Oracle Cloud Infrastructureドキュメント

ポリシー・リファレンス

このリファレンスには:

コンソールまたはAPIを使用してポリシーを作成および管理する方法については、「ポリシーの管理」を参照してください。

動詞

動詞は、最も能力の低い順に並べられています。 各動詞の正確な意味は、それがペアになっているリソース・タイプに依存します。 このセクションの後の表では、動詞とリソース・タイプの各組み合わせで扱われるAPI操作を示しています。

動詞 対象となるアクセスのタイプ ターゲット・ユーザー
検査 そのリソースの一部である可能性のある機密情報やユーザー指定のメタデータにアクセスすることなく、リソースをリストする機能。
重要:ポリシーをリストする操作には、ポリシーそのものの内容が含まれ、ネットワーキング・リソース・タイプのリスト操作では、すべての情報(セキュリティ・リストやルート表の内容など)が返されます。
第三者審査員
read inspectと、ユーザー指定のメタデータと実際のリソース自体を取得する機能が含まれています。 内部監査員
use readと既存のリソースを処理する機能(リソース・タイプによってアクションが異なる)が含まれています。 更新操作が作成操作(例えば、UpdatePolicyUpdateSecurityListなど)と同じ有効な影響を及ぼすリソース・タイプを除き、リソースを更新する機能を含みます。この場合、更新機能はmanage verbでのみ使用できます。 一般に、この動詞には、そのタイプのリソースを作成または削除する機能は含まれていません。 リソースの日常的エンドユーザー
manage リソースのすべてのアクセス許可が含まれます。 管理者

Resource-Types

ファミリ・リソース・タイプを以下に示します。 各家族を構成する個々のリソース・タイプについては、リンクを参照してください。

IAM家族のリソース・タイプはなく、個々のリソース・タイプのみです。 「IAMの詳細」を参照してください。

すべてのリクエストの一般変数

ポリシーに条件を追加するときは、変数を使用します。 詳細は、「条件」を参照してください。 以下は、すべてのリクエストに適用される一般的な変数です。

名前 タイプ 説明
request.user.id エンティティ(OCID) リクエストしているユーザーのOCID。
request.user.mfaTotpVerified ブール

ユーザーがマルチ・ファクタ認証(MFA)で検証されたかどうか。 MFA検証済ユーザーのみにアクセスを制限するには、条件を追加

where request.user.mfaTotpVerified='true'

MFAの設定に関する詳細は、「マルチ・ファクタ認証の管理」を参照してください。

request.groups.id エンティティのリスト(OCID) リクエストしているユーザーがいるグループのOCID。
target.compartment.id エンティティ(OCID)

プライマリ・リソースを含むコンパートメントのOCID。

注意: target.compartment.idtarget.compartment.nameは、コンパートメントへのリクエスト・ユーザーのアクセスに基づいてリストをフィルタ処理するためのListAPI操作では使用できません。

target.compartment.name 文字列 target.compartment.idで指定されたコンパートメントの名前。
request.operation 文字列 リクエストされているAPI操作名(ListUsersなど)。
request.permission 文字列 リクエスト元のアクセス権(「アクセス許可」を参照)。
request.region 文字列

リクエストが発行されるリージョンの3文字のキー。 許容される値は次のとおりです。

  • BOM - 「インド西部(Mumbai)」用に使用
  • FRA - 「ドイツ・セントラル(フランクフルト)」用に使用
  • GRU - 「ブラジル東部(サンパウロ)」用に使用
  • IAD - 「米国東(アッシュバーン)」用に使用
  • ICN - 「韓国中部(ソウル)」用に使用
  • LHR - 「英国南部(ロンドン)」用に使用

  • NRT - 「日本東部(東京)」用に使用
  • PHX - 「US West (フェニックス)」用に使用
  • SYD - 「オーストラリア東部(シドニー)」用に使用
  • YYZ - 「カナダ南西(トロント)」用に使用
  • ZRH - 「スイス北部(チューリッヒ)」用に使用
request.ad 文字列 リクエストが行われた「可用性ドメイン」の名前。 「可用性ドメイン」名のリストを取得するには、ListAvailabilityDomains操作を使用します。