プライベート・エンドポイント・ポリシー
プライベート・エンドポイントを作成、編集または管理するには、次のポリシーが必要です:
- virtual-network-familyの使用を許可するには:
allow group dataflow-admin to use virtual-network-family in compartment <compartment-name> - より特定的なリソースへのアクセスを許可するには、次のポリシーが必要です:
allow group dataflow-admin to manage vnics in compartment <compartment-name> allow group dataflow-admin to use subnets in compartment <compartment-name> allow group dataflow-admin to use network-security-groups in compartment <compartment-name> - 特定の操作へのアクセスを許可するには、次のポリシーが必要です:
allow group dataflow-admin to manage virtual-network-family in compartment <compartment-name> where any {request.operation='CreatePrivateEndpoint', request.operation='UpdatePrivateEndpoint', request.operation='DeletePrivateEndpoint' }
- ネットワーク構成の変更を許可するには、次のポリシーが必要です:
allow group dataflow-admin to manage dataflow-private-endpoint in <tenancy>
これらの例ではポリシーをdataflow-adminに付与しますが、これらのポリシーをユーザーのサブセットにのみ付与することを選択できるため、プライベート・エンドポイントで操作を実行できるユーザーを制限できます。実行のデータへのアクセスにプライベート・エンドポイントのみを使用しており、問題のプライベート・エンドポイントがテナンシに存在する場合、これらのポリシーは必要ありません。
プライベート・エンドポイント構成のアクティブ化またはネットワーク構成のインターネットへの切替えを行える実行を作成できるのは、
dataflow-adminグループのユーザーのみです。実行によってプライベート・エンドポイントがアクティブ化された後、このプライベート・エンドポイントは、適切な権限を持つdataflow-adminグループのユーザーが変更するまでアクティブなままになります。正しい特権セットについては、Securityを参照してください。dataflow-usersグループのユーザーは、アクティブなプライベート・エンドポイントを使用するようにアプリケーションが構成されている場合のみ実行を開始できます。
ノート
正しく構成されている場合、プライベート・エンドポイントはVCN上のプライベート・リソースとインターネット・リソースの組合せにアクセスできます。プライベート・エンドポイントを構成する場合は、「DNSゾーン」セクションでこれらのリソースのリストを指定します。
正しく構成されている場合、プライベート・エンドポイントはVCN上のプライベート・リソースとインターネット・リソースの組合せにアクセスできます。プライベート・エンドポイントを構成する場合は、「DNSゾーン」セクションでこれらのリソースのリストを指定します。