OCCポリシーおよび権限
IAMポリシーを作成して、OCCメトリックおよび容量リクエスト・データにアクセスできるユーザーを制御し、ユーザー・グループごとにアクセス権のタイプを制御します。
OCCのメトリック・データの場合、リソースIDに基づいてアクセスを制限する方法はありません。ファミリ名control-center-familyおよびリソース・タイプcontrol-center-metricsを使用して、メトリック・データ全体へのアクセスを制限できます。
ファミリ名control-center-capacity-management-familyおよびリソース・タイプcontrol-center-availability-catalogsおよびcontrol-center-capacity-requestsを使用して、キャパシティ管理へのアクセスを制限できます。
詳細は、ポリシーの例のセクションを参照してください。
Administratorsグループのユーザーは、すべてのOCCリソースおよびメトリック・データにアクセスできます。OCCメトリック・データに必要な権限をユーザーに付与するためのポリシーを作成します。
IAMポリシーを初めて使用する場合は、ポリシースタート・ガイドを参照してください。
Oracle Cloud Infrastructureポリシーの完全なリストは、ポリシー・リファレンスを参照してください。
この項で説明する内容は次のとおりです。
OCCを使用するには、サービスと対話するユーザーまたはグループに次の権限を付与するポリシーを作成します。
リソース・タイプおよび権限
コントロール・センター・リソース・タイプおよび関連する権限のリスト。
すべてのOCCメトリック・モニタリング・リソースに権限を割り当てるには、control-center-family集計タイプを使用します。
キャパシティ・リクエストを作成するには、control-center-capacity-management-family権限が必要です。
次の表に、OCCのすべてのリソースを示します。
| 姓 | メンバー・リソース | アクションがユーザーに割り当てられました |
|---|---|---|
control-center-family |
|
すべてのコントロール・センター・メトリックおよび今後のメンバー・リソースを1つのファミリに含めます。 |
control-center-capacity-management-family |
|
すべてのコントロール・センター・キャパシティ管理と将来のメンバー・リソースを1つのファミリに含めます。 |
<verb> control-center-familyを使用するポリシーは、個々のリソース・タイプごとに個別の<verb> <resource-type>文を使用してポリシーを記述することと同じです。
| リソース・タイプ | 権限 | アクション割当先ユーザー |
|---|---|---|
control-center-metrics |
|
OCCメトリック・ネームスペース、メトリック名およびメトリック値を読み取ります。 |
control-center-availability-catalogs |
|
可用性カタログおよび可用性の読取りおよびエクスポート。 |
control-center-capacity-requests |
|
容量要求の作成、読取り、更新および削除。 |
control-center-demand-signals |
|
キャパシティ要求のリソースの需要数量を追加、読取り、更新および削除します。 |
サポートされている変数
変数を使用して、ポリシーに条件を追加できます。
OCI Control Centerでは、次の変数がサポートされています。
- エンティティ: Oracle Cloud Identifier (OCID)
- 文字列: フリーフォーム・テキスト。
- リスト: エンティティまたは文字列のリスト。
すべてのリクエストの一般的な変数を参照してください。
変数は小文字で、ハイフン区切りです。たとえば、target.tag-namespace.name、target.display-nameです。ここで、nameは一意である必要があり、display-nameは説明です。
必要な変数は、リクエストごとにOCIコントロール・センター・サービスによって提供されます。自動変数は、認可エンジンによって提供されます(シック・クライアントではSDKを使用したサービス・ローカルで、シン・クライアントではアイデンティティ・データ・プレーンで提供されます)。
| 必須変数 | タイプ | 説明 |
|---|---|---|
target.compartment.id |
エンティティ(OCID) | リクエストのプライマリ・リソースのOCID |
request.operation |
文字列 | リクエストの操作ID (例: GetUser) |
target.resource.kind |
文字列 | リクエストのプライマリ・リソースのリソース種類名 |
| 自動変数 | タイプ | 説明 |
|---|---|---|
request.user.id |
エンティティ(OCID) | リクエスト・ユーザーのOCID。 |
request.groups.id |
エンティティ(OCID)のリスト | リクエスト・ユーザーが属しているグループのOCID。 |
target.compartment.name |
文字列 | target.compartment.idで指定されたコンパートメントの名前 |
target.tenant.id |
エンティティ(OCID) | ターゲット・テナントIDのOCID |
| 動的変数 | タイプ | 説明 |
|---|---|---|
request.principal.group.tag.<tagNS>.<tagKey> |
文字列 | プリンシパルがメンバーであるグループの各タグの値。 |
request.principal.compartment.tag.<tagNS>.<tagKey> |
文字列 | プリンシパルを含むコンパートメントの各タグの値。 |
target.resource.tag.<tagNS>.<tagKey> |
文字列 | ターゲット・リソースの各タグの値。(各リクエストでサービスによって提供されるtagSlugに基づいて計算されます。) |
target.resource.compartment.tag.<tagNS>.<tagKey> |
文字列 | ターゲット・リソースを含むコンパートメントの各タグの値。(各リクエストでサービスによって提供されるtagSlugに基づいて計算されます。) |
次に、変数の使用可能なソースのリストを示します:
- リクエスト: リクエスト入力から取得されます。
- 導出: リクエストから取得されます。
- 格納: サービスから取得され、入力が保持されます。
- 計算: サービス・データから計算されます。
動詞とリソース・タイプの組合せの詳細
コントロール・センター・リソースの各動詞でカバーされる権限およびAPI操作を識別します。
アクセスのレベルは、inspectからread、use、manageの順に累積します。表セル内のプラス記号(+)は、前のセルと比較して増分アクセスを示します。no extraは、増分アクセスがないことを示します。
アクセス権の付与の詳細は、権限を参照してください。
この表は、control-center-metricsリソースの各動詞でカバーされる権限およびAPI操作を示しています。
| Verb | 権限 | カバーされるAPI | 説明 |
|---|---|---|---|
inspect |
|
|
メトリックはネームスペースにグループ化されます。 すべてのネームスペースをリストします。 特定のネームスペースのメトリックのリストを取得します。 |
read |
|
|
特定のネームスペースのメトリックのデータ(値)を取得します。 |
use |
|
|
|
manage |
|
|
この表は、control-center-availability-catalogsリソースの各動詞でカバーされる権限およびAPI操作を示しています。
| Verbs | 権限 | カバーされるAPI | 説明 |
|---|---|---|---|
inspect |
CONTROL_CENTER_AVAILABILITY_CATALOG_INSPECT |
|
すべての可用性カタログをリストします。 |
read |
|
|
可用性カタログの詳細を取得します。 可用性カタログのバイナリ・コンテンツを返します。 可用性カタログ内の可用性をリストします。 |
この表は、control-center-capacity-requestsリソースの各動詞でカバーされる権限およびAPI操作を示しています。
| Verbs | 権限 | カバーされるAPI | 説明 |
|---|---|---|---|
inspect |
CONTROL_CENTER_CAPACITY_REQUEST_INSPECT |
|
すべての容量要求が表示されます。 |
read |
|
|
容量要求に関する詳細を取得します。 |
use |
|
|
容量要求を更新します。 |
manage |
|
|
容量要求を作成します。 容量要求リソースを削除します。 |
この表は、control-center-demand-signalsリソースの各動詞でカバーされる権限およびAPI操作を示しています。
| 動詞 | 権限 | カバーされるAPI | Description |
|---|---|---|---|
inspect |
CONTROL_CENTER_DEMAND_SIGNALS_INSPECT |
|
キャパシティ・リクエスト内のすべてのリソースをリストします。 |
read |
|
|
キャパシティ・リクエスト内のリソースの詳細を取得します。 |
use |
|
|
容量リクエストの名前を更新します。 生産能力要求のリソースの需要数量を編集します。 |
manage |
|
|
容量要求にリソースを追加します。 容量リクエスト内のリソースを削除します。 |
API操作ごとに必要な権限
次の表に、論理的な順序でAPI操作を示します。
詳細は、権限を参照してください。| API操作 | 操作の使用に必要な権限 |
|---|---|
ListNamespaces |
CONTROL_CENTER_METRICS_INSPECT |
ListMetricProperties |
CONTROL_CENTER_METRICS_INSPECT |
RequestSummarizedMetricData |
CONTROL_CENTER_METRICS_READ |
ListOccAvailabilityCatalogs |
CONTROL_CENTER_AVAILABILITY_CATALOG_INSPECT |
GetOccAvailabilityCatalog |
CONTROL_CENTER_AVAILABILITY_CATALOG_READ |
GetOccAvailabilityCatalogContent |
CONTROL_CENTER_AVAILABILITY_CATALOG_READ |
ListOccAvailabilities |
CONTROL_CENTER_AVAILABILITY_CATALOG_READ |
CreateOccCapacityRequest |
CONTROL_CENTER_CAPACITY_REQUEST_CREATE |
DeleteOccCapacityRequest |
CONTROL_CENTER_CAPACITY_REQUEST_DELETE |
UpdateOccCapacityRequest |
CONTROL_CENTER_CAPACITY_REQUEST_UPDATE |
ListOccCapacityRequests |
CONTROL_CENTER_CAPACITY_REQUEST_INSPECT |
GetOccCapacityRequest |
CONTROL_CENTER_CAPACITY_REQUEST_READ |
CreateOccDemandSignal |
CONTROL_CENTER_DEMAND_SIGNAL_CREATE |
DeleteOccDemandSignal |
CONTROL_CENTER_DEMAND_SIGNAL_DELETE |
PatchOccDemandSignal |
CONTROL_CENTER_DEMAND_SIGNAL_UPDATE |
UpdateOccDemandSignal |
CONTROL_CENTER_DEMAND_SIGNAL_UPDATE |
ListOccDemandSignals |
CONTROL_CENTER_DEMAND_SIGNAL_INSPECT |
GetOccDemandSignal |
CONTROL_CENTER_DEMAND_SIGNAL_READ |
ポリシーの作成
次に、コンソールでポリシーを作成する方法を示します:
コンソールまたはAPIを使用してポリシーを作成および管理する手順については、ポリシーの管理を参照してください。
Oracle Cloud Infrastructureのすべてのポリシーの完全なリストは、ポリシー・リファレンスおよび共通ポリシーを参照してください。
ポリシーの例
OCCメトリック・データを表示するには、OCCポリシーが必要です。
コンソールを使用してポリシーを作成する手順は、ポリシーの作成を参照してください。
構文の詳細は、ポリシー構文を参照してください。
次のポリシーの例が提供されます:
グループがメトリックをリストしたり、メトリック・データを読み取ることができます。
Allow group <group name> to use control-center-metrics in tenancyグループに容量要求の管理を許可します。
Allow group customeradmin to manage control-center-capacity-request in tenancyOCCファミリ・ポリシー
ユーザーを許可するか、OCCのすべてのメトリックを読み取るために、テナンシにこのポリシーを作成します:
Allow <user> to read control-center-family in tenancyOCCキャパシティ管理のオンボーディング・ポリシー
容量管理機能を使用するには、テナンシに次のポリシーを作成します。
allow group <group-name> to manage control-center-capacity-requests in tenancyallow group <group-name> to read control-center-availability-catalogs in tenancydefine tenancy operator as ocid1.tenancy.oc1..aaaaaaaagkbzgg6lpzrf47xzy4rjoxg4de6ncfiq2rncmjiujvy2hjgxvziqydefine group ccm-operators as ocid1.group.oc1..aaaaaaaay7y5a5tifmzcaa6ucaljuxyf5qvoghcn2lk4l3gxzvmiow7xaa6qadmit group ccm-operators of tenancy operator to use control-center-capacity-requests in tenancyここで、<group-name>は、容量管理に使用される顧客テナンシ内の任意のユーザー・グループです。オペレータ・テナンシおよびcm-operatorsグループに関連するポリシーは、OCIオペレータが顧客が作成した容量リクエストを処理できるようにすることです。