クラウド・ガード・ポリシー

Oracle Cloud Guardにアクセスできるユーザーおよび各ユーザー・グループのアクセスのタイプを制御するには、ポリシーを作成する必要があります。

デフォルトでは、Administratorsグループのユーザーのみがすべてのクラウド・ガード・リソースにアクセスできます。クラウド・ガードに関係する他のすべてのユーザーに対して、クラウド・ガード・リソースに対する適切な権限を割り当てる新しいポリシーを作成する必要があります。

Oracle Cloud Infrastructureポリシーの完全なリストは、ポリシー・リファレンスを参照してください。

リソース・タイプ

クラウド・ガードでは、ポリシーを記述するための集約リソース・タイプと個別リソース・タイプの両方が提供されます。

集約リソース・タイプを使用すると、記述するポリシーの数を少なくできます。たとえば、グループにcloud-guard-detectorsおよびcloud-guard-problemsの管理を許可するかわりに、グループに集約リソース・タイプcloud-guard-familyの管理を許可するポリシーを設定できます。


集約リソース・タイプ	個々のリソース・タイプ
`cloud-guard-family`	`cloud-guard-adhoc-query` `cloud-guard-condition-metadata-types` `cloud-guard-config` `cloud-guard-coverage` `cloud-guard-data-mask-rules` `cloud-guard-data-sources` `cloud-guard-detector-recipes` `cloud-guard-detector-rule-definitions` `cloud-guard-detectors` `cloud-guard-findings` `cloud-guard-managed-lists` `cloud-guard-metadata` `cloud-guard-meta-data-sync` `cloud-guard-problems` `cloud-guard-recommendations` `cloud-guard-resource-profile` `cloud-guard-resource-types` `cloud-guard-resource-view` `cloud-guard-responder-recipes` `cloud-guard-responder-rules` `cloud-guard-responder-executions` `cloud-guard-risk-scores` `cloud-guard-saved-query` `cloud-guard-schemas` `cloud-guard-security-scores` `cloud-guard-service-logging` `cloud-guard-signals` `cloud-guard-summary-event` `cloud-guard-target-detector-rules` `cloud-guard-targets` `cloud-guard-user-preferences` `security-policy` `security-recipe` `security-zone`

cloud-guard-family集約リソース・タイプでカバーされるAPIは、前述の表の「個別リソース・タイプ」にリストされているすべてのAPIに相当します。

たとえば、

allow group cloudguard-admins to manage cloud-guard-family in compartment <x>

...は、次のフォーマットで20個のポリシーを記述することと同じです:

allow group cloudguard-admins to manage <resource_type> in compartment <x>

ノート

クラウド・ガード管理グループがデフォルトのアイデンティティ・ドメインにない場合は、グループ名の前に<identity_domain_name>、その後にスラッシュ(/)を含める必要があります:

allow group <identity_domain_name>/cloudguard-admins to manage cloud-guard-family in compartment <x>

動詞+リソース・タイプの組合せの詳細

クラウド・ガードの各動詞でカバーされる権限およびAPI操作の表。

アクセス・レベルは、inspect > read > use > manageの順に累積します。表のセルのプラス記号(+)は、そのすぐ上のセルと比較して増分アクセスを示しますが、「追加なし」は増分アクセスを示しません。Oracle Cloud Infrastructureの権限の詳細は、権限を参照してください。

cloud-guard-adhoc-query

ここでは、cloud-guard-adhoc-queryリソース・タイプでカバーされるAPIをリストします。APIは、権限ごとにアルファベット順に表示されます。


権限	完全にカバーされるAPI	部分的にカバーされるAPI
検査
CG_ADHOC_QUERY_INSPECT	`ListAdhocQueries`	なし
読取り
検査+	検査+	なし
CG_ADHOC_QUERY_READ	`GetAdhocQuery`
	`ListAdhocQueryResults`
	`GetAdhocQueryResultContent`
使用
READ +	READ +	なし
CG_ADHOC_QUERY_CREATE	`CreateAdhocQuery`	なし
管理	追加なし	追加なし

cloud-guard-condition-metadata-types

ここでは、cloud-guard-condition-metadata-typesリソース・タイプでカバーされるAPIをリストします。APIは、権限ごとにアルファベット順に表示されます。


権限	完全にカバーされるAPI	部分的にカバーされるAPI
検査
CG_CONDITION_METADATA_TYPES_INSPECT	`ListCloudGuardConditionMetadataType`	なし
読取り		追加なし
INSPECT+	INSPECT+
CG_CONDITION_METADATA_TYPES_READ	`GetCloudGuardConditionMetadataType`
使用	追加なし	追加なし
管理	追加なし	追加なし

cloud-guard-config

ここでは、cloud-guard-configリソース・タイプでカバーされるAPIをリストします。APIは、権限ごとにアルファベット順に表示されます。


権限	完全にカバーされるAPI	部分的にカバーされるAPI
検査
CG_CONFIG_INSPECT	`GetCloudGuard`	なし
読取り
調査+	調査+	なし
CG_CONFIG_READ	`GetCloudGuard`	なし
使用
READ +	READ +	なし
CG_CONFIG_UPDATE	`UpdateCloudGuard`	なし
管理	追加なし	追加なし

cloud-guard-coverage

ここでは、cloud-guard-coverageリソース・タイプでカバーされるAPIをリストします。APIは、権限ごとにアルファベット順に表示されます。


権限	完全にカバーされるAPI	部分的にカバーされるAPI
検査
CG_COVERAGE_INSPECT	`RequestSummarizedCoverage`	なし
読取り	追加なし	追加なし
使用	追加なし	追加なし
管理	追加なし	追加なし

cloud-guard-data-mask-rules

ここでは、cloud-guard-data-mask-rulesリソース・タイプでカバーされるAPIをリストします。APIは、権限ごとにアルファベット順に表示されます。


権限	完全にカバーされるAPI	部分的にカバーされるAPI
検査
CG_DATA_MASK_RULE_INSPECT	`ListDataMaskRules`	なし
読取り
調査+	検査+	なし
CG_DATA_MASK_RULE_READ	`GetDataMaskRule`	なし
使用
READ +	READ +	なし
CG_DATA_MASK_RULE_UPDATE	`UpdateDataMaskRule`	なし
管理		なし
USE +	USE +	なし
CG_DATA_MASK_RULE_CREATE	`CreateDataMaskRule`
CG_DATA_MASK_RULE_DELETE	`DeleteDataMaskRule`

cloud-guard-data-sources

ここでは、cloud-guard-data-sourcesリソース・タイプでカバーされるAPIをリストします。APIは、権限ごとにアルファベット順に表示されます。


権限	完全にカバーされるAPI	部分的にカバーされるAPI
検査
CG_DATA_SOURCE_INSPECT	`ListDataSources`	なし
読取り
検査+	検査+	なし
CG_DATA_SOURCE_READ	`GetDataSource`	なし
使用
READ +	READ +	なし
CG_DATA_SOURCE_UPDATE	`UpdateDataSource`	なし
管理		なし
USE +	USE +	なし
CG_DATA_SOURCE_CREATE	`CreateDataSource`
CG_DATA_SOURCE_DELETE	`DeleteDataSource`
CG_DATA_SOURCE_MOVE	`ChangeDataSourceCompartment`

cloud-guard-detectors

ここでは、cloud-guard-detectorsリソース・タイプでカバーされるAPIをリストします。APIは、権限ごとにアルファベット順に表示されます。


権限	完全にカバーされるAPI	部分的にカバーされるAPI
検査
CG_DETECTOR_INSPECT	`ListCloudGuardDetectors`	なし
CG_DETECTOR_INSPECT	`ListCloudGuardDetectorRules`	なし
読取り
検査+	検査+	なし
CG_DETECTOR_READ	`GetCloudGuardDetector`
CG_DETECTOR_READ	`GetCloudGuardDetectorRule`
使用	追加なし	追加なし
管理	追加なし	追加なし

cloud-guard-detector-recipes

ここでは、cloud-guard-detector-recipesリソース・タイプでカバーされるAPIをリストします。APIは、権限ごとにアルファベット順に表示されます。


権限	完全にカバーされるAPI	部分的にカバーされるAPI
検査
CG_DETECTOR_RECIPE_INSPECT	`ListCloudGuardDetectorRecipe`	なし
CG_DETECTOR_RECIPE_INSPECT	`ListCloudGuardDetectorRecipeDetectorRules`	なし
読取り
検査+	検査+	なし
CG_DETECTOR_RECIPE_READ	`GetCloudGuardDetectorRecipe`
CG_DETECTOR_RECIPE_READ	`GetCloudGuardDetectorRecipeDetectorRule`
使用
READ +	READ +	なし
CG_DETECTOR_RECIPE_UPDATE	`UpdateCloudGuardDetectorRecipe`
	`ChangeCloudGuardDetectorRecipeCompartment`
	`UpdateCloudGuardDetectorRecipeDetectorRule`
管理
USE +	USE +	なし
CG_DETECTOR_RECIPE_CREATE	`CreateCloudGuardDetectorRecipe`
CG_DETECTOR_RECIPE_DELETE	`DeleteCloudGuardDetectorRecipe`

cloud-guard-detector-rule-definitions

ここでは、cloud-guard-detector-rule-definitionsリソース・タイプでカバーされるAPIをリストします。APIは、権限ごとにアルファベット順に表示されます。


権限	完全にカバーされるAPI	部分的にカバーされるAPI
検査
CG_DETECTOR_RULE_DEFINITION_INSPECT	`ListDetectorRuleDefinitions`	なし
読取り
検査+	検査+	なし
CG_DETECTOR_RULE_DEFINITION_READ	`GetDetectorRuleDefinition`	なし
使用
READ +	READ +	なし
CG_DETECTOR_RULE_DEFINITION_UPDATE	`UpdateDetectorRuleDefinition`	なし
管理
USE +	USE +	なし
CG_DETECTOR_RULE_DEFINITION_CREATE	`CreateDetectorRuleDefinition`
CG_DETECTOR_RULE_DEFINITION_DELETE	`DeleteDetectorRuleDefinition`

cloud-guard-findings

ここでは、cloud-guard-findingsリソース・タイプでカバーされるAPIをリストします。APIは、権限ごとにアルファベット順に表示されます。


権限	完全にカバーされるAPI	部分的にカバーされるAPI
検査
検査	追加なし	追加なし
読取り	追加なし	追加なし
使用	追加なし	追加なし
管理
CG_FINDING_CREATE	`CreateCloudGuardFinding`	なし

cloud-guard-managed-lists

ここでは、cloud-guard-managed-listsリソース・タイプでカバーされるAPIをリストします。APIは、権限ごとにアルファベット順に表示されます。


権限	完全にカバーされるAPI	部分的にカバーされるAPI
検査
CG_MANAGED_LIST_INSPECT	`ListCloudGuardManagedLists`	なし
CG_MANAGED_LIST_INSPECT	`ListCloudGuardManagedListTypes`	なし
読取り
調査+	調査+	なし
CG_MANAGED_LIST_READ	`GetCloudGuardManagedList`	なし
使用
READ +	READ +	なし
CG_MANAGED_LIST_UPDATE	`UpdateCloudGuardManagedList`	なし
管理
USE +	USE +	なし
CG_MANAGED_LIST_CREATE	`CreateCloudGuardManagedList`
CG_MANAGED_LIST_DELETE	`DeleteCloudGuardManagedList`
CG_MANAGED_LIST_MOVE	`ChangeManagedListCompartment`

cloud-guard-metadata

ここでは、cloud-guard-metadataリソース・タイプでカバーされるAPIをリストします。APIは、権限ごとにアルファベット順に表示されます。


権限	完全にカバーされるAPI	部分的にカバーされるAPI
検査
CG_METADATA_INSPECT	`ListTactics`	なし
CG_METADATA_INSPECT	`ListTechniques`	なし
読取り	追加なし	追加なし
使用	追加なし	追加なし
管理	追加なし	追加なし

cloud-guard-meta-data-sync

ここでは、cloud-guard-meta-data-syncリソース・タイプでカバーされるAPIをリストします。APIは、権限ごとにアルファベット順に表示されます。


権限	完全にカバーされるAPI	部分的にカバーされるAPI
検査	追加なし	追加なし
なし	なし	なし
読取り
調査+	調査+	なし
CG_METADATASYNC_READ	`GetMetaDataSyncStatus`	なし
使用
READ +	READ +	なし
CG_METADATASYNC_UPDATE	`UpdateResourceSync`	なし
管理	追加なし	追加なし

cloud-guard-problems

ここでは、cloud-guard-problemsリソース・タイプでカバーされるAPIをリストします。APIは、権限ごとにアルファベット順に表示されます。


権限	完全にカバーされるAPI	部分的にカバーされるAPI
検査
CG_PROBLEM_INSPECT	`ListCloudGuardProblems`	なし
	`ListCloudGuardProblemHistories`
	`ListCloudGuardResponderActivities`
	`RequestCloudGuardSummarizedActivityProblems`
読取り
調査+	調査+	なし
CG_PROBLEM_READ	`GetCloudGuardProblem`
	`RequestCloudGuardSummarizedProblems`
	`RequestCloudGuardSummarizedTrendProblems`
	`ListCloudGuardImpactedResources`
使用
READ +	READ +	なし
CG_PROBLEM_UPDATE	`UpdateCloudGuardBulkProblemStatus`
	`UpdateCloudGuardProblemStatus`
	`TriggerCloudGuardResponder`
管理	追加なし	追加なし

cloud-guard-recommendations

ここでは、cloud-guard-recommendationsリソース・タイプでカバーされるAPIをリストします。APIは、権限ごとにアルファベット順に表示されます。


権限	完全にカバーされるAPI	部分的にカバーされるAPI
検査
CG_RECOMMENDATION_INSPECT	`ListCloudGuardRecommendations`	なし
読取り	追加なし	追加なし
使用	追加なし	追加なし
管理	追加なし	追加なし

cloud-guard-resource-profile

ここでは、cloud-guard-resource-profileリソース・タイプでカバーされるAPIをリストします。APIは、権限ごとにアルファベット順に表示されます。


権限	完全にカバーされるAPI	部分的にカバーされるAPI
検査
CG_RESOURCE_PROFILE_INSPECT	`ListResourceProfiles`	なし
読取り
調査+	調査+	なし
CG_RESOURCE_PROFILE_READ	`GetResourceProfile`
	`ListResourceProfileEndpoints`
	`ListResourceProfileImpactedResources`
	`RequestSummarizedTopTrendResourceRiskScores`
	`RequestSummarizedTrendResourceRiskScores`
使用	追加なし	追加なし
管理	追加なし	追加なし

cloud-guard-resource-types

ここでは、cloud-guard-cloud-guard-resource-typesリソース・タイプでカバーされるAPIをリストします。APIは、権限ごとにアルファベット順に表示されます。


権限	完全にカバーされるAPI	部分的にカバーされるAPI
検査
CG_RESOURCE_TYPES_INSPECT	`ListCloudGuardResourceTypes`	なし
読取り	追加なし	追加なし
使用	追加なし	追加なし
管理	追加なし	追加なし

cloud-guard-resource-view

ここでは、cloud-guard-resource-viewリソース・タイプでカバーされるAPIをリストします。APIは、権限ごとにアルファベット順に表示されます。


権限	完全にカバーされるAPI	部分的にカバーされるAPI
検査
CG_RESOURCE_VIEW_INSPECT	`ListResources`	なし
読取り
調査+	調査+	なし
CG_RESOURCE_VIEW_READ	`GetResource`	なし
使用	追加なし	追加なし
管理	追加なし	追加なし

cloud-guard-responder-recipes

ここでは、cloud-guard-cloud-guard-responder-recipesリソース・タイプでカバーされるAPIをリストします。APIは、権限ごとにアルファベット順に表示されます。


権限	完全にカバーされるAPI	部分的にカバーされるAPI
検査
CG_RESPONDER_RECIPE_INSPECT	`ListCloudGuardResponderRecipe`	なし
CG_RESPONDER_RECIPE_INSPECT	`ListCloudGuardResponderRecipeResponderRule`	なし
読取り
調査+	調査+	なし
CG_RESPONDER_RECIPE_READ	`GetCloudGuardResponderRecipe`
CG_RESPONDER_RECIPE_READ	`GetCloudGuardResponderRecipeResponderRule`
使用
READ +	READ +	なし
CG_RESPONDER_RECIPE_UPDATE	`UpdateCloudGuardResponderRecipe`
	`ChangeCloudGuardResponderRecipeCompartment`
	`UpdateCloudGuardResponderRecipeResponderRule`
管理
USE +	USE +	なし
CG_RESPONDER_RECIPE_CREATE	`CreateCloudGuardResponderRecipe`
CG_RESPONDER_RECIPE_DELETE	`DeleteCloudGuardResponderRecipe`
CG_RESPONDER_RECIPE_MOVE	`ChangeResponderRecipeCompartment`

cloud-guard-responder-executions

ここでは、cloud-guard-responder-executionsリソース・タイプでカバーされるAPIをリストします。APIは、権限ごとにアルファベット順に表示されます。


権限	完全にカバーされるAPI	部分的にカバーされるAPI
検査
CG_RESPONDER_EXECUTION_INSPECT	`ListCloudGuardResponderExecution`	なし
読取り
調査+	調査+	なし
CG_RESPONDER_EXECUTION_READ	`GetCloudGuardResponderExecution`
	`RequestCloudGuardSummarizedResponderExecutions`
	`RequestCloudGuardSummarizedTrendResponderExecutions`
使用
READ +	READ +	なし
CG_RESPONDER_EXECUTION_UPDATE	`ExecuteCloudGuardResponderExecution`	なし
管理	追加なし	追加なし

cloud-guard-risk-scores

ここでは、cloud-guard-risk-scoresリソース・タイプでカバーされるAPIをリストします。APIは、権限ごとにアルファベット順に表示されます。


権限	完全にカバーされるAPI	部分的にカバーされるAPI
検査
CG_RISK_SCORES_INSPECT	`RequestCloudGuardSummarizedRiskScores`	なし
CG_RISK_SCORES_INSPECT	`RequestCloudGuardRiskScores`	なし
読取り	追加なし	追加なし
使用	追加なし	追加なし
管理	追加なし	追加なし

cloud-guard-saved-query

ここでは、cloud-guard-saved-queryリソース・タイプでカバーされるAPIをリストします。APIは、権限ごとにアルファベット順に表示されます。


権限	完全にカバーされるAPI	部分的にカバーされるAPI
検査
CG_SAVED_QUERY_INSPECT	`ListSavedQueries`	なし
読取り
調査+	調査+	なし
CG_SAVED_QUERY_READ	`GetSavedQuery`	なし
使用
READ +	READ +	なし
CG_SAVED_QUERY_UPDATE	`UpdateSavedQuery`	なし
管理
USE +	USE +	なし
CG_SAVED_QUERY_CREATE	`CreateSavedQuery`
CG_SAVED_QUERY_DELETE	`DeleteSavedQuery`
CG_SAVED_QUERY_MOVE	`ChangeWlpSavedQueryCompartment`

cloud-guard-schemas

ここでは、cloud-guard-schemasリソース・タイプでカバーされるAPIをリストします。APIは、権限ごとにアルファベット順に表示されます。


権限	完全にカバーされるAPI	部分的にカバーされるAPI
検査
CG_SCHEMA_INSPECT	`ListSchemas`	なし
読取り
調査+	調査+	なし
CG_SCHEMA_READ	`GetSchema`	なし
使用
READ +	READ +	なし
CG_SCHEMA_UPDATE	`UpdateSchema`	なし
管理
USE +	USE +	なし
CG_SCHEMA_CREATE	`CreateSchema`
CG_SCHEMA_DELETE	`DeleteSchema`

cloud-guard-security-scores

ここでは、cloud-guard-security-scoresリソース・タイプでカバーされるAPIをリストします。APIは、権限ごとにアルファベット順に表示されます。


権限	完全にカバーされるAPI	部分的にカバーされるAPI
検査
CG_SECURITY_SCORES_INSPECT	`RequestCloudGuardSummarizedSecurityScores`	なし
	`RequestCloudGuardSummarizedTrendSecurityScores`
	`RequestCloudGuardSecurityScores`
	`RequestSecurityScoreSummarizedTrend`
読取り	追加なし	追加なし
使用	追加なし	追加なし
管理	追加なし	追加なし

cloud-guard-service-logging

ここでは、cloud-guard-service-loggingリソース・タイプでカバーされるAPIをリストします。APIは、権限ごとにアルファベット順に表示されます。


権限	完全にカバーされるAPI	部分的にカバーされるAPI
検査
検査	`ListCloudGuardProblems`	追加なし
読取り
調査+	調査+	なし
CG_SERVICE_LOGGING_READ	`GetServiceLogging`	なし
使用
READ +	READ +	なし
CG_SERVICE_LOGGING_UPDATE	`UpdateServiceLogging`	なし
管理
USE +	USE +	なし
CG_SERVICE_LOGGING_CREATE	`CreateServiceLogging`
CG_SERVICE_LOGGING_DELETE	`DeleteServiceLogging`

cloud-guard-signals

ここでは、cloud-guard-signalsリソース・タイプでカバーされるAPIをリストします。APIは、権限ごとにアルファベット順に表示されます。


権限	完全にカバーされるAPI	部分的にカバーされるAPI
検査	追加なし	追加なし
読取り	追加なし	追加なし
使用	追加なし	追加なし
管理
USE +	USE +	なし
CG_SIGNAL_CREATE	`CreateCloudGuardSignal`	なし

cloud-guard-summary-event

ここでは、cloud-guard-summary-eventリソース・タイプでカバーされるAPIをリストします。APIは、権限ごとにアルファベット順に表示されます。


権限	完全にカバーされるAPI	部分的にカバーされるAPI
検査	追加なし	追加なし
読取り	追加なし	追加なし
使用	追加なし	追加なし
管理
USE +	USE +	なし
CG_SUMMARY_EVENT_CREATE	`AddSummaryEvent`	なし

cloud-guard-targets

ここでは、cloud-guard-targetsリソース・タイプでカバーされるAPIをリストします。APIは、権限ごとにアルファベット順に表示されます。


権限	完全にカバーされるAPI	部分的にカバーされるAPI
検査
CG_TARGET_INSPECT	`ListCloudGuardTargets`	なし
	`ListCloudGuardTargetDetectorRecipes`
	`ListCloudGuardTargetDetectorRecipeDetectorRules`
読取り
調査+	調査+	なし
CG_TARGET_READ	`GetCloudGuardTarget`
	`ListCloudGuardTargetResponderRecipes`
	`GetCloudGuardTargetResponderRecipe`
	`ListCloudGuardTargetResponderRecipeResponderRules`
	`GetCloudGuardTargetResponderRecipeResponderRule`
	`GetCloudGuardTargetDetectorRecipe`
	`GetCloudGuardTargetDetectorRecipeDetectorRule`
使用
READ +	READ +	なし
CG_TARGET_UPDATE	`UpdateCloudGuardTarget`
	`UpdateCloudGuardTargetDetectorRule`
	`CreateCloudGuardTargetResponderRecipe`
	`ChangeCloudGuardTargetResponderRecipeCompartment`
	`UpdateCloudGuardTargetResponderRecipe`
	`UpdateCloudGuardTargetResponderRecipeResponderRule`
	`CreateCloudGuardTargetDetectorRecipe`
	`ChangeCloudGuardTargetDetectorRecipeCompartment`
	`UpdateCloudGuardTargetDetectorRecipe`
管理
USE +	USE +	なし
CG_TARGET_CREATE	`CreateCloudGuardTarget`
CG_TARGET_DELETE	`DeleteCloudGuardTarget`
	`DeleteCloudGuardTargetResponderRecipe`
	`DeleteCloudGuardTargetDetectorRecipe`

cloud-guard-user-preferences

ここでは、cloud-guard-user-preferencesリソース・タイプでカバーされるAPIをリストします。APIは、権限ごとにアルファベット順に表示されます。


権限	完全にカバーされるAPI	部分的にカバーされるAPI
検査
CG_USER_PREFERENCE_INSPECT	`GetCloudGuardUserPreference`	なし
読取り	追加なし	追加なし
使用
READ +	READ +	なし
USE +	USE +	なし
CG_USER_PREFERENCE_UPDATE	`ReplaceCloudGuardUserPreference`	なし
管理	追加なし	追加なし

cloud-guard-work-requests

ここでは、cloud-guard-work-requestsリソース・タイプでカバーされるAPIをリストします。APIは、権限ごとにアルファベット順に表示されます。


権限	完全にカバーされるAPI	部分的にカバーされるAPI
検査
CG_WORK_REQUEST_INSPECT	`LListWorkRequests`	なし
読取り
調査+	調査+	なし
CG_WORK_REQUEST_READ	`GetWorkRequest`
	`ListWorkRequestErrors`
	`ListWorkRequestLogs`
使用	追加なし	追加なし
管理
USE +	USE +	なし
CG_WORK_REQUEST_DELETE	`CancelWorkRequest`	なし

セキュリティ・ポリシー


API操作	操作の使用に必要な権限
`GetSecurityPolicy`	`SECURITY_RECIPE_READ`

security-recipe

ここでは、security-recipeリソース・タイプでカバーされるAPIをリストします。APIは、権限ごとにアルファベット順に表示されます。


動詞	権限	全部カバーされるAPI	一部カバーされるAPI
`inspect`	`SECURITY_RECIPE_INSPECT`	`ListSecurityRecipes`	なし
`read`	`inspect+` `SECURITY_RECIPE_READ`	`GetSecurityRecipe`	なし
`use`	`read+` `SECURITY_RECIPE_UPDATE`	`UpdateSecurityRecipe`	なし
`manage`	`use+` `SECURITY_RECIPE_CREATE` `SECURITY_RECIPE_DELETE`	`CreateSecurityRecipe` `DeleteSecurityRecipe`	なし

security-zone

ここでは、security-zoneリソース・タイプでカバーされるAPIをリストします。APIは、権限ごとにアルファベット順に表示されます。


動詞	権限	全部カバーされるAPI	一部カバーされるAPI
`inspect`	`SECURITY_ZONE_INSPECT`	`ListSecurityZones`	なし
`read`	`inspect+` `SECURITY_ZONE_READ`	`GetSecurityZone`	なし
`use`	`read+` `SECURITY_ZONE_ATTACH` `SECURITY_ZONE_DETACH` `SECURITY_ZONE_UPDATE`	`AddCompartment` `RemoveCompartment` `UpdateSecurityZone`	なし
`manage`	`use+` `SECURITY_ZONE_CREATE` `SECURITY_ZONE_DELETE`	`CreateSecurityZone` `DeleteSecurityZone`	なし

API操作ごとに必要な権限

リソース・タイプ別にグループ化されたAPI操作を論理的順序でリストした表。

リソース・タイプは、リソース・タイプの「個別リソース・タイプ」列にリストされています。

権限の詳細は、権限を参照してください。

クラウド・ガード非定型問合せ


API操作	操作の使用に必要な権限
`ListAdhocQueries`	CG_ADHOC_QUERY_INSPECT
`GetAdhocQuery`	CG_ADHOC_QUERY_READ
`ListAdhocQueryResults`	CG_ADHOC_QUERY_READ
`GetAdhocQueryResultContent`	CG_ADHOC_QUERY_READ
`CreateAdhocQuery`	CG_ADHOC_QUERY_CREATE

cloud-guard-condition-metadata-types


API操作	操作の使用に必要な権限
`ListCloudGuardConditionMetadataType`	CG_CONDITION_METADATA_TYPES_INSPECT
`GetCloudGuardConditionMetadataType`	CG_CONDITION_METADATA_TYPES_READ

cloud-guard-config


API操作	操作の使用に必要な権限
`GetCloudGuard`	CG_CONFIG_INSPECT CG_CONFIG_READ
`UpdateCloudGuard`	CG_CONFIG_UPDATE

クラウドガードカバー


API操作	操作の使用に必要な権限
`RequestSummarizedCoverage`	CG_COVERAGE_INSPECT

クラウドガード・データ・マスク・ルール


API操作	操作の使用に必要な権限
`CreateDataMaskRule`	CG_DATA_MASK_RULE_CREATE
`DeleteDataMaskRule`	CG_DATA_MASK_RULE_DELETE
`GetDataMaskRule`	CG_DATA_MASK_RULE_READ
`ListDataMaskRules`	CG_DATA_MASK_RULE_INSPECT
`UpdateDataMaskRule`	CG_DATA_MASK_RULE_UPDATE

クラウド・ガード- データ・ソース


API操作	操作の使用に必要な権限
`ChangeDataSourceCompartment`	CG_DATA_SOURCE_MOVE
`CreateDataSource`	CG_DATA_SOURCE_CREATE
`DeleteDataSource`	CG_DATA_SOURCE_DELETE
`GetDataSource`	CG_CONFIG_READ
`ListDataSources`	CG_DATA_SOURCE_INSPECT
`UpdateDataSource`	CG_DATA_SOURCE_UPDATE

cloud-guard-detectors


API操作	操作の使用に必要な権限
`ListCloudGuardDetectors`	CG_DETECTOR_INSPECT
`ListCloudGuardDetectorRules`	CG_DETECTOR_INSPECT
`GetCloudGuardDetector`	CG_DETECTOR_READ
`GetCloudGuardDetectorRule`	CG_DETECTOR_READ

cloud-guard-detector-recipes


API操作	操作の使用に必要な権限
`ListCloudGuardDetectorRecipe`	CG_DETECTOR_RECIPE_INSPECT
`GetCloudGuardDetectorRecipe`	CG_DETECTOR_RECIPE_READ
`CreateCloudGuardDetectorRecipe`	CG_DETECTOR_RECIPE_CREATE
`UpdateCloudGuardDetectorRecipe`	CG_DETECTOR_RECIPE_UPDATE
`DeleteCloudGuardDetectorRecipe`	CG_DETECTOR_RECIPE_DELETE
`ChangeDetectorRecipeCompartment`	CG_DETECTOR_RECIPE_MOVE

クラウド・ガード・ディテクタ・ルール定義


API操作	操作の使用に必要な権限
`CreateDetectorRuleDefinition`	CG_DETECTOR_RULE_DEFINITION_CREATE
`DeleteDetectorRuleDefinition`	CG_DETECTOR_RULE_DEFINITION_DELETE
`GetDetectorRuleDefinition`	CG_DETECTOR_RULE_DEFINITION_READ
`ListDetectorRuleDefinitions`	CG_DETECTOR_RULE_DEFINITION_INSPECT
`UpdateDetectorRuleDefinition`	CG_DETECTOR_RULE_DEFINITION_UPDATE

cloud-guard-findings


API操作	操作の使用に必要な権限
`CreateCloudGuardFinding`	CG_FINDING_CREATE

cloud-guard-managed-lists


API操作	操作の使用に必要な権限
`ListCloudGuardManagedLists`	CG_MANAGED_LIST_INSPECT
`ListCloudGuardManagedListTypes`	CG_MANAGED_LIST_INSPECT
`GetCloudGuardManagedList`	CG_MANAGED_LIST_READ
`CreateCloudGuardManagedList`	CG_MANAGED_LIST_CREATE
`UpdateCloudGuardManagedList`	CG_MANAGED_LIST_UPDATE
`DeleteCloudGuardManagedList`	CG_MANAGED_LIST_DELETE
`ChangeManagedListCompartment`	CG_MANAGED_LIST_MOVE

クラウド・ガード・メタデータ


API操作	操作の使用に必要な権限
`ListTactics`	CG_METADATA_INSPECT
`ListTechniques`	CG_METADATA_INSPECT

cloud-guard-meta-data-sync


API操作	操作の使用に必要な権限
`UpdateResourceSync`	CG_METADATASYNC_UPDATE
`GetMetaDataSyncStatus`	CG_METADATASYNC_READ

cloud-guard-problems


API操作	操作の使用に必要な権限
`ListCloudGuardProblems`	CG_PROBLEM_INSPECT
`ListCloudGuardProblemHistories`	CG_PROBLEM_INSPECT
`ListCloudGuardResponderActivities`	CG_PROBLEM_INSPECT
`GetCloudGuardProblem`	CG_PROBLEM_READ
`RequestCloudGuardSummarizedProblems`	CG_PROBLEM_READ
`RequestCloudGuardSummarizedTrendProblems`	CG_PROBLEM_READ
`ListCloudGuardImpactedResources`	CG_PROBLEM_READ
`UpdateCloudGuardBulkProblemStatus`	CG_PROBLEM_UPDATE
`UpdateCloudGuardProblemStatus`	CG_PROBLEM_UPDATE
`TriggerCloudGuardResponder`	CG_PROBLEM_UPDATE

cloud-guard-recommendations


API操作	操作の使用に必要な権限
`ListCloudGuardRecommendations`	CG_RECOMMENDATION_INSPECT

クラウドガードリソースプロファイル


API操作	操作の使用に必要な権限
`GetResourceProfile`	CG_RESOURCE_PROFILE_READ
`ListResourceProfileEndpoints`	CG_RESOURCE_PROFILE_READ
`ListResourceProfileImpactedResources`	CG_RESOURCE_PROFILE_READ
`ListResourceProfiles`	CG_RESOURCE_PROFILE_INSPECT
`RequestSummarizedTopTrendResourceRiskScores`	CG_RESOURCE_PROFILE_READ
`RequestSummarizedTrendResourceRiskScores`	CG_RESOURCE_PROFILE_READ

cloud-guard-resource-types


API操作	操作の使用に必要な権限
`ListCloudGuardResourceTypes`	CG_RESOURCE_TYPES_INSPECT

クラウド・ガード- リソース・ビュー


API操作	操作の使用に必要な権限
`ListResources`	CG_RESOURCE_VIEW_INSPECT
`GetResource`	CG_RESOURCE_VIEW_READ

cloud-guard-responder-recipes


API操作	操作の使用に必要な権限
`ListCloudGuardResponderRecipe`	CG_RESPONDER_RECIPE_INSPECT
`ListCloudGuardResponderRecipeResponderRule`	CG_RESPONDER_RECIPE_INSPECT
`GetCloudGuardResponderRecipe`	CG_RESPONDER_RECIPE_READ
`GetCloudGuardResponderRecipeResponderRule`	CG_RESPONDER_RECIPE_READ
`CreateCloudGuardResponderRecipe`	CG_RESPONDER_RECIPE_CREATE
`UpdateCloudGuardResponderRecipe`	CG_RESPONDER_RECIPE_UPDATE
`ChangeCloudGuardResponderRecipeCompartment`	CG_RESPONDER_RECIPE_UPDATE
`UpdateCloudGuardResponderRecipeResponderRule`	CG_RESPONDER_RECIPE_UPDATE
`DeleteCloudGuardResponderRecipe`	CG_RESPONDER_RECIPE_DELETE
`ChangeResponderRecipeCompartment`	CG_RESPONDER_RECIPE_MOVE

cloud-guard-responder-rules


API操作	操作の使用に必要な権限
`ListCloudGuardResponderRules`	CG_RESPONDER_RULE_INSPECT
`GetCloudGuardResponderRule`	CG_RESPONDER_RULE_READ

cloud-guard-responder-executions


API操作	操作の使用に必要な権限
`ListCloudGuardResponderExecution`	CG_RESPONDER_EXECUTION_INSPECT
`GetCloudGuardResponderExecution`	CG_RESPONDER_EXECUTION_READ
`RequestCloudGuardSummarizedResponderExecutions`	CG_RESPONDER_EXECUTION_READ
`RequestCloudGuardSummarizedTrendResponderExecutions`	CG_RESPONDER_EXECUTION_READ
`ExecuteCloudGuardResponderExecution`	CG_RESPONDER_EXECUTION_UPDATE
`SkipCloudGuardBulkResponderExecution`	CG_RESPONDER_EXECUTION_UPDATE
`SkipCloudGuardResponderExecution`	CG_RESPONDER_EXECUTION_UPDATE

cloud-guard-risk-scores


API操作	操作の使用に必要な権限
`RequestCloudGuardSummarizedRiskScores`	CG_RISK_SCORES_INSPECT
`RequestCloudGuardRiskScores`	CG_RISK_SCORES_INSPECT

クラウド・ガード保存済問合せ


API操作	操作の使用に必要な権限
`ChangeSavedQueryCompartment`	CG_SAVED_QUERY_MOVE
`CreateSavedQuery`	CG_SAVED_QUERY_CREATE
`DeleteSavedQuery`	CG_SAVED_QUERY_DELETE
`GetSavedQuery`	CG_SAVED_QUERY_READ
`ListSavedQueries`	CG_SAVED_QUERY_INSPECT
`UpdateSavedQuery`	CG_SAVED_QUERY_INSPECT

クラウド・ガード・スキーマ


API操作	操作の使用に必要な権限
`CreateSchema`	CG_SCHEMA_CREATE
`DeleteSchema`	CG_SCHEMA_DELETE
`GetSchema`	CG_SCHEMA_READ
`ListSchemas`	CG_SCHEMA_INSPECT
`UpdateSchema`	CG_SCHEMA_UPDATE

cloud-guard-security-scores


API操作	操作の使用に必要な権限
`RequestCloudGuardSummarizedSecurityScores`	CG_SECURITY_SCORES_INSPECT
`RequestCloudGuardSummarizedTrendSecurityScores`	CG_SECURITY_SCORES_INSPECT
`RequestCloudGuardSecurityScores`	CG_SECURITY_SCORES_INSPECT
`RequestSecurityScoreSummarizedTrend`	CG_SECURITY_SCORES_INSPECT

クラウド・ガード・サービス・ロギング


API操作	操作の使用に必要な権限
`CreateServiceLogging`	CG_SERVICE_LOGGING_CREATE
`DeleteServiceLogging`	CG_SERVICE_LOGGING_DELETE
`GetServiceLogging`	CG_SERVICE_LOGGING_READ
`UpdateCloudGuard`	CG_SERVICE_LOGGING_CREATE

cloud-guard-signals


API操作	操作の使用に必要な権限
`CreateCloudGuardSignal`	CG_SIGNAL_CREATE

cloud-guard-summary-event


API操作	操作の使用に必要な権限
`AddSummaryEvent`	CG_SUMMARY_EVENT_CREATE

cloud-guard-targets


API操作	操作の使用に必要な権限
`ListCloudGuardTargets`	CG_TARGET_INSPECT
`ListCloudGuardTargetDetectorRecipes`	CG_TARGET_INSPECT
`ListCloudGuardTargetDetectorRecipeDetectorRules`	CG_TARGET_INSPECT
`GetCloudGuardTarget`	CG_TARGET_READ
`ListCloudGuardTargetResponderRecipes`	CG_TARGET_READ
`GetCloudGuardTargetResponderRecipe`	CG_TARGET_READ
`ListCloudGuardTargetResponderRecipeResponderRules`	CG_TARGET_READ
`GetCloudGuardTargetResponderRecipeResponderRule`	CG_TARGET_READ
`GetCloudGuardTargetDetectorRecipe`	CG_TARGET_READ
`GetCloudGuardTargetDetectorRecipeDetectorRule`	CG_TARGET_READ
`CreateCloudGuardTarget`	CG_TARGET_CREATE
`UpdateCloudGuardTarget`	CG_TARGET_UPDATE
`UpdateCloudGuardTargetDetectorRule`	CG_TARGET_UPDATE
`CreateCloudGuardTargetResponderRecipe`	CG_TARGET_UPDATE
`ChangeCloudGuardTargetResponderRecipeCompartment`	CG_TARGET_UPDATE
`UpdateCloudGuardTargetResponderRecipe`	CG_TARGET_UPDATE
`UpdateCloudGuardTargetResponderRecipeResponderRule`	CG_TARGET_UPDATE
`CreateCloudGuardTargetDetectorRecipe`	CG_TARGET_UPDATE
`ChangeCloudGuardTargetDetectorRecipeCompartment`	CG_TARGET_UPDATE
`UpdateCloudGuardTargetDetectorRecipe`	CG_TARGET_UPDATE
`UpdateCloudGuardTargetDetectorRecipeDetectorRule`	CG_TARGET_UPDATE
`DeleteCloudGuardTarget`	CG_TARGET_DELETE
`DeleteCloudGuardTargetResponderRecipe`	CG_TARGET_DELETE
`DeleteCloudGuardTargetDetectorRecipe`	CG_TARGET_DELETE

cloud-guard-user-preferences


API操作	操作の使用に必要な権限
`GetCloudGuardUserPreference`	CG_USER_PREFERENCE_INSPECT
`ReplaceCloudGuardUserPreference`	CG_USER_PREFERENCE_UPDATE

クラウド・ガード作業リクエスト


API操作	操作の使用に必要な権限
`CancelWorkRequest`	CG_WORK_REQUEST_DELETE
`GetWorkRequest`	CG_WORK_REQUEST_READ
`ListWorkRequestErrors`	CG_WORK_REQUEST_READ
`ListWorkRequestLogs`	CG_WORK_REQUEST_READ

セキュリティ・ポリシー


API操作	操作の使用に必要な権限
`GetSecurityPolicy`	`SECURITY_RECIPE_READ`

security-recipe


API操作	操作の使用に必要な権限
`ListSecurityRecipes`	`SECURITY_RECIPE_INSPECT`
`GetSecurityRecipe`	`SECURITY_RECIPE_READ`
`CreateSecurityRecipe`	`SECURITY_RECIPE_CREATE`
`UpdateSecurityRecipe`	`SECURITY_RECIPE_UPDATE`
`DeleteSecurityRecipe`	`SECURITY_RECIPE_DELETE`

security-zone


API操作	操作の使用に必要な権限
`ListSecurityZones`	`SECURITY_ZONE_INSPECT`
`GetSecurityZone`	`SECURITY_ZONE_READ`
`CreateSecurityZone`	`SECURITY_ZONE_CREATE`
`UpdateSecurityZone`	`SECURITY_ZONE_UPDATE`
`DeleteSecurityZone`	`SECURITY_ZONE_DELETE`
`AddCompartment`	`SECURITY_ZONE_ATTACH`
`RemoveCompartment`	`SECURITY_ZONE_DETACH`

ポリシーの作成

クラウド・ガードのREST APIコールをサポートするポリシーを作成するステップ。

ポリシーの作成方法を次に示します:

コンソールのナビゲーション・メニューを開き、「アイデンティティとセキュリティ」、「アイデンティティ」、「ポリシー」を選択します。
「ポリシーの作成」を選択します。
ポリシーの名前と説明を入力します。
機密情報を入力しないでください。
「ステートメント」フィールドに、次のフォーマットでポリシー・ルールを入力します:

allow service cloudguard to <verb> <resource_type> in <compartment or tenancy details>
「作成」を選択します。

ポリシーの作成の詳細は、ポリシーの仕組みおよびポリシー・リファレンスを参照してください。

ポリシーの例

例を使用して、クラウド・ガードのIAMポリシーについて説明します。

グループSecurityAdminsのユーザーに、テナンシ全体のあらゆるクラウド・ガード・リソースの作成、更新および削除を許可します:
```
Allow group SecurityAdmins to manage cloud-guard-family in tenancy
```
グループSecurityAdminsのユーザーが、テナンシ全体のすべてのセキュリティ・ゾーンおよびレシピを作成、更新および削除できるようにします:
```
Allow group SecurityAdmins to manage security-zone in tenancy
Allow group SecurityAdmins to manage security-recipe in tenancy
```
グループSecurityAuditorsのユーザーが、コンパートメントSecurityArtifacts内のセキュリティ・ゾーンおよびレシピを表示できるようにします:
```
Allow group SecurityAuditors to read security-zone in compartment SecurityArtifacts
Allow group SecurityAuditors to read security-recipe in compartment SecurityArtifacts
```

その他のポリシーの例は、ユーザーのポリシー・ステートメントを参照してください。