Oracle Cloud Infrastructureドキュメント

委任管理者の必須権限

Oracle Data Safe管理者は、グループがリソース・グループ内のリソースへのアクセス権を管理することを許可できます。 このオプションは、「委任された」管理と呼ばれます。 たとえば、Group1で監査レポートをGroup2と共有するが、Group2にはレポートを含むリソース・グループに対するアクセス権がないとします。 Group1に、レポートを含むリソース・グループの委任管理者になる権限がある場合、Group1は、レポートへのGroup2 viewまたはmanageアクセスを提供するように認可ポリシーを構成できます。

グループが特定のリソース・グループに対してOracle Data Safeで認可ポリシーを構成できるようにするには、そのグループに次が必要です:

  • IAMのポリシー内: 少なくともテナンシのグループに対するinspect権限。 たとえば、テナンシ管理者は、次のポリシーを記述して、A-Adminsと呼ばれるグループがテナンシのグループのリストを表示できるようにします:
    Allow group A-Admins to inspect groups in tenancy
  • Oracle Data Safeの認可ポリシーの場合 : 特定のリソース・グループに対する次の権限の少なくとも1つ:
    • AdministerMasking
    • AdministerAudit
    • AdministerAssessment
    • AdministerAll
    ノート

    Oracle Data Safe認可ポリシータブで、manageという用語は、機能に対するこれらの権限の1つを示すために使用されます。

Oracle Data Safe管理者が、Project-Aリソース・グループに対するAdministerAudit権限をA-Adminsグループに付与するとします。 A-AdminsグループのメンバーがOracle Data Safeにサインインすると、そのユーザーはProject-Aリソース・グループにViewAuditまたはAdministerAudit権限を付与できます。 ただし、AssessmentDiscovery and Maskingなどの他の機能に対する権限は付与できません。