Oracle Cloud Infrastructureドキュメント

キー管理サービスの詳細

このトピックでは、キー管理サービスへのアクセスを制御するポリシーを記述するための詳細について説明します。

Resource-Types

vaults

keys

key-delegate

サポートされる変数

キー管理では、すべての一般変数と、ここに示す変数をサポートします。 Oracle Cloud Infrastructureサービスでサポートされている一般変数の詳細は、「すべてのリクエストの一般変数」を参照してください。

変数 変数タイプ コメント
target.key.id エンティティ(OCID) この変数を使用して、OCIDによって特定のキーへのアクセスを制御します。
target.vault.id エンティティ(OCID) この変数を使用して、OCIDによって特定のボールトへのアクセスを制御します。
request.includePlainTextKey 文字列 この変数を使用して、データ暗号化キーを生成するリクエストに応じて暗号化されたキーに加え、プレーン・テキストキーを返すかどうかを制御します。
request.kms-key.id 文字列 この変数を使用して、キー管理マスター暗号化キーなしでブロック・ボリュームまたはバケットを作成できるかどうかを制御します。
target.boot-volume.kms-key.id 文字列 この変数を使用して、キー管理マスター暗号化キーなしで作成されたブート・ボリュームでコンピュート・インスタンスを起動できるかどうかを制御します。

動詞+リソース・タイプの組み合わせの詳細

次の表は、各動詞が扱うpermissionsおよびAPI操作を示しています。 アクセス・レベルは、inspect > read > use > manageから行くにつれて累積されます。 表のセルのプラス記号(+)は、そのすぐ上のセルと比較してインクリメンタルなアクセスを示しますが、「追加なし」は増分アクセスを示していません。

たとえば、keysリソース・タイプのuse動詞には、read動詞に加えてKEY_ENCRYPTおよびKEY_DECRYPTパーミッションとAPI操作(EncryptDecryptおよびGenerateDataEncryptionKey)と同じ権限およびAPI操作が含まれます。 manage動詞を使用すると、use動詞と比較すると、より多くの権限とAPI操作を実行できます。

ボールト
keys

key-delegate

各API操作に必要なアクセス許可

次の表は、API操作をリソースのタイプ別にグループ化した論理的な順序で示しています。

権限については、「アクセス許可」を参照してください。

API操作 操作を使用するために必要な権限
ListVaults VAULT_INSPECT
GetVault VAULT_READ
CreateVault VAULT_CREATE
UpdateVault VAULT_UPDATE
ScheduleVaultDeletion VAULT_DELETE
CancelVaultDeletion VAULT_DELETE
ChangeVaultCompartment VAULT_MOVE
ListKeys KEY_INSPECT
ListKeyVersions KEY_INSPECT
GetKey KEY_READ
CreateKey KEY_CREATEおよびVAULT_CREATE_KEY
EnableKey KEY_UPDATE
DisableKey KEY_UPDATE
UpdateKey KEY_UPDATE
ScheduleKeyDeletion KEY_DELETE
CancelKeyDeletion KEY_DELETE
ChangeKeyCompartment KEY_MOVE
GetKeyVersion KEY_READ
CreateKeyVersion KEY_ROTATE
GenerateDataEncryptionKey KEY_ENCRYPT
暗号化 KEY_ENCRYPT
復号化する KEY_DECRYPT