Oracle Cloud Infrastructureドキュメント

IAMポリシー- AWS

移行に必要なIAMポリシーを作成します。

概要

AWSは、IAMポリシーを使用してAWSリソースおよびAPIへのアクセスを制御します。

AWSアセットをOCIに移行するには、AWS IAMポリシーを作成する必要があります。これらのポリシーにより、移行に必要な権限が付与されます。専用AWS IAMユーザーは、まずAWSアカウントで作成できます。その後、すべてのAWS IAMポリシーが割り当てられているIAMユーザー・グループにユーザーが追加されます。Amazon IAMユーザー・グループを使用して、権限をAWS IAMユーザーのグループに永続的に割り当てることができます。

AWS IAMポリシーには、リソースベースとアイデンティティベースの2つのタイプがあります。アクセスを許可するには、アイデンティティベースのポリシーで特定の権限を許可し、リソースベースのポリシーで移行に必要なアクションを禁止してはいけません。IAMユーザーにアクションを許可するロールがあるが、リソースにアクションを明示的に許可しないポリシーがある場合、AWSアクセス・マネージャはアクセスを禁止します。AWS IAMポリシーの詳細は、IAMのポリシーと権限を参照してください。

AWS IAMロールは、AWSアカウントへのアクセスをOracle Cloud Migrationアプリケーションに一時的に付与します。AWS IAMロール・オプションを選択した場合、有効期限が切れないように、12時間ごとに資格証明を手動で更新する必要があります。すべての資格証明の有効期限によって移行がブロックされます。ただし、移行中の一時資格証明の更新は、OCIコンソールでアセット・ソースの対応するフィールドを編集することで可能です。

ノート

ローテーションで長期資格証明を使用することをお薦めします。

IAMユーザーに割り当てられたロールには、必要な権限を付与するポリシーが必要です。特定のEC2インスタンスまたはEBSボリュームに問題がある場合は、移行中のAWSリソースへのアクセスを明示的に禁止するポリシーがないことを確認する必要があります。

サポートされている変数

ポリシーに条件を追加する場合は、変数を使用します。

移行サービスでは、次の変数タイプがサポートされます。

  • エンティティ: Oracle Cloud Identifier (OCID)
  • 文字列: フリーフォーム・テキスト。
  • リスト: エンティティまたは文字列のリスト

すべてのリクエストの一般的な変数を参照してください。

変数は小文字で、ハイフン区切りです。たとえば、target.tag-namespace.nametarget.display-nameです。ここで、nameは一意である必要があり、display-nameは説明です。

必要な変数は、リクエストごとに移行サービスによって提供されます。自動変数は、認可エンジンによって提供されます(シック・クライアントではSDKを使用したサービス・ローカルで、シン・クライアントではアイデンティティ・データ・プレーンで提供されます)。

必要な変数 タイプ 内容
target.compartment.id エンティティ(OCID) リクエストのプライマリ・リソースのOCID
request.operation 文字列 リクエストの操作ID (例: GetUser)
target.resource.kind 文字列 リクエストのプライマリ・リソースのリソース種類名
自動変数 タイプ 内容
request.user.id エンティティ(OCID) リクエスト・ユーザーのOCID。
request.groups.id エンティティ(OCID)のリスト リクエスト・ユーザーが属しているグループのOCID。
target.compartment.name 文字列 target.compartment.idで指定されたコンパートメントの名前
target.tenant.id エンティティ(OCID) ターゲット・テナントIDのOCID
動的変数 タイプ 内容
request.principal.group.tag.<tagNS>.<tagKey> 文字列 プリンシパルがメンバーであるグループの各タグの値。
request.principal.compartment.tag.<tagNS>.<tagKey> 文字列 プリンシパルを含むコンパートメントの各タグの値。
target.resource.tag.<tagNS>.<tagKey> 文字列 ターゲット・リソースの各タグの値。この変数は、各リクエストでサービスによって提供されるtagSlugに基づいて計算されます。
target.resource.compartment.tag.<tagNS>.<tagKey> 文字列 ターゲット・リソースを含むコンパートメントの各タグの値。この変数は、各リクエストでサービスによって提供されるtagSlugに基づいて計算されます。

ポリシーの作成

ポリシーの作成に必要なステップを確認します。

次に、Oracle Cloudコンソールでポリシーを作成する方法を示します:

  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ポリシー」をクリックします。
  2. ポリシーの作成をクリックします。
  3. ポリシーの名前と説明を入力します。
  4. 「ポリシー・ビルダー」で、「手動エディタの表示」スイッチをクリックしてエディタを有効にします。

    次のフォーマットでポリシー・ルールを入力します: 

    allow <resource_type> to <verb> in <compartment or tenancy details>
  5. 「作成」をクリックします。

ポリシーの作成の詳細は、ポリシーの仕組みおよびポリシー・リファレンスを参照してください。

Oracle Cloud Migrationsリソースにアクセスするユーザーについては、ユーザー・ポリシーを参照してください。Oracle Cloud Migrationsサービスの使用方法は、サービス・ポリシーを参照してください。