Lustreポリシーを使用したファイル・ストレージ

Oracle Cloud Infrastructure Identity and Access Management (IAM)サービスを使用して、Lustreリソースを含むファイル・ストレージのポリシーを作成します。

このトピックでは、Lustreサービスを使用したファイル・ストレージへのアクセスを制御するポリシーの書込みの詳細を説明します。詳細は、ポリシーの仕組みを参照してください。

ポリシー構文の概要

ポリシー・ステートメント全体の構文:

allow <subject> to <verb> <resource-type> in <location> where <condition>

たとえば、次のように指定できます。

  • <subject>として、グループまたは動的グループの名前またはOCID。または、any-userを使用して、テナンシ内のすべてのユーザーを含めることができます。

  • <subject>に1つ以上の権限のアクセス権を付与するため、<verb> として、inspectreaduseおよびmanage

    inspectreadusemanageと進むに連れて、アクセス権のレベルは一般に高くなり、付与される権限は累積されます。たとえば、useには、readに加えて更新する権限が含まれます。

  • resource-typeにはリソースのファミリ(virtual-network-familyなど)。または、vcnssubnetsなど、ファミリ内の個々のリソースを指定できます。

  • <location>として、コンパートメントの名前またはOCID。または、tenancyを使用して、テナンシ全体を含めることができます。

ポリシーの作成の詳細は、ポリシーの開始およびポリシー参照を参照してください。

リソース・タイプ

Lustreリソースを含むファイル・ストレージへのアクセス権をユーザーに付与するには、Lustreリソース・タイプを含むファイル・ストレージを使用してIAMポリシーを作成します。

集約リソース・タイプ

  • lustre-file-family

<verb> lustre-file-familyを使用するポリシーは、個々のリソース・タイプごとに個別の<verb> <individual resource-type>ステートメントを使用して記述することと同じです。

lustre-file-familyに含まれる個々のリソース・タイプについて、各動詞でカバーされているAPI操作の詳細は、動詞とリソース・タイプの組合せの詳細の表を参照してください。

個々のリソース・タイプ

Lustreリソースを含むファイル・ストレージにアクセスするには、次の各リソース・タイプを使用します:

  • lustre-file-system
  • lfs-work-request

詳細は、ポリシーの例を参照してください。

サポートされている変数

File Storage with Lustreサービスでは、すべての一般的な変数とここにリストされている変数がサポートされています。

OCIサービスでサポートされる一般的な変数の詳細は、すべてのリクエストの一般的な変数を参照してください。

変数 変数タイプ ソース
target.lustre-file-system.id エンティティ(OCID) リクエスト

動詞+リソース・タイプの組合せの詳細

ポリシーの作成には、Oracle Cloud Infrastructureの様々な動詞とリソース・タイプを使用できます。

次の表に、Lustreを使用したFile Storageで各動詞によってカバーされる権限およびAPI操作を示します。アクセスのレベルは、inspectからreadusemanageの順に累積します。表セル内のプラス記号(+)は、その直前のセルと比較して増分アクセスを示しますが、「追加なし」は増分アクセスを示しません。

lustre-file-system
動詞 権限 完全にカバーされるAPI 部分的にカバーされるAPI
inspect

LUSTRE_FILE_SYSTEM_INSPECT

ListLustreFileSystems

指定しない

読取り

INSPECT +

LUSTRE_FILE_SYSTEM_READ

INSPECT +

GetLustreFileSystem

指定しない

使用

READ +

LUSTRE_FILE_SYSTEM_UPDATE

READ +

UpdateLustreFileSystem

指定しない

管理

USE +

LUSTRE_FILE_SYSTEM_CREATE

LUSTRE_FILE_SYSTEM_DELETE

LUSTRE_FILE_SYSTEM_MOVE

USE +

CreateLustreFileSystem

DeleteLustreFileSystem

ChangeLustreFileSystemCompartment

指定しない

lfs-work-request
動詞 権限 完全にカバーされるAPI 部分的にカバーされるAPI
inspect

LFS_WORK_REQUEST_INSPECT

ListWorkRequests

ListWorkRequestErrors

ListWorkRequestLogs

指定しない

読取り

INSPECT +

LFS_WORK_REQUEST_READ

INSPECT +

GetWorkRequest

指定しない

使用

READ +

指定しない

READ +

指定しない

指定しない

管理

USE +

LFS_WORK_REQUEST_DELETE

USE +

CancelWorkRequest

指定しない

API操作ごとに必要な権限

次の表に、PostgreSQLを含むOCIデータベースのAPI操作を論理的な順序で、リソース・タイプ別にグループ化して示します。

リソース・タイプは、lustre-file-systemおよびlfs-work-requestです。

権限の詳細は、権限を参照してください。

必要な権限
API操作 操作の使用に必要な権限
ListLustreFileSystems LUSTRE_FILE_SYSTEM_INSPECT
GetLustreFileSystem LUSTRE_FILE_SYSTEM_READ
CreateLustreFileSystem LUSTRE_FILE_SYSTEM_CREATE
UpdateLustreFileSystem LUSTRE_FILE_SYSTEM_UPDATE
DeleteLustreFileSystem LUSTRE_FILE_SYSTEM_DELETE
ChangeLustreFileSystemCompartment LUSTRE_FILE_SYSTEM_MOVE
ListWorkRequests LFS_WORK_REQUEST_INSPECT
GetWorkRequest LFS_WORK_REQUEST_READ
CancelWorkRequest LFS_WORK_REQUEST_DELETE
ListWorkRequestErrors LFS_WORK_REQUEST_INSPECT
ListWorkRequestLogs LFS_WORK_REQUEST_INSPECT