ポリシーの設定

機械翻訳について

ポリシーの設定

ポリシーは、会社が持っているOracle Cloud Infrastructureリソースに誰がアクセスできるか、およびその方法を指定するドキュメントです。

Oracle Cloud InfrastructureのコンパートメントにEssbaseスタックをデプロイする前に、テナント管理者は、選択したコンパートメント内の次のリソースにアクセスまたは作成するポリシーを設定する必要があります:

マーケットプレイス・アプリケーション
リソース・マネージャのスタックおよびジョブ
コンピュート・インスタンス、ネットワークおよびロード・バランサ
Essbaseメタデータを格納するためのデータベース
Oracle Cloud Infrastructure Vaultの仮想キーの管理および使用

ポリシーを作成するには:

Oracle Cloud Infrastructureコンソールで、ガバナンスと管理セクションの下の左アイコンに移動し、Identityをクリックし、「ポリシー」を選択してルート・コンパートメントを選択し、「ポリシーの作成」をクリックします。
ポリシーの名前と説明を入力します。
コンパートメント内のインスタンスごとにポリシー文(許可)を追加します。テキスト・ワークリスト・ファイルからコピーします。ポリシー文でgroup_nameを指定します。
完了したら、「作成」をクリックします。

必要に応じて、グループと動的グループの両方に対してポリシーを作成します。

組織のセキュリティ設定に適したポリシーを設定します。次に、各行がポリシー文であるポリシー・テンプレートの例を示します。

Allow group group_name to manage orm-stacks in compartment compartment_name
Allow group group_name to manage orm-jobs in compartment compartment_name
Allow group group_name to manage virtual-network-family in compartment compartment_name
Allow group group_name to manage instances in compartment compartment_name
Allow group group_name to manage volume-family in compartment compartment_name
Allow group group_name to manage load-balancers in compartment compartment_name
Allow group group_name to manage buckets in compartment compartment_name
Allow group group_name to manage objects in compartment compartment_name
Allow group group_name to manage autonomous-database-family in compartment compartment_name
Allow group group_name to use instance-family in compartment compartment_name
Allow group group_name to manage autonomous-backups in compartment compartment_name
Allow group group_name to manage buckets in compartment compartment_name
Allow group group_name to manage vaults in compartment compartment_name
Allow group group_name to manage keys in compartment compartment_name
Allow group group_name to manage app-catalog-listing in compartment compartment_name

予想される使用方法によっては、一部のポリシーがオプションである場合があります。たとえば、ロード・バランサを使用していない場合、ロード・バランサの管理を許可するポリシーは必要ありません。

コンパートメント内のインスタンスが追加の認証を必要とせずに機能を呼び出せるようにするには、コンパートメント内のインスタンスのグループ・ポリシーが必要です。これを行うには、次の例に示すように、動的グループを作成し、その動的グループのポリシーを設定します:

Allow dynamic-group group_name to use autonomous-database in compartment compartment_name
Allow dynamic-group group_name to use keys in compartment compartment_name 
Allow dynamic-group group_name to read buckets in compartment compartment_name
Allow dynamic-group group_name to manage objects in compartment compartment_name
Allow dynamic-group group_name to inspect volume-groups in compartment compartment_name
Allow dynamic-group group_name to manage volumes in compartment compartment_name
Allow dynamic-group group_name to manage volume-group-backups in compartment compartment_name
Allow dynamic-group group_name to manage volume-backups in compartment compartment_name
Allow dynamic-group group_name to manage autonomous-backups in compartment compartment_name
Allow dynamic-group group_name to manage database-family in compartment compartment_name

次のポリシーはオプションですが、次の統合に必要です:

ノート:

19.3.0.3.4用に追加されました。

Oracle Notification Serviceの統合:

allow dynamic-group group_name to use ons-topic in compartment dev where request.permission='ONS_TOPIC_PUBLISH'

Oracle Cloud Infrastructure Monitoringの統合:

allow dynamic-group group_name to use metrics in compartment dev where target.metrics.namespace='oracle_essbase'