Oracle Cloud Infrastructureドキュメント

ポリシーの管理

このトピックでは、ポリシーの操作の基本について説明します。

必要なIAMポリシー

管理者グループに所属している場合は、ポリシーの管理に必要なアクセス権があります。

新しいポリシーの場合は、「ポリシーの開始」「共通ポリシー」を参照してください。 他の誰がポリシーを書いたり、他のIAMコンポーネントを管理できるかを制御するためのポリシーを書くことを深く知りたい場合は、「コンパートメント管理者にコンパートメントを管理させる」「IAMの詳細」を参照してください。

リソースのタギング

リソースにタグを適用して、ビジネス・ニーズに合わせてタグを整理するのに役立てることができます。 リソースを作成するときにタグを適用することも、後でそのタグを使用してリソースを更新することもできます。 タグの適用に関する一般的な情報は、「リソース・タグ」を参照してください。

ポリシーの使用

まだ行っていない場合は、「ポリシーの仕組み」を読んでポリシーの仕組みの基礎を理解してください。

ポリシーを作成するときは、attachedであるべきコンパートメントを指定する必要があります。これは、テナンシ(ルート・コンパートメント)または別のコンパートメントのいずれかです。 それがアタッチされている場所は、それを後で変更または削除できる人を管理します。 詳細は、「ポリシー・アタッチメント」を参照してください。 コンソールでポリシーを作成するときは、ポリシー「そのコンパートメントを見ながら」を作成して、ポリシーを目的のコンパートメントにアタッチします。 APIを使用している場合は、CreatePolicyリクエストで目的のコンパートメントのIDを指定します。

また、ポリシーを作成するときに、その「バージョン日付」を指定することもできます。 詳細は、「ポリシー言語バージョン」を参照してください。 必要に応じて後でバージョン日付を変更することができます。

ポリシーを作成するときは、そのための固有の変更不可能なnameを提供する必要があります。 名前は、テナンシ内のすべてのポリシーで一意でなければなりません。 また、description (空の文字列でもかまいません)を指定する必要があります。これは、一意ではなく、変更可能なポリシーの説明です。 また、Oracleには、ポリシーにOracle Cloud IDという一意のIDが割り当てられます。 詳細は、「リソース識別子」を参照してください。

ノート

ポリシーを削除して同じ名前の新しいポリシーを作成すると、別のポリシーとみなされます。異なるOCIDを持つためです。

ポリシーの作成方法については、「ポリシーの仕組み」「ポリシーの構文」を参照してください。

ポリシーを作成したり、既存のポリシーを変更したり、ポリシーを削除すると、変更内容は通常10秒以内に有効になります。

コンソールまたはAPIのポリシーのリストを表示できます。コンソールでは、表示しているコンパートメントにアタッチされているポリシーのみを表示するよう、リストが自動的にフィルタ処理されます。 特定のグループに適用されるポリシーを判別するには、すべてのポリシー内の個々のステートメントを表示する必要があります。 コンソールまたはAPIでその情報を自動的に取得する方法はありません。

必要なポリシーの数については、「サービス制限」を参照してください。

コンソールの使用

ポリシーを作成するには
あなたのポリシーのリストを取得するには
既存のポリシーの説明を更新するには
既存のポリシー内のステートメントを更新するには
既存のポリシーのバージョン日付を更新するには
ポリシーを削除する手順
ポリシーにタグを適用するには

APIの使用

APIおよび署名リクエストの使用については、REST APIおよび「セキュリティ資格証明」を参照してください。 SDKの詳細は、「ソフトウェア開発キットとコマンドライン・インタフェース」を参照してください。

ノート

更新プログラムはすべてのリージョンで即時に実行されるわけではありません

IAMリソースはホーム・リージョンにあります。 すべてのリージョンにポリシーを適用するため、IAMサービスは各リージョンのリソースを複製します。 ポリシー、ユーザー、またはグループを作成または変更するたびに、変更はホーム・リージョンで最初に有効になり、その後、他のリージョンに反映されます。 すべてのリージョンで変更が有効になるまで数分かかることがあります。 たとえば、テナンシでインスタンスを起動する権限を持つグループがあるとします。 このグループにUserAを追加すると、UserAは1分以内にホーム・リージョン内のインスタンスを起動できます。 ただし、複製プロセスが完了するまで、UserAは他のリージョンでインスタンスを起動することはできません。 このプロセスには数分かかることがあります。 レプリケーションが完了する前にUserAがインスタンスを起動しようとすると、認可されていないエラーが発生します。

次のAPI操作を使用してポリシーを管理します: