Oracle Cloud Infrastructureドキュメント

IAM詳細

このトピックでは、IAMへのアクセスを制御するポリシーを記述するための詳細について説明します。

Resource-Types

authentication-policies

コンパートメント

users

groups

dynamic-groups

policies

identity-providers

tenancies

tag-namespaces

tagdefinitions

tag-defaults

workrequest

サポートされる変数

IAMすべての一般変数(「すべてのリクエストの一般変数」を参照)と、ここにリストされている追加変数をサポートしています:

このリソース・タイプの操作 これらの変数を使用できます 変数タイプ コメント
users target.user.id エンティティ(OCID) CreateUserでは使用できません。
target.user.name 文字列  
groups target.group.id エンティティ(OCID) CreateGroupでは使用できません。
target.group.name 文字列  
target.group.member ブール request.userがtarget.groupのメンバーであれば真。
policies

target.policy.id

エンティティ(OCID) CreatePolicyでは使用できません。
target.policy.name 文字列  
target.policy.autoupdate ブール 実行されているポリシーがバージョンの日付としてポリシーを最新に保つ(つまり、CreatePolicyおよびUpdatePolicyversionDateパラメータのnullまたは空の文字列)を使用するかどうか。
コンパートメント

target.compartment.id

エンティティ(OCID)

CreateCompartmentの場合、これは親コンパートメントの値(ルート・コンパートメントなど)になります。

これは、すべてのサービス(「すべてのリクエストの一般変数」を参照)全体の任意のリクエストで使用できる汎用変数です。

target.compartment.name 文字列  

動詞+リソース・タイプの組み合わせの詳細

次の表は、各動詞が扱うpermissionsおよびAPI操作を示しています。 アクセス・レベルは、inspect> read> use> manageから行くにつれて累積されます。 表のセルのプラス記号(+)は、そのすぐ上のセルと比較してインクリメンタルなアクセスを示しますが、「追加なし」は増分アクセスを示していません。

たとえば、コンパートメントのread verbには、inspect verbと比較して、追加の許可またはAPI操作は含まれていません。 use verbには、read verbと同じものとCOMPARTMENT_UPDATE権限およびUpdateCompartment API操作が含まれています。 manage verbには、use verbと同じ権限とAPI操作、さらにCOMPARTMENT_CREATE権限と2つのAPI操作が含まれています: CreateCompartmentおよびDeleteCompartment

authentication-policies
コンパートメント
users
groups
dynamic-groups
ポリシー
identity-providers
テナンシ
tag-namespaces
tagdefinitions
tag-defaults

各API操作に必要なアクセス許可

次の表は、API操作をリソースのタイプ別にグループ化した論理的な順序で示しています。

権限については、「アクセス許可」を参照してください。

API操作 操作を使用するために必要な権限
ListRegions TENANCY_INSPECT
ListRegionSubscriptions TENANCY_INSPECT
CreateRegionSubscription TENANCY_UPDATE
GetTenancy TENANCY_INSPECT
GetAuthenticationPolicy AUTHENTICATION_POLICY_INSPECT
UpdateAuthenticationPolicy AUTHENTICATION_POLICY_UPDATE
ListAvailabilityDomains COMPARTMENT_INSPECT
ListCompartments COMPARTMENT_INSPECT
GetCompartment COMPARTMENT_INSPECT
UpdateCompartment COMPARTMENT_UPDATE
CreateCompartment COMPARTMENT_CREATE
DeleteCompartment COMPARTMENT_DELETE
GetWorkRequest COMPARTMENT_READ
ListUsers USER_INSPECT
GetUser USER_INSPECT
UpdateUser USER_UPDATE
UpdateUserState USER_UPDATEおよびUSER_UNBLOCK
CreateUser

USER_CREATE

DeleteUser USER_DELETE
CreateOrResetUIPassword USER_UPDATEおよびUSER_UIPASS_RESET
ListApiKeys USER_READ
UploadApiKey

USER_UPDATEおよびUSER_APIKEY_ADD

DeleteApiKey USER_UPDATEおよびUSER_APIKEY_REMOVE
ListAuthTokens USER_READ
UpdateAuthToken USER_UPDATEおよびUSER_AUTHTOKEN_RESET
CreateAuthToken USER_UPDATEおよびUSER_AUTHTOKEN_SET
DeleteAuthToken USER_UPDATEおよびUSER_AUTHTOKEN_REMOVE
ListSwiftPasswords USER_READ
UpdateSwiftPassword USER_UPDATEおよびUSER_SWIFTPASS_RESET
CreateSwiftPassword USER_UPDATEおよびUSER_SWIFTPASS_SET
DeleteSwiftPassword USER_UPDATEおよびUSER_SWIFTPASS_REMOVE
ListCustomerSecretKeys USER_READ
CreateSecretKey USER_UPDATEおよびUSER_SECRETKEY_ADD
UpdateCustomerSecretKey USER_UPDATEおよびUSER_SECRETKEY_UPDATE
DeleteCustomerSecretKey USER_UPDATEおよびUSER_SECRETKEY_REMOVE
ListUserGroupMemberships GROUP_INSPECTおよびUSER_INSPECT
GetUserGroupMembership USER_INSPECTおよびGROUP_INSPECT
AddUserToGroup GROUP_UPDATEおよびUSER_UPDATE
RemoveUserFromGroup GROUP_UPDATEおよびUSER_UPDATE
ListGroups GROUP_INSPECT
GetGroup GROUP_INSPECT
UpdateGroup GROUP_UPDATE
CreateGroup GROUP_CREATE
DeleteGroup GROUP_DELETE
ListDynamicGroups DYNAMIC_GROUP_INSPECT
GetDynamicGroup DYNAMIC_GROUP_INSPECT
UpdateDynamicGroup DYNAMIC_GROUP_UPDATE
CreateDynamicGroup DYNAMIC_GROUP_CREATE
DeleteDynamicGroup DYNAMIC_GROUP_DELETE
ListPolicies POLICY_READ
GetPolicy POLICY_READ
UpdatePolicy POLICY_UPDATE
CreatePolicy POLICY_CREATE
DeletePolicy POLICY_DELETE
ListIdentityProviders IDENTITY_PROVIDER_INSPECT
GetIdentityProvider IDENTITY_PROVIDER_INSPECT
UpdateIdentityProvider IDENTITY_PROVIDER_UPDATE
CreateIdentityProvider IDENTITY_PROVIDER_CREATE
DeleteIdentityProvider IDENTITY_PROVIDER_DELETE
ListIdpGroupMappings IDENTITY_PROVIDER_INSPECTおよびGROUP_INSPECT
GetIdpGroupMapping IDENTITY_PROVIDER_INSPECTおよびGROUP_INSPECT
AddIdpGroupMapping IDENTITY_PROVIDER_UPDATEおよびGROUP_UPDATE
DeleteIdpGroupMapping IDENTITY_PROVIDER_UPDATEおよびGROUP_UPDATE
ListTagNamespaces TAG_NAMESPACE_INSPECT
GetTagNamespace TAG_NAMESPACE_INSPECT
CreateTagNamespace TAG_NAMESPACE_CREATE
UpdateTagNamespace TAG_NAMESPACE_UPDATE
MoveTagNamespace TAB_NAMESPACE_MOVE
ListTagDefinitions TAG_DEFINITION_INSPECT
GetTagDefinition TAG_DEFINITION_INSPECT
CreateTagDefinition TAG_DEFINITION_CREATE
UpdateTagDefinition TAG_DEFINITION_UPDATE
ListTagDefaults TAG_DEFAULT_INSPECT
GetTagDefault TAG_DEFAULT_INSPECT
CreateTagDefault TAG_DEFAULT_MANAGE
UpdateTagDefault TAG_DEFAULT_MANAGE
DeleteTagDefault TAG_DEFAULT_MANAGE