア・バケットへのアクセスのテスト | TestBdsObjectStorageConnection | BDS_READ |
操作固有の属性
特定のリソースの種類について、すべての操作(get、list、deleteなど)で同じ属性セットを使用する必要があります。1つの例外はcreate操作に関するもので、そのオブジェクトのIDはまだないため、createのtarget.RESOURCE-KIND.id属性はありません。
| リソースの種類 | 名前 | タイプ | ソース |
|---|---|---|---|
| bds-instances | target.bds-instances.source-compartment.id | エンティティ | リクエスト |
| bds-instances | target.bds-instances.destination-compartment.id | エンティティ | リクエスト |
ビッグ・データ・サービスで使用するIAM動詞
| リソースの種類 | 検査する | 読取り | 使用 | 管理 |
|---|---|---|---|---|
| bds-instances | BDS_INSPECT | inspect + BDS_READ |
読取り+ BDS_UPDATE |
use + BDS_CREATE BDS_DELETE BDS_MOVE |
| bds-limits | BDS_CONSUMPTION_INSPECT | . | . | . |
例1 - クラスタでのすべての権限を持つ管理者
次のポリシー・ステートメントは、bds-adminsというグループのメンバーがbds-learnというコンパートメント内のすべてのクラスタを検査、読取り、更新、作成、削除および移動できることを示しています。
allow bds-admins to manage bds-instances in compartment bds-dev前述のステートメントでは:
-
bds-adminsは、管理者によって作成されたグループです。 -
manageは、bds-adminsグループのメンバーが使用できる操作を指定します。Manageは、「ビッグ・データ・サービスで使用するIAM動詞」で説明されている動詞の1つです。これにより、inspect、readおよびuse動詞のすべての操作と、manage動詞に固有のいくつかの操作を使用するユーザー/グループ権限が付与されます:inspect動詞には、BDS_INSPECT操作が含まれています。read動詞には、BDS_INSPECTおよびBDS_READ操作が含まれています。use動詞には、BDS_INSPECT、BDS_READおよびBDS_UPDATE操作が含まれています。manage動詞には、BDS_INSPECT、BDS_READ、BDS_UPDATE、BDS_CREATE、BDS_DELETEおよびBDS_MOVE操作が含まれています。
-
bds-devは、管理者によって作成されたコンパートメントです。
次のポリシー・ステートメントは、bds-adminsグループのメンバーがテナンシ全体の仮想クラウド・ネットワーク(VCN)リソースを管理できることを示しています。
allow group bds-admins to manage virtual-network-family in tenancy例2 - ユーザー
次のポリシー・ステートメントは、bds-usersというグループのメンバーがbds-learnコンパートメント内のすべてのクラスタを検査および読取りできることを示しています。(動詞readには、inspect権限とread権限の両方が含まれています。)
allow bds-users to read bds-instances in compartment bds-learn詳細情報
IAMポリシーの詳細は、Oracle Cloud InfrastructureドキュメントのOracle Cloud Infrastructure Identity and Access Managementの概要を参照してください。ポリシーの作成の詳細は、ポリシー構文およびポリシー・リファレンスを参照してください。