Oracle Cloud Infrastructureドキュメント

サービス・アクセスおよびセキュリティの管理

Analytics Cloudインスタンスを管理するための権限のユーザーへの付与

Oracle Analytics Cloudインスタンスを管理する権限について

認可ポリシーは、テナンシ内のリソースへのアクセスを制御するために使用します。 たとえば、Oracle Analytics Cloudインスタンスの作成と管理をユーザーに認可するポリシーを作成できます。

ポリシーの作成には、Oracle Cloud Infrastructureコンソールを使用します。 詳細は、「ポリシーの管理」を参照してください。

Oracle Analytics Cloudのリソース・タイプ
リソース・タイプ 説明

analytics-instance

単一のOracle Analytics Cloudインスタンス。

analytics-instances

1つ以上のOracle Analytics Cloudインスタンス。

analytics-instance-work-request

Oracle Analytics Cloudに対する単一の作業リクエスト。

Oracle Analytics Cloudインスタンスに対して実行する各操作で作業リクエストが作成されます。 たとえば、作成、開始、停止などの操作です。

analytics-instance-work-requests 1つ以上の作業リクエスト。

サポートされる変数

これらの変数の値はOracle Analytics Cloudによって提供されます。 また、他の一般変数もサポートされています。 「すべてのリクエストの一般変数」も参照してください。

変数 タイプ 説明 サンプル値
target.analytics-instance.id ocid Analytics CloudインスタンスのOCID。 target.analytics-instance.id = 'oci1.analyticsinstance.oc1..abc123'
target.analytics-instance.name 文字列 Analytics Cloudインスタンスの名前。 target.analytics-instance.name = 'myanalytics_1'
target.analytics-instance.source-compartment.id ocid "移動コンパートメント"操作のソース・コンパートメントのOCID。 target.analytics-instance.source-compartment.id = 'ocid1.compartment.oc1..aaa100'
target.analytics-instance.destination-compartment.id ocid "移動コンパートメント"操作の宛先コンパートメントのOCID。 target.analytics-instance.destination-compartment.id = 'ocid1.compartment.oc1..aaa200'

動詞とリソース・タイプの組合せの詳細

Oracle Cloud Infrastructureでは、Oracle Cloud Infrastructureリソース(InspectReadUseManage)全体の権限を定義するための標準動詞セットが用意されています。 これらの表は、各動詞に関連するOracle Analytics Cloud権限を示しています。 アクセス・レベルは、InspectからReadUseからManageに移動すると累積されます。

INSPECT

リソース- タイプ INSPECT権限
  • analytics-instance
  • analytics-instances
  • ANALYTICS_INSTANCE_INSPECT
  • analytics-instance-work-request
  • analytics-instance-work-requests
  • ANALYTICS_INSTANCE_WR_INSPECT

READ

リソース- タイプ READ権限
  • analytics-instance
  • analytics-instances
  • ANALYTICS_INSTANCE_INSPECT
  • ANALYTICS_INSTANCE_READ
  • analytics-instance-work-request
  • analytics-instance-work-requests
  • ANALYTICS_INSTANCE_WR_INSPECT
  • ANALYTICS_INSTANCE_WR_READ

USE

リソース- タイプ USE権限
  • analytics-instance
  • analytics-instances
  • ANALYTICS_INSTANCE_INSPECT
  • ANALYTICS_INSTANCE_READ
  • ANALYTICS_INSTANCE_USE
  • analytics-instance-work-request
  • analytics-instance-work-requests
  • 該当なし

MANAGE

リソース- タイプ MANAGE権限
  • analytics-instance
  • analytics-instances
  • ANALYTICS_INSTANCE_INSPECT
  • ANALYTICS_INSTANCE_READ
  • ANALYTICS_INSTANCE_USE
  • ANALYTICS_INSTANCE_CREATE
  • ANALYTICS_INSTANCE_DELETE
  • ANALYTICS_INSTANCE_UPDATE
  • ANALYTICS_INSTANCE_MOVE
  • ANALYTICS_INSTANCE_MANAGE
  • analytics-instance-work-request
  • analytics-instance-work-requests
  • ANALYTICS_INSTANCE_WR_INSPECT
  • ANALYTICS_INSTANCE_WR_READ
  • ANALYTICS_INSTANCE_WR_DELETE

各API操作に必要なアクセス許可

この表は、Oracle Analytics Cloudで使用可能なAPI操作をリソース・タイプ別にグループ化して示しています。

REST APIの操作 CLIコマンド操作 操作の使用に必要な権限
ListAnalyticsInstances analytics-instance list ANALYTICS_INSTANCE_INSPECT
CreateAnalyticsInstance analytics-instance create ANALYTICS_INSTANCE_CREATE
GetAnalyticsInstance analytics-instance get ANALYTICS_INSTANCE_READ
UpdateAnalyticsInstance analytics-instance update ANALYTICS_INSTANCE_UPDATE
DeleteAnalyticsInstance analytics-instance delete ANALYTICS_INSTANCE_DELETE
StartAnalyticsInstance analytics-instance start ANALYTICS_INSTANCE_USE
StopAnalyticsInstance analytics-instance stop ANALYTICS_INSTANCE_USE
ScaleAnalyticsInstance analytics-instance scale ANALYTICS_INSTANCE_MANAGE
ChangeAnalyticsInstanceCompartment analytics-instance change-compartment ANALYTICS_INSTANCE_MOVE
ListWorkRequests 作業リクエスト・リスト ANALYTICS_INSTANCE_WR_INSPECT
GetWorkRequest 作業リクエスト取得 ANALYTICS_INSTANCE_WR_READ
DeleteWorkRequest 作業リクエスト削除 ANALYTICS_INSTANCE_WR_DELETE
ListWorkRequestErrors 作業リクエスト-エラー・リスト ANALYTICS_INSTANCE_WR_INSPECT
ListWorkRequestLogs 作業リクエスト・リスト ANALYTICS_INSTANCE_WR_INSPECT

Analytics Cloudインスタンスを管理するポリシー文の例

Oracle Analytics Cloudインスタンスへのアクセスを認可するために使用する典型的なポリシー文を次に示します。

テナンシのポリシーを作成するときは、「ポリシー継承」経由ですべてのコンパートメントへのアクセス権をユーザーに付与します。 または、個別のOracle Analytics Cloudインスタンスまたはコンパートメントへのアクセスを制限できます。

管理者グループのユーザーがAnalyticsインスタンスを完全に管理できるようにします

# Full manage permissions (Create, View, Update, Delete, Scale, Start, Stop...)
allow group Administrators to manage analytics-instances in tenancy
allow group Administrators to manage analytics-instance-work-requests in tenancy

analytics_power_usersグループのユーザーに対して、コンパートメントMyOACProductionのすべてのAnalyticsインスタンスの読取り、起動および停止を実行

# Use permissions (List, Get, Start, Stop)
allow group analytics_power_users to use analytics-instances in compartment MyOACProduction

analytics_test_usersグループのユーザーに、コンパートメントMyOACTestで単一のAnalyticsインスタンス(myanalytics_1)を作成し、管理

# Full manage permissions on a single instance
allow group analytics_test_users to manage analytics-instances in compartment MyOACTest where target.analytics-instances.name = 'myanalytics_1'

analytics_power_usersグループのユーザーが、指定された2つのコンパートメント間でAnalyticsインスタンスを移動できるようにします

# Custom permissions to move instances between two specific compartments.
allow group analytics_power_users to {ANALYTICS_INSTANCE_INSPECT, ANALYTICS_INSTANCE_READ, ANALYTICS_INSTANCE_MOVE} in tenancy
where all {
        target.analytics-instance.source-compartment.id =
        'ocid1.compartment.oc1..aaa100',
        target.analytics-instance.destination-compartment.id =
        'ocid1.compartment.oc1..aaa200'
  }

analytics_usersグループのユーザーに対する、Analyticsインスタンスおよび関連する作業リクエストの検査

# Inspect permissions (list analytics instances and work requests) using metaverbs.
allow group analytics_users to inspect analytics-instances in tenancy
allow group analytics_users to inspect analytics-instance-work-requests in tenancy
# Inspect permissions (list analytics instances and work requests) using permission names.
allow group analytics_users to {ANALYTICS_INSTANCE_INSPECT} in tenancy
allow group analytics_users to {ANALYTICS_INSTANCE_WR_INSPECT} in tenancy

analytics_users2グループのユーザーが、Analyticsインスタンスおよび関連する作業リ