Lustreポリシーを使用したファイル・ストレージ
Oracle Cloud Infrastructure Identity and Access Management (IAM)サービスを使用して、Lustreリソースを含むファイル・ストレージのポリシーを作成します。
このトピックでは、Lustreサービスを使用したファイル・ストレージへのアクセスを制御するポリシーの書込みの詳細を説明します。詳細は、ポリシーの仕組みを参照してください。
ポリシー構文の概要
ポリシー・ステートメント全体の構文:
allow <subject> to <verb> <resource-type> in <location> where <condition>たとえば、次のように指定できます。
-
<subject>として、グループまたは動的グループの名前またはOCID。または、any-userを使用して、テナンシ内のすべてのユーザーを含めることができます。 -
<subject>に1つ以上の権限のアクセス権を付与するため、<verb>として、inspect、read、useおよびmanage。inspect、read、use、manageと進むに連れて、アクセス権のレベルは一般に高くなり、付与される権限は累積されます。たとえば、useには、readに加えて更新する権限が含まれます。 -
resource-typeにはリソースのファミリ(virtual-network-familyなど)。または、vcnsやsubnetsなど、ファミリ内の個々のリソースを指定できます。 -
<location>として、コンパートメントの名前またはOCID。または、tenancyを使用して、テナンシ全体を含めることができます。
リソース・タイプ
Lustreリソースを含むファイル・ストレージへのアクセス権をユーザーに付与するには、Lustreリソース・タイプを含むファイル・ストレージを使用してIAMポリシーを作成します。
集約リソース・タイプ
lustre-file-family
<verb> lustre-file-familyを使用するポリシーは、個々のリソース・タイプごとに個別の<verb> <individual resource-type>ステートメントを使用して記述することと同じです。
lustre-file-familyに含まれる個々のリソース・タイプについて、各動詞でカバーされているAPI操作の詳細は、動詞とリソース・タイプの組合せの詳細の表を参照してください。
個々のリソース・タイプ
Lustreリソースを含むファイル・ストレージにアクセスするには、次の各リソース・タイプを使用します:
lustre-file-systemlfs-work-request
詳細は、ポリシーの例を参照してください。
サポートされている変数
File Storage with Lustreサービスでは、すべての一般的な変数とここにリストされている変数がサポートされています。
OCIサービスでサポートされる一般的な変数の詳細は、すべてのリクエストの一般的な変数を参照してください。
| 変数 | 変数タイプ | ソース |
|---|---|---|
target.lustre-file-system.id |
エンティティ(OCID) | リクエスト |
動詞+リソース・タイプの組合せの詳細
ポリシーの作成には、Oracle Cloud Infrastructureの様々な動詞とリソース・タイプを使用できます。
次の表に、Lustreを使用したFile Storageで各動詞によってカバーされる権限およびAPI操作を示します。アクセスのレベルは、inspectからread、use、manageの順に累積します。表セル内のプラス記号(+)は、その直前のセルと比較して増分アクセスを示しますが、「追加なし」は増分アクセスを示しません。
| 動詞 | 権限 | 完全にカバーされるAPI | 部分的にカバーされるAPI |
|---|---|---|---|
| inspect |
LUSTRE_FILE_SYSTEM_INSPECT |
|
指定しない |
| 読取り |
INSPECT + LUSTRE_FILE_SYSTEM_READ |
INSPECT +
|
指定しない |
| 使用 |
READ + LUSTRE_FILE_SYSTEM_UPDATE |
READ +
|
指定しない |
| 管理 |
USE + LUSTRE_FILE_SYSTEM_CREATE LUSTRE_FILE_SYSTEM_DELETE LUSTRE_FILE_SYSTEM_MOVE |
USE +
|
指定しない |
| 動詞 | 権限 | 完全にカバーされるAPI | 部分的にカバーされるAPI |
|---|---|---|---|
| inspect |
LFS_WORK_REQUEST_INSPECT |
ListWorkRequestLogs |
指定しない |
| 読取り |
INSPECT + LFS_WORK_REQUEST_READ |
INSPECT +
|
指定しない |
| 使用 |
READ + 指定しない |
READ + 指定しない |
指定しない |
| 管理 |
USE + LFS_WORK_REQUEST_DELETE |
USE +
|
指定しない |
API操作ごとに必要な権限
次の表に、PostgreSQLを含むOCIデータベースのAPI操作を論理的な順序で、リソース・タイプ別にグループ化して示します。
リソース・タイプは、lustre-file-systemおよびlfs-work-requestです。
権限の詳細は、権限を参照してください。
| API操作 | 操作の使用に必要な権限 |
|---|---|
ListLustreFileSystems |
LUSTRE_FILE_SYSTEM_INSPECT |
GetLustreFileSystem |
LUSTRE_FILE_SYSTEM_READ |
CreateLustreFileSystem |
LUSTRE_FILE_SYSTEM_CREATE |
UpdateLustreFileSystem |
LUSTRE_FILE_SYSTEM_UPDATE |
DeleteLustreFileSystem |
LUSTRE_FILE_SYSTEM_DELETE |
ChangeLustreFileSystemCompartment |
LUSTRE_FILE_SYSTEM_MOVE |
ListWorkRequests |
LFS_WORK_REQUEST_INSPECT |
GetWorkRequest |
LFS_WORK_REQUEST_READ |
CancelWorkRequest |
LFS_WORK_REQUEST_DELETE |
ListWorkRequestErrors |
LFS_WORK_REQUEST_INSPECT |
ListWorkRequestLogs |
LFS_WORK_REQUEST_INSPECT |
ポリシーの例
次の例を使用して、ファイル・システムに必要なポリシーと独自のキーでファイル・システムを暗号化する場合に必要となるポリシーに加えて、共通ポリシーを作成します。
グループにファイルシステムの使用を許可するが、削除を許可しない
allow group lfsadminusers to use lustre-file-family in compartment <file_system_compartment>