Oracle Cloud Infrastructureドキュメント

ファイル・ストレージ・サービスの詳細

このトピックでは、ファイル・ストレージ・サービスへのアクセスを制御するポリシーを記述するための詳細について説明します。

集約リソース・タイプ

  • file-family

個別のリソース・タイプ

  • file-systems
  • mount-targets
  • export-sets

コメント

<verb> file-familyを使用するポリシーは、個々のリソース・タイプごとに個別の<verb> <individual resource-type>ステートメントを使用してポリシーを作成するのと同じです。

file-familyに含まれている個々のリソース・タイプごとに、各動詞で扱うAPI操作の詳細を調べるには、「動詞+リソース・タイプの組み合わせの詳細」の表を参照してください。

サポートされる変数

一般的な変数だけがサポートされています(「すべてのリクエストの一般変数」を参照)。

動詞+リソース・タイプの組み合わせの詳細

次の表は、各動詞が扱うpermissionsおよびAPI操作を示しています。 アクセス・レベルは、inspect > read > use > manageから行くにつれて累積されます。 表セルのプラス記号(+)は、そのすぐ上のセルと比較してインクリメンタル・アクセスを示しますが、no extraはインクリメンタル・アクセスを示していません。

たとえば、file-systemsリソース・タイプのread動詞には、inspect verbと同じアクセス権とAPI操作、さらにFILE_SYSTEM_READ許可と多数のAPI操作(たとえば、GetFileSystemListMountTargetsなど)が含まれています。 use動詞は、readと比較して、さらに別のアクセス権とAPI操作のセットをカバーしています。 最後に、manageは、useと比較して、さらに2つのパーミッションと操作をカバーしています。

export-sets
file-systems
mount-targets

各API操作に必要なアクセス許可

次の表は、API操作をリソースのタイプ別にグループ化した論理的な順序で示しています。

ヒント

グループがコンソールを使用してファイルシステムを作成する場合は、マウント・ターゲットを読み取るアクセス権が必要です。
詳細なガイダンスは「ファイル・ストレージ・ポリシーの例を参照してください」

権限については、「アクセス許可」を参照してください。

API操作 操作を使用するために必要な権限
ListExports EXPORT_SET_READ
CreateExport EXPORT_SET_UPDATE + FILE_SYSTEM_NFSv3_EXPORT
GetExport EXPORT_SET_READ
DeleteExport EXPORT_SET_UPDATE + FILE_SYSTEM_NFSv3_UNEXPORT
ListExportSets EXPORT_SET_INSPECT
CreateExportSet EXPORT_SET_CREATE
GetExportSet EXPORT_SET_READ
UpdateExportSet EXPORT_SET_UPDATE
DeleteExportSet EXPORT_SET_DELETE
ListFileSystems FILE_SYSTEM_INSPECT
CreateFileSystem FILE_SYSTEM_CREATE
GetFileSystem FILE_SYSTEM_READ
UpdateFileSystem FILE_SYSTEM_UPDATE
DeleteFileSystem FILE_SYSTEM_DELETE
ListMountTargets MOUNT_TARGET_INSPECT
CreateMountTarget

MOUNT_TARGET_CREATE + 

VNIC_CREATE(vnicCompartment) + 

SUBNET_ATTACH(subnetCompartment) +

VNIC_ATTACH(vnicCompartment) +

PRIVATE _IP_CREATE(subnetCompartment) +

PRIVATE_IP_ASSIGN(subnetCompartment) +

VNIC_ASSIGN(subnetCompartment)

GetMountTarget MOUNT_TARGET_READ
UpdateMountTarget MOUNT_TARGET_UPDATE
DeleteMountTarget

MOUNT_TARGET_DELETE +

VNIC_DELETE(vnicCompartment) + 

SUBNET_DETACH(subnetCompartment) +

VNIC_DETACH(vnicCompartment) +

PRIVATE_IP_DELETE(subnetCompartment) +

PRIVATE_IP_UNASSIGN(subnetCompartment) +

VNIC_UNASSIGN(vnicCompartment)

ListSnapshots FILE_SYSTEM_READ
CreateSnapshot FILE_SYSTEM_CREATE_SNAPSHOT
GetSnapshot FILE_SYSTEM_READ
DeleteSnapshot FILE_SYSTEM_DELETE_SNAPSHOT