Oracle Cloud Infrastructureドキュメント

IAMポリシー



Oracle Cloud Infrastructure Identity and Access Management (IAM)は、テナンシのコンパートメントのリソースのグループに権限を付与するためにポリシーを使用します。 テナンシ管理者のみがポリシーを作成できます。 ポリシーはIAMでのみ作成できます。

ポリシーは、1つ以上の文で構成されるドキュメントです。 ポリシー文は次の基本構文に従います:

Allow group <group_name> to <verb><resource-type> in compartment <compartment_name>

ポリシー言語は、inspectreadusemanageなどの単純な動詞を使用します。

デフォルトでは、テナンシ管理者は、Oracle Data Safeを有効化するために必要な権限を持っています。 テナンシ管理者グループ以外のグループ(Data-Safe-Adminsグループなど)でOracle Data Safeを有効化および管理する必要がある場合、そのグループには次のような文を含むポリシーが必要です:
Allow group Data-Safe-Admins to manage data-safe in tenancy
Allow group Data-Safe-Admins to inspect groups in tenancy
ノート

「Oracle Data Safeの有効化に必要な権限」で異なる例を参照してください。
テナンシのグループに対するinspect権限により、ユーザー・グループはOracle Data Safeコンソールで認可ポリシーを構成できます。

ページ上部のダイアグラムには、グループがコンパートメントにアクセスできるようにする3つのOracle Cloud Infrastructure Identity and Access Management (IAM)グループおよびポリシーが表示されています。 データ保護に関連する法律上のコンプライアンスを保証するIT-Complianceグループには、Project Aコンパートメント内のすべてのリソースを管理する権限が付与されます。 Project Aコンパートメントは、財務データベースとブロック・ボリュームで構成されます。 開発者およびテスト担当者にテスト・データを提供するIT-Securityグループには、プロジェクトbコンパートメント内のすべてのリソースを管理する権限が付与されます。 プロジェクトBコンパートメントは、Salesデータベースとブロック・ボリュームで構成されています。 Data-Safe-Adminsのグループは、Oracle Data Safeの有効化およびOracle Data Safeでの権限の管理を担当します。 このグループには、テナンシ内のOracle Data Safeの管理およびグループの検査を行う権限が付与されています。

IAMでポリシーを作成する方法については、次のOracle Cloud Infrastructureのドキュメントを参照してください: