Oracle Cloud Infrastructureドキュメント

IAMの詳細

このトピックでは、IAMへのアクセスを制御するポリシーを記述するための詳細について説明します。

Resource-Types

authentication-policies

compartments

users

groups

dynamic-groups

policies

identity-providers

tenancies

tag-namespaces

tagdefinitions

tag-defaults

workrequest

サポートされる変数

IAMすべての一般変数(「すべてのリクエストの一般変数」を参照)と、ここにリストされている追加変数をサポートしています:

このリソース・タイプの操作 これらの変数を使用できます 変数タイプ コメント
users target.user.id エンティティ(OCID) CreateUserでは使用できません。
target.user.name 文字列  
groups target.group.id エンティティ(OCID) CreateGroupでは使用できません。
target.group.name 文字列  
target.group.member Boolean request.userがtarget.groupのメンバーであれば真。
policies

target.policy.id

エンティティ(OCID) CreatePolicyでは使用できません。
target.policy.name 文字列  
target.policy.autoupdate Boolean 実行されているポリシーがバージョンの日付としてポリシーを最新に保つ(つまり、CreatePolicyおよびUpdatePolicyversionDateパラメータのnullまたは空の文字列)を使用するかどうか。
compartments

target.compartment.id

エンティティ(OCID)

CreateCompartmentの場合、これは親コンパートメントの値(ルート・コンパートメントなど)になります。

これは、すべてのサービス(「すべてのリクエストの一般変数」を参照)全体の任意のリクエストで使用できる汎用変数です。

target.compartment.name 文字列  
tag-namespace

target.tag-namespace.id

エンティティ(OCID)

この変数は、tag-namespacesリソース・タイプに対して権限を付与する文でのみサポートされます。 例は、「定義済みタグの操作に必要な権限」を参照してください。 CreateTagNamespaceでは使用できません。

target.tag-namespace.name 文字列  

動詞+リソース・タイプの組み合わせの詳細

次の表は、各動詞が扱うpermissionsおよびAPI操作を示しています。 アクセス・レベルは、inspect > read > use > manageから行くにつれて累積されます。 表のセルのプラス記号(+)は、そのすぐ上のセルと比較してインクリメンタルなアクセスを示しますが、「追加なし」は増分アクセスを示していません。

たとえば、コンパートメントのread verbには、inspect verbと比較して、追加の許可またはAPI操作は含まれていません。 use verbには、read verbと同じものとCOMPARTMENT_UPDATE権限およびUpdateCompartment API操作が含まれています。 manage verbには、use verbと同じ権限とAPI操作、さらにCOMPARTMENT_CREATE権限と2つのAPI操作が含まれています: CreateCompartmentおよびDeleteCompartment

authentication-policies
コンパートメント
users
groups
dynamic-groups
ポリシー
identity-providers
テナンシ
tag-namespaces