ポリシーの仕組み
ポリシーは、テナンシ内のどのクラウド・リソースに誰がアクセスできるかを指定するドキュメントです。 ポリシーは、グループが特定のコンパートメント内の特定のタイプのリソースを特定の方法で処理することを許可します。 ユーザー、グループまたはコンパートメントに精通していない場合は、「Identity and Access Management概要」の章の各項を参照してください。
契約の基本
リソースを制御するには、少なくとも1つのポリシーが必要です。 各ポリシーは、次の基本構文に従う1つ以上のポリシー・ステートメントで構成されます:
Allow group <group_name> to <verb> <resource-type> in compartment <compartment_name>
ポリシー・ステートメントは、Allowという語で始まります。 ポリシーはアクセスのみを許可し、拒否することはできません。 かわりに、すべてのアクセスが暗黙的に拒否されます。つまり、ユーザーは、権限が付与された権限のみを実行できます。 テナンシ管理者はグループおよびコンパートメントを定義します。使用可能なリソース・タイプは、Oracleによって決定されます。 ポリシー・ステートメントでの動詞の使用および意味については、「ポリシー構文」を参照してください。
テナンシ内のコンパートメントではなくテナンシにポリシーを適用する場合は、ポリシー・ステートメントの末尾を次のように変更します:
Allow group <group_name> to <verb> <resource-type> in tenancy
ポリシーの基本機能は、継承の概念です: コンパートメントは、親コンパートメントからポリシーを継承します。 グループにコンパートメント内の特定のリソース・タイプに対する特定のレベルのアクセス権がある場合、それらの同じ権限は、このポリシーが適用されるコンパートメントのすべてのサブコンパートメントに適用されます。 最も簡単な例は、テナンシの管理者グループです: 組込みポリシーによって、管理者はテナンシ・ルート・コンパートメント内のすべてのリソースを管理できます。 ポリシー継承のため、管理者はすべてのコンパートメントのすべての操作およびすべてのリソースへの完全なアクセス権を持ちます。
リソース・タイプ
ポリシーで使用できるリソース・タイプは、individualまたはfamilyのいずれかです。 ファミリ・リソース・タイプにより、同時に管理される複数の個別のリソース・タイプが含まれるため、ポリシーの書込みが容易になります。 たとえば、virtual-network-familyタイプは、VCNの管理に関連する様々なタイプをまとめます: vcns, subnets, route-tables, security-listsなどより詳細なポリシーを記述する必要がある場合は、個々のリソース・タイプを使用して、それらの特定のリソースのみへのアクセス権を付与します。 アクセス権が付与される条件を指定する機能など、より細かいポリシーを作成する他の方法もあります。
今後のサービス更新では、リソース・タイプ定義が変更または追加される可能性があります。 これらは通常、そのサービスのリソース・ファミリ・タイプに自動的に反映されるため、ポリシーは最新のままです。
一部の操作では、複数のリソース・タイプにアクセスする必要があります。 たとえば、インスタンスを起動するには、インスタンスを作成し、クラウド・ネットワークを操作する権限が必要です。 または、ボリューム・バックアップを作成するには、ボリュームとボリューム・バックアップの両方にアクセスできる必要があります。 つまり、各リソース・タイプにアクセス権を付与する個別の文があります。
これらの個々のステートメントは同じポリシーに存在する必要はありません。 ユーザーは、様々なグループからの必要なアクセス権を取得できます。 たとえば、ユーザーは、volumesリソース・タイプに必要なアクセス・レベルを付与する1つのグループに属し、volume-backupsリソース・タイプに必要なアクセス権を付与する別のグループに属することができます。 個々のステートメントの合計は、ポリシー・セット全体のロケーションに関係なく、ボリューム・バックアップを作成できます。
ポリシー・アタッチメント
ポリシーの別の基本機能は、attachmentの概念です。 ポリシーを作成する場合、それをコンパートメント、またはルート・コンパートメントであるテナンシにアタッチする必要があります。 アタッチされた先の対象によって、だれが次に変更または削除できるか、が制御されます。 ポリシーをテナンシにアタッチした場合、そのポリシーは管理者グループによってのみ変更でき、サブコンパートメントへのアクセスのみを持つユーザーは変更できません。
かわりにポリシーを子コンパートメントにアタッチした場合、ポリシー「そのコンパートメント内」を管理するアクセス権を持つユーザーはポリシーを変更または削除できます。 実質的には、コンパートメント管理者に付与できます - コンパートメント内のすべてのリソースを管理するためのアクセス権を持つグループ - テナンシに存在するポリシーを管理するための幅広いアクセス権を付与することなく、独自のコンパートメント・ポリシーを管理するアクセスを提供します。
ポリシーをコンパートメントにアタッチするには、ポリシーの作成時にそのコンパートメントに存在する必要があります。 ポリシー・ステートメントの一部として、適用するコンパートメントを指定するため、ポリシーを別のコンパートメントにアタッチしようとするとエラーが発生します。 ポリシー・アタッチメントは、作成時に行われ、つまり、1つのコンパートメントにのみポリシーをアタッチできます。
ポリシー構文
ポリシー・ステートメントの全体的な構文は次のとおりです:
Allow <subject> to <verb> <resource-type> in <location> where <conditions>
文の追加のスペースまたは改行は無効です。
件名
名前またはOCIDでグループを指定します。 複数のグループをカンマで区切って指定できます。 テナンシ内のすべてのユーザーをカバーするには、any-userを指定します。
これらの例は、ポリシー・ステートメントでサブジェクトを指定する方法を示しています。
-
名前で単一のグループを指定するには:
Allow group A-admins to manage all-resources in compartment Project-A -
名前で複数のグループを指定するには(カンマの後のスペースはオプションです):
Allow group A-admins, B-admins to manage all-resources in compartment Projects -
OCIDで単一のグループを指定するには(簡潔にするためにOCIDが短縮されます):
Allow group id ocid1.group...........<group1_unique_id> to manage all-resources in compartment Project-A -
OCIDで複数のグループを指定するには(簡潔にするためにOCIDを短縮します):
Allow group id ocid1.group...........<group1_unique_id>, group id ocid1.group...........<group2_unique_id> to manage all-resources in compartment Projects
-
テナンシのユーザーを指定するには:
Allow any-user to inspect users in tenancy
動詞
単一の動詞を指定します。
Allow group A-admins to manage all resources in compartment Project-Aポリシー構文では、権限の増加順に、次の動詞がサポートされています:
| 動詞 | アクセスのタイプ | ターゲット・ユーザー |
|---|---|---|
|
|
リソースの一部である機密情報またはユーザー指定メタデータにアクセスせずに、リソースをリストする機能。 ノート:
|
サードパーティ監査者 |
|
|
|
Internal auditors |
|
|
リソースを更新する機能が含まれますが、「更新」操作が「作成」操作と同じ効果的な影響を及ぼすリソース・タイプ( |
リソースの日常的なエンド・ユーザー |
|
|
リソースのすべての権限が含まれます。 |
管理者 |
動詞は、特定の一般的なアクセス・タイプを提供します。 たとえば、inspectを使用すると、リソースをリストして取得できます。 次に、そのタイプのアクセスをポリシー内の特定のリソース・タイプと結合します。 たとえば、テナンシでグループXYZからinspect compartmentsを許可します。 その結果、このグループは、特定の権限セットおよびAPI操作(ListCompartments、GetCompartmentなど)へのアクセス権を取得します。
リソース・タイプ
1つのリソース・タイプを指定します。次のことができます:
-
個々のリソース・タイプ。たとえば:
vcns,subnets,instances,volumes, etc. -
ファミリ・リソース・タイプ。たとえば:
virtual-network-family,instance-family,volume-family, etc.ファミリ・リソース・タイプは、通常一緒に使用される様々な個別のリソース・タイプに対応します。
-
all-resources: コンパートメントまたはテナンシ内のすべてのリソースをカバーします。
これらの例は、ポリシー・ステートメントでリソース・タイプを指定する方法を示しています。
-
単一のリソース・タイプを指定するには:
Allow group HelpDesk to manage users in tenancy -
複数のリソース・タイプを指定するには、別々の文を使用します:
Allow group A-users to manage instance-family in compartment Project-A Allow group A-users to manage volume-family in compartment Project-A
-
コンパートメントまたはテナンシ内のすべてのリソースを指定するには:
Allow group A-admins to manage all-resources in compartment Project-A
次に、ポリシー・ステートメントで使用できるファミリ・リソース・タイプの概要を示します:
| ファミリ・リソース・タイプ | 説明 |
|---|---|
|
|
この集計リソースは、次の個別のリソース・タイプをカバー: |
|
|
この集計リソースは、次の個別のリソース・タイプをカバー: |
|
|
この集約リソースは、ブロック・ボリュームに関連するすべての個別のリソース・タイプをカバー: |
|
|
この集約リソースは、ネットワーキング・サービスに関連するすべての個別のリソース・タイプをカバーします。 たとえば: VCN、サブネット、ルート表、ゲートウェイ、VNIC、ネットワーク・セキュリティ・グループなど。 |
|
|
この集約リソースは、ファイル・ストレージ・サービスに関連するすべての個別のリソース・タイプをカバー: |
|
|
この集約リソースは、オブジェクト・ストレージ・サービスに関連するすべての個別のリソース・タイプをカバー: |
場所
名前またはOCIDで単一のコンパートメントを指定します。 または、テナンシ全体をカバーするtenancyを指定します。 ユーザー、グループおよびコンパートメントはテナンシに存在することに注意してください。 ポリシーは、テナンシまたは子コンパートメントにアタッチできます。
ステートメントのロケーションは必須です。 ポリシーをコンパートメントにアタッチする場合は、ポリシーの作成時にそのコンパートメントに存在する必要があります。
これらの例は、ポリシー・ステートメントでロケーションを指定する方法を示しています。
-
名前でコンパートメントを指定するには:
Allow group A-admins to manage all-resources in compartment Project-A -
OCIDでコンパートメントを指定するには:
Allow group A-admins to manage all-resources in compartment id ocid1.compartment.oc1..aaaaaaaaexampleocid -
複数のコンパートメントを指定するには、個別のステートメントを使用します:
Allow group InstanceAdmins to manage instance-family in compartment Project-A Allow group InstanceAdmins to manage instance-family in compartment Project-B
Allow group InstanceAdmins to manage instance-family in compartment id ocid1.compartment.oc1..aaaaaaaayzexampleocid Allow group InstanceAdmins to manage instance-family in compartment id ocid1.compartment.oc1..abcabcabcexampledocid
条件
1つ以上の条件を指定します。 複数の条件では、論理ORまたはANDにそれぞれanyまたはallを使用します。
条件で使用できる値のタイプは次のとおりです:
| 値の型 | 例 |
|---|---|
|
文字列 |
値には一重引用符が必要です。
|
|
パターン |
|
これらの例は、ポリシー・ステートメントで条件を指定する方法を示しています。
ノート:
この例の文では、グループ名を照合する条件により、GroupAdminsですべてのユーザーおよびグループをリストすることはできません。 リスト操作にはグループの指定は伴いません。つまり、条件変数target.group.nameに一致する値がありません。 これを解決するために、inspect動詞を含む文が追加されます。
-
次のポリシーにより、GroupAdminsグループは、"A-Users-"で始まる名前のグループを作成、更新または削除できます:
Allow group GroupAdmins to manage groups in tenancy where target.group.name = /A-Users-*/ Allow group GroupAdmins to inspect groups in tenancy -
次のポリシーにより、NetworkAdminsグループは、指定したものを除く任意のコンパートメント内のクラウド・ネットワークを管理できます:
Allow group NetworkAdmins to manage virtual-network-family in tenancy where target.compartment.id != 'ocid1.compartment.oc1..aaaaaaaaexampleocid' -
次のポリシーでは、複数の条件が使用され、GroupAdminsでは、A-Adminsグループ自体を除き、名前が"A-"で始まるグループを作成、更新または削除できます:
Allow group GroupAdmins to manage groups in tenancy where all {target.group.name=/A-*/,target.group.name!='A-Admins'} Allow group GroupAdmins to inspect groups in tenancy
共通ポリシー
このセクションでは、組織で使用する可能性のある共通ポリシーについて説明します。 これらのポリシーでは、グループ名とコンパートメント名の例を使用します。 必ず自分の名前に置き換えてください。
ヘルプ・デスクにユーザーを管理できるようにします
アクセスのタイプ: ユーザーとその資格証明を作成、更新および削除する機能。 ユーザーをグループに入れる機能は含まれません。
ポリシーを作成する場所: ユーザーがテナンシに存在するため、テナンシ内。
Allow group HelpDesk to manage users in tenancy
監査者がリソースを調査できるようにします
アクセスのタイプ: すべてのコンパートメントのリソースをリストする機能。 次のことに注意してください:
-
IAMポリシーをリストする操作には、ポリシー自体の内容が含まれます
-
Networkingリソース・タイプのリスト操作では、すべての情報(セキュリティ・リストおよびルート表のコンテンツなど)が返されます
-
インスタンスをリストする操作には、
inspectではなくread動詞が必要で、コンテンツにはユーザー提供のメタデータが含まれます
ポリシーを作成する場所: テナンシ内。 ポリシー継承の概念により、監査者はテナンシとその下にあるすべてのコンパートメントの両方を検査できます。 または、テナンシ全体にアクセスする必要がない場合に、監査者に特定のコンパートメントのみへのアクセス権を付与するように選択できます。
Allow group Auditors to inspect all-resources in tenancy Allow group Auditors to read instances in tenancy
ネットワーク管理者がクラウド・ネットワークを管理できるようにします
アクセスのタイプ: ネットワーキングのすべてのコンポーネントを管理する機能。 これには、クラウド・ネットワーク、サブネット、ゲートウェイ、セキュリティ・リスト、ルート表などが含まれます。
ポリシーを作成する場所: テナンシ内。 ポリシー継承の概念により、NetworkAdminsは任意のコンパートメントでクラウド・ネットワークを管理できます。 特定のコンパートメントへのアクセス範囲を減らすには、テナンシのかわりにそのコンパートメントを指定します。
Allow group NetworkAdmins to manage virtual-network-family in tenancy
ユーザーがコンピュート・インスタンスを起動できるようにします
アクセスのタイプ: クラウド・ネットワークに起動されたインスタンスおよびコンパートメントXYZのサブネットに対してすべての操作を実行し、コンパートメントABCにすでに存在する既存のボリュームをアタッチ/デタッチする機能。 最初のステートメントでは、グループはコンパートメントABCでインスタンス・イメージを作成および管理することもできます。
ポリシーを作成する場所: 最も簡単な方法は、このポリシーをテナンシに配置することです。 個々のコンパートメント(ABCおよびXYZ)の管理者が、コンパートメントの個々のポリシー・ステートメントを制御できるようにするには、これらのポリシー・ステートメントを2つのポリシーに分割し、適用先のコンパートメントにアタッチする必要があります。
Allow group InstanceLaunchers to manage instance-family in compartment ABC Allow group InstanceLaunchers to use volume-family in compartment ABC Allow group InstanceLaunchers to use virtual-network-family in compartment XYZ
ユーザーがコンピュート・インスタンス構成、インスタンス・プールおよびクラスタ・ネットワークを管理できるようにします
アクセスのタイプ: すべてのコンパートメント内のインスタンス構成、インスタンス・プールおよびクラスタ・ネットワークに関するすべての操作を実行する機能。
ポリシーを作成する場所: ポリシー継承によってすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。 特定のコンパートメントのインスタンス構成、インスタンス・プールおよびクラスタ・ネットワークのみにアクセス範囲を減らすには、テナンシのかわりにそのコンパートメントを指定します。
Allow group InstancePoolAdmins to manage compute-management-family in tenancy
グループがテンプレートとして既存のインスタンスを使用してインスタンス構成を作成し、APIまたはCLIを使用してこれを行う必要がある場合は、次のステートメントをポリシーに追加します:
Allow group InstancePoolAdmins to read instance-family in tenancy Allow group InstancePoolAdmins to inspect volumes in tenancy
特定のグループが既存のインスタンス・プールのインスタンスを起動、停止またはリセットする必要があるが、インスタンス・プールを作成または削除する必要がない場合は、次の文を使用します:
Allow group InstancePoolUsers to use instance-pools in tenancy
インスタンス・プールで使用されるリソースにデフォルト・タグが含まれている場合は、次の文をポリシーに追加して、タグ・ネームスペースoracle-tagsへのグループ権限を付与します:
Allow group InstancePoolUsers to use tag-namespaces in tenancy where target.tag-namespace.name = 'oracle-tags'
ボリューム管理者がブロック・ボリューム、バックアップおよびボリューム・グループを管理できるようにします
アクセスのタイプ: リージョン間でボリューム・バックアップをコピーする場合を除き、すべてのコンパートメントのブロック・ストレージ・ボリューム、ボリューム・バックアップおよびボリューム・グループに関するすべての操作を実行する機能。 これは、単一セットのボリューム管理者がすべてのコンパートメントのすべてのボリューム、ボリューム・バックアップおよびボリューム・グループを管理する場合に意味を持ちます。 インスタンスからボリュームをアタッチ/デタッチするには、2番目の文が必要です。
ポリシーを作成する場所: ポリシー継承によってすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。 特定のコンパートメント内のボリューム/バックアップおよびインスタンスのみにアクセス範囲を減らすには、テナンシのかわりにそのコンパートメントを指定します。
Allow group VolumeAdmins to manage volume-family in tenancy Allow group VolumeAdmins to use instance-family in tenancy
ボリューム・バックアップ管理者がバックアップのみを管理できるようにします
アクセスのタイプ: ボリューム・バックアップのすべての操作を実行する機能。ボリューム自体の作成と管理はできません。 これは、単一セットのボリューム・バックアップ管理者がすべてのコンパートメントのすべてのボリューム・バックアップを管理する場合に意味を持ちます。 1つ目の文は、バックアップ対象のボリュームに必要なアクセス権を付与します。2つ目の文は、バックアップの作成とバックアップの削除を可能にします。 3番目のステートメントでは、ユーザー定義のバックアップ・ポリシーを作成および管理できます。4番目のステートメントでは、バックアップ・ポリシーの割当ておよび削除が可能です。
ポリシーを作成する場所: ポリシー継承によってすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。 特定のコンパートメント内のボリュームおよびバックアップのみにアクセス範囲を減らすには、テナンシのかわりにそのコンパートメントを指定します。
Allow group VolumeBackupAdmins to use volumes in tenancy Allow group VolumeBackupAdmins to manage volume-backups in tenancy Allow group VolumeBackupAdmins to manage backup-policies in tenancy Allow group VolumeBackupAdmins to manage backup-policy-assignments in tenancy
グループが「コンピュートWeb UI」を使用する場合、ユーザー・エクスペリエンスを向上させるために、次に示すようにポリシーを拡張します。
Allow group VolumeBackupAdmins to use volumes in tenancy Allow group VolumeBackupAdmins to manage volume-backups in tenancy Allow group VolumeBackupAdmins to inspect volume-attachments in tenancy Allow group VolumeBackupAdmins to inspect instances in tenancy Allow group VolumeBackupAdmins to manage backup-policies in tenancy Allow group VolumeBackupAdmins to manage backup-policy-assignments in tenancy
最後の2つの文は厳密には必要ありません。 特定のボリュームおよび使用可能なバックアップ・ポリシーに関するすべての情報を表示できます。
ブート・ボリューム・バックアップ管理者がバックアップのみを管理できるようにします
アクセスのタイプ: ブート・ボリューム・バックアップのすべての操作を実行する機能。ブート・ボリューム自体の作成と管理はできません。 これは、単一セットのブート・ボリューム・バックアップ管理者がすべてのコンパートメントのすべてのブート・ボリューム・バックアップを管理する場合に意味を持ちます。 1つ目のステートメントは、バックアップされるブート・ボリュームに必要なアクセス権を付与します。2つ目のステートメントは、バックアップの作成とバックアップの削除を可能にします。 3番目のステートメントでは、ユーザー定義のバックアップ・ポリシーを作成および管理できます。4番目のステートメントでは、バックアップ・ポリシーの割当ておよび削除が可能です。
ポリシーを作成する場所: ポリシー継承によってすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。 特定のコンパートメント内のブート・ボリュームおよびバックアップのみにアクセス範囲を減らすには、テナンシのかわりにそのコンパートメントを指定します。
Allow group BootVolumeBackupAdmins to use volumes in tenancy Allow group BootVolumeBackupAdmins to manage boot-volume-backups in tenancy Allow group BootVolumeBackupAdmins to manage backup-policies in tenancy Allow group BootVolumeBackupAdmins to manage backup-policy-assignments in tenancy
グループが「コンピュートWeb UI」を使用する場合、ユーザー・エクスペリエンスを向上させるために、次に示すようにポリシーを拡張します。
Allow group BootVolumeBackupAdmins to use volumes in tenancy Allow group BootVolumeBackupAdmins to manage boot-volume-backups in tenancy Allow group BootVolumeBackupAdmins to inspect instances in tenancy Allow group BootVolumeBackupAdmins to manage backup-policies in tenancy Allow group BootVolumeBackupAdmins to manage backup-policy-assignments in tenancy
最後の2つの文は厳密には必要ありません。 特定のボリュームおよび使用可能なバックアップ・ポリシーに関するすべての情報を表示できます。
ユーザーがボリューム・グループを作成できるようにします
アクセスのタイプ: ボリュームのセットからボリューム・グループを作成する機能。
ポリシーを作成する場所: ポリシー継承によってすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。 特定のコンパートメント内のボリュームおよびボリューム・グループのみにアクセス範囲を減らすには、テナンシのかわりにそのコンパートメントを指定します。
Allow group VolumeGroupCreators to inspect volumes in tenancy Allow group VolumeGroupCreators to manage volume-groups in tenancy
ユーザーがボリューム・グループのクローンを作成できるようにします
アクセスのタイプ: 既存のボリューム・グループからボリューム・グループをクローニングする機能。
ポリシーを作成する場所: ポリシー継承によってすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。 特定のコンパートメント内のボリュームおよびボリューム・グループのみにアクセス範囲を減らすには、テナンシのかわりにそのコンパートメントを指定します。
Allow group VolumeGroupCloners to inspect volumes in tenancy Allow group VolumeGroupCloners to manage volume-groups in tenancy Allow group VolumeGroupCloners to manage volumes in tenancy
ユーザーがボリューム・グループのバックアップを作成できるようにします
アクセスのタイプ: ボリューム・グループ・バックアップを作成する機能。
ポリシーを作成する場所: ポリシー継承によってすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。 特定のコンパートメント内のボリューム/バックアップおよびボリューム・グループ/ボリューム・グループ・バックアップのみにアクセス範囲を減らすには、テナンシのかわりにそのコンパートメントを指定します。
Allow group VolumeGroupBackupAdmins to inspect volume-groups in tenancy Allow group VolumeGroupBackupAdmins to manage volumes in tenancy Allow group VolumeGroupBackupAdmins to manage volume-group-backups in tenancy Allow group VolumeGroupBackupAdmins to manage volume-backups in tenancy
ユーザーがボリューム・グループのバックアップをリストアできるようにします
アクセスのタイプ: ボリューム・グループ・バックアップをリストアしてボリューム・グループを作成する機能。
ポリシーを作成する場所: ポリシー継承によってすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。 特定のコンパートメント内のボリューム/バックアップおよびボリューム・グループ/ボリューム・グループ・バックアップのみにアクセス範囲を減らすには、テナンシのかわりにそのコンパートメントを指定します。
Allow group VolumeGroupBackupAdmins to inspect volume-group-backups in tenancy Allow group VolumeGroupBackupAdmins to read volume-backups in tenancy Allow group VolumeGroupBackupAdmins to manage volume-groups in tenancy Allow group VolumeGroupBackupAdmins to manage volumes in tenancy
ユーザーがファイル・システムの作成、管理および削除を実行できるようにします
アクセスのタイプ: ファイル・システムを作成、管理または削除する機能。 ファイル・システムの管理機能には、名前の変更や削除、ファイル・システムからの切断などがあります。
ポリシーを作成する場所: ファイル・システムを作成、管理または削除する機能をポリシー継承によってすべてのコンパートメントに簡単に付与できるようにするため、テナンシ。 これらの管理機能のスコープを特定のコンパートメント内のファイル・システムに減らすには、テナンシのかわりにそのコンパートメントを指定します。
Allow group StorageAdmins to manage file-family in tenancy
ユーザーがファイル・システムを作成できるようにします
アクセスのタイプ: ファイル・システムを作成する機能。
ポリシーを作成する場所: ファイル・システムを作成する機能がポリシー継承によってすべてのコンパートメントに簡単に付与されるようにするため、テナンシ。 これらの管理機能のスコープを特定のコンパートメント内のファイル・システムに減らすには、テナンシのかわりにそのコンパートメントを指定します。
Allow group Managers to manage file-systems in tenancy Allow group Managers to read mount-targets in tenancy
2番目の文は、ユーザーが「コンピュートWeb UI」を使用してファイル・システムを作成するときに必要です。 UIでは、新しいファイル・システムを関連付けることができるマウント・ターゲットのリストを表示できます。
オブジェクト・ストレージ管理者がバケットとオブジェクトを管理できるようにします
アクセスのタイプ: すべてのコンパートメント内のオブジェクト・ストレージ・バケットおよびオブジェクトに関するすべての操作を実行する機能。
ポリシーを作成する場所: ポリシー継承によってすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。 特定のコンパートメント内のバケットおよびオブジェクトのみにアクセス範囲を減らすには、テナンシのかわりにそのコンパートメントを指定します。
Allow group ObjectAdmins to manage buckets in tenancy Allow group ObjectAdmins to manage objects in tenancy
ユーザーにオブジェクト・ストレージ・バケットへのオブジェクトの書込みを許可
アクセスのタイプ: コンパートメントABCの任意のオブジェクト・ストレージ・バケットにオブジェクトを書き込む機能。 クライアントが定期的にログ・ファイルをバケットに書き込む必要がある状況を考えてみます。 これには、コンパートメント内のバケットのリスト、バケット内のオブジェクトのリスト、およびバケット内の新規オブジェクトの作成が含まれます。 2つ目の文では、manage動詞による幅広いアクセス権が付与されますが、そのアクセスは、文の最後に条件があるOBJECT_INSPECTおよびOBJECT_CREATE権限のみにスコープ指定されます。
ポリシーを作成する場所: 最も簡単な方法は、このポリシーをテナンシに配置することです。 コンパートメントABCの管理者がポリシーを制御する場合は、そのコンパートメントにアタッチする必要があります。
Allow group ObjectWriters to read buckets in compartment ABC
Allow group ObjectWriters to manage objects in compartment ABC where any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}特定のコンパートメント内の特定のバケットへのアクセスを制限するには、条件where target.bucket.name='<bucket_name>'を追加します。 次のポリシーでは、ユーザーは特定のコンパートメント内のすべてのバケットをリストできますが、オブジェクトをリストしてBucketAにアップロードできるのは、その中のオブジェクトのみです:
Allow group ObjectWriters to read buckets in compartment ABC
Allow group ObjectWriters to manage objects in compartment ABC
where all {target.bucket.name='BucketA', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}}ユーザーがオブジェクト・ストレージ・バケットからオブジェクトをダウンロードできるようにします
アクセスのタイプ: コンパートメントABCのオブジェクト・ストレージ・バケットからオブジェクトをダウンロードする機能。 これは、コンパートメント内のバケットのリスト、バケット内のオブジェクトのリスト、およびバケット内の既存オブジェクトの読取り機能で構成されます。
ポリシーを作成する場所: 最も簡単な方法は、このポリシーをテナンシに配置することです。 コンパートメントABCの管理者がポリシーを制御する場合は、そのコンパートメントにアタッチする必要があります。
Allow group ObjectReaders to read buckets in compartment ABC Allow group ObjectReaders to read objects in compartment ABC
特定のコンパートメント内の特定のバケットへのアクセスを制限するには、条件where target.bucket.name='<bucket_name>'を追加します。 次のポリシーでは、ユーザーは特定のコンパートメント内のすべてのバケットをリストできますが、BucketAからのみオブジェクトを読み取ってダウンロードできます:
Allow group ObjectReaders to read buckets in compartment ABC Allow group ObjectReaders to read objects in compartment ABC where target.bucket.name='BucketA'
高度なポリシー機能
この項では、より詳細なアクセス権を付与できるポリシー言語機能について説明します。
条件
ポリシー・ステートメントの一部として、アクセスを付与するために満たす必要がある1つ以上の条件を指定できます。 各条件は、ポリシー・ステートメントで値を指定する1つ以上の事前定義された変数で構成されます。 問題のリソース・タイプへのアクセスをリクエストし、ポリシーの条件が満たされると、「真実」と評価され、リクエストが許可されます。
変数には2つのタイプがあります: リクエスト自体に関連するもの、およびリクエストで処理されるリソースに関連するもの(ターゲットとも呼ばれる)。 変数の名前には、requestまたはtargetの後にピリオドが付きます。 たとえば、request.operationというリクエスト変数は、リクエストされているAPI操作を表します。 この変数を使用すると、広範なポリシー・ステートメントを記述できますが、特定のAPI操作に基づいて条件を追加できます。
注意:
条件の一致では、大文字と小文字は区別されません。 これは、大文字と小文字を区別するネーミングを許可するリソース・タイプの条件を記述するときに注意することが重要です。 たとえば、Object Storageサービスでは、BucketAという名前のバケットと、同じコンパートメントにbucketAという名前のバケットの両方を作成できます。 "BucketA"を指定する条件を記述すると、条件一致では大/小文字が区別されないため、"bucketA"にも適用されます。
適用できない変数
一般に、変数が受信リクエストに適用されない場合、条件はfalseに評価され、リクエストは拒否されます。 つまり、ポリシー・ステートメントで動詞とリソース・タイプの組合せによって通常許可されるリクエストは、条件変数の値を指定していないため拒否されます。 条件なしでポリシー・ステートメントに関連付けられたアクセス権を付与する場合は、追加のステートメントを含める必要があります。
たとえば、次のポリシー・ステートメントでは、管理者グループのメンバーでないかぎり、任意のグループに対してユーザーを追加または削除できます。
Allow group GroupAdmins to use users in tenancy where target.group.name != 'Administrators' Allow group GroupAdmins to use groups in tenancy where target.group.name != 'Administrators'
GroupAdminsのユーザーがListUsersやUpdateUserなどの一般API操作をコールすると、操作がuse usersでカバーされていても、リクエストは拒否されます。 これは、listおよびupdateコマンドにグループの指定が含まれないためで、これは、ポリシー・ステートメントの条件でtarget.group.name変数に一致する値がないことを意味します。 変数は受信リクエストに適用できないため、条件は「空似」に評価され、リクエストは拒否されます。
GroupAdminsでユーザーをリストできるようにするには、条件なしで別のポリシー・ステートメントを追加する必要があります。 この例では、listコマンドを許可するために動詞inspectが必要です。
Allow group GroupAdmins to use users in tenancy where target.group.name != 'Administrators' Allow group GroupAdmins to use groups in tenancy where target.group.name != 'Administrators' Allow group GroupAdmins to inspect users in tenancy
この一般的な概念は、グループおよびターゲット変数を持つその他のリソース・タイプにも適用されます。
タグ・ベースのアクセス制御
条件およびタグ変数のセットを使用して、リソースに適用されたタグに基づいてアクセスのスコープを設定するポリシーを記述できます。 具体的には、リクエスト元のユーザーが属するグループに存在するタグの値に基づいてアクセスを制御できます。 タグ・ベースのアクセス制御により、コンパートメント、グループおよびリソースにわたるアクセスを定義できるため、ポリシーに対する柔軟性が向上します。
タグによるアクセスの範囲を指定するポリシーを記述する方法の詳細は、「タグ付けの概要」の章の「タグ・ベースのアクセス制御」の項を参照してください。
権限
権限は、リソースに対する操作を実行するユーザー機能を制御するアトミックな認可単位です。 すべての権限はポリシー言語で定義されます。 特定の動詞とリソース・タイプへのアクセス権をグループに付与するポリシーを記述する場合、実際には、そのグループに1つ以上の事前定義された権限へのアクセス権を付与しています。 動詞の目的は、幅広いアクセス・セットまたは特定の操作シナリオに対応する複数の関連する権限を付与するプロセスを簡素化することです。
動詞との関係
権限と動詞の関係を理解するには、次の例について考えてみます。 グループにinspect volumesを許可するポリシー・ステートメントは、実際にはVOLUME_INSPECTという権限へのアクセスを提供します。 権限は常に、すべての大文字およびアンダースコアで書き込まれます。 通常、この権限により、ユーザーはブロック・ボリュームに関する情報を取得できます。
inspect > read > use > manageから移動すると、通常、アクセス・レベルが増加し、付与される権限は累積されます(次の表を参照)。 この場合、inspectからreadへの追加の権限は付与されません。
| ボリュームの検査 | 読取りボリューム | ボリュームの使用 | ボリュームの管理 |
|---|---|---|---|
|
VOLUME_INSPECT |
VOLUME_INSPECT |
VOLUME_INSPECT VOLUME_UPDATE VOLUME_WRITE |
VOLUME_INSPECT VOLUME_UPDATE VOLUME_WRITE VOLUME_CREATE VOLUME_DELETE |
指定されたリソース・タイプの各動詞でカバーされる権限の詳細は、「ポリシー参照」を参照してください。
API操作との関係
各API操作では、コール元が1つ以上の権限にアクセスする必要があります。 たとえば:
-
ListVolumesまたはGetVolumeを使用するには、単一の権限にアクセスできる必要があります: VOLUME_INSPECT. -
ボリュームをインスタンスにアタッチするには、様々なリソース・タイプに関連する複数の権限にアクセスできる必要があります: ボリューム、ボリューム・アタッチメントおよびインスタンス。 これらの権限はそれぞれ: VOLUME_WRITE、VOLUME_ATTACHMENT_CREATEおよびINSTANCE_ATTACH_VOLUME。
「ポリシー参照」には、API操作ごとに必要な権限がリストされます。
ユーザー・アクセスについて
ポリシー言語は、文に必要な権限を記述することなく、動詞とリソース・タイプのみを含む単純な文を記述できるように設計されています。 ただし、セキュリティ・チーム・メンバーまたは監査者が、特定のユーザーが持っている特定の権限を理解したい場合があります。 「ポリシー参照」には、各動詞に関連付けられている権限がリストされます。 ユーザーが存在するグループおよびそれらのグループに適用可能なポリシーを確認し、付与された権限のリストをコンパイルします。
ただし、権限のリストは完全な図ではありません。 ポリシー・ステートメントの条件は、個々の権限を超えてユーザー・アクセスの範囲を指定できます。 また、各ポリシー・ステートメントは特定のコンパートメントを指定し、そのコンパートメント内の特定のリソースのみへのアクセスをさらにスコープにする条件を持つことができます。
権限またはAPI操作によるアクセスのスコープ設定
ポリシー・ステートメントでは、権限またはAPI操作と組み合せた条件を使用して、特定の動詞によって付与されるアクセスの範囲を減らすことができます。 たとえば、グループXYZでグループをリスト、取得、作成または更新できますが、削除することはできません。 グループをリスト、取得、作成および更新するには、動詞およびリソース・タイプとしてmanage groupsを含むポリシーが必要ですが、これにはグループを削除する権限が含まれます。
必要な権限のみにアクセスを制限するには、許可する権限を明示的に示す条件を追加します:
Allow group XYZ to manage groups in tenancy
where any {request.permission='GROUP_INSPECT',
request.permission='GROUP_CREATE',
request.permission='GROUP_UPDATE'}かわりに、GROUP_DELETE以外のすべての権限を許可するポリシーを使用することもできます:
Allow group XYZ to manage groups in tenancy where request.permission != 'GROUP_DELETE'
ただし、このアプローチでは、将来の新しい権限がグループXYZに自動的に付与されます。 GROUP_DELETEのみが省略されます。
別の方法として、特定のAPI操作に基づいて条件を記述する方法があります:
Allow group XYZ to manage groups in tenancy
where any {request.operation='ListGroups',
request.operation='GetGroup',
request.operation='CreateGroup',
request.operation='UpdateGroup'}条件でAPI操作のかわりに権限を使用すると有益です。 今後、前述の権限ベースのポリシーにリストされているいずれかの権限を必要とする新しいAPI操作が追加された場合、そのポリシーでは、その新しいAPI操作へのXYZグループ・アクセスがすでに制御されています。
権限へのユーザー・アクセスは、API操作に基づく条件も指定することによって、さらにスコープを設定できます。 たとえば、GROUP_INSPECTへのアクセス権をユーザーに付与し、ListGroupsにのみ付与できます。
Allow group XYZ to manage groups in tenancy
where all {request.permission='GROUP_INSPECT',request.operation='ListGroups'}クロステナンシ・ポリシー
始める前に
他のテナンシからのテナンシ・アクセスを許可するポリシーを記述して、テナンシ間でリソースを共有できます。 両方のテナンシの管理者は、どのリソースにアクセスして共有できるかを明示的に示す特別なポリシー・ステートメントを作成する必要があります。 これらの特別な文では、次の特殊動詞を使用します:
| 動詞 | ポリシー・ステートメントでの使用 |
|---|---|
|
|
「ソース・テナンシ」内のグループが他のテナンシで実行できる作業について説明します。 別のテナンシ・リソースを操作する必要があるユーザーのグループを含むテナンシの |
|
|
他のテナンシのグループが「宛先テナンシ」で実行できる作業について説明します。 リソースにアクセスする権限を付与するテナンシの |
|
|
「ソース・テナンシ」 OCID、「ソース・グループ」 OCIDおよび「宛先テナンシ」 OCIDの別名を割り当てます。
|
endorse文とadmit文は連携して動作します。 endorse文はソース・テナンシに存在し、admit文は宛先テナンシに存在します。 アクセスを指定する対応する文がない場合、特定のendorseまたはadmit文はアクセス権を付与しません。 両方のテナンシがアクセスに同意し、アクセスを許可するポリシーを持っている必要があります。
ソース・テナンシでは、次の構文を使用してdefineおよびendorseポリシー・ステートメントを記述します:
define tenancy destination-tenancy-alias as tenancy_ocid
endorse group group-name to verb resource in tenancy destination-tenancy-alias
宛先テナンシでは、次の構文を使用して、2つのdefineポリシー・ステートメントおよびadmitポリシー・ステートメントを記述します:
define tenancy source-tenancy-alias as tenancy_ocid
define group source-group-alias as group_ocid
admit group source-group-alias of tenancy source-tenancy-alias to verb resource in compartment/tenancy
一般的な文の詳細および例は、「Oracle Private Cloud Applianceユーザー・ガイド」のIdentity and Access Managementにあるテナンシのリソースにアクセスするためのポリシーの記述を参照してください。
ポリシー参照
このセクションを情報のソースとして使用して、テナンシでアクセス制御のポリシーを記述するのに役立ちます。 次の表に、参照情報を示します:
-
ポリシー・ステートメントを記述できるすべてのリソース・タイプがリストされます。
-
リソース・タイプごとに、ポリシー・ステートメントを介して許可または拒否できるAPI操作がリストされます。
-
API操作ごとに、ポリシー・ステートメントで使用される必要な権限および関連する動詞/リソースの組合せがリストされます。
ノート:
一部のAPI操作では、表には権限または動詞/リソースの組合せが表示されません。 これらの空のセルは、操作に明示的な権限が必要ないか、操作が他のAPI操作およびそれらに関連付けられた権限に依存していることを示します。
IAMサービスは、API操作に直接関連付けられている権限のみを認識します。特定のリソースについて他のサービスによって定義された権限依存関係または条件は認識されません。
表には、テナンシで使用可能なサービスでまだサポートされていないリソース・タイプおよびAPI操作が含まれている場合があります。 これらの行は無視できます。
| リソース・タイプ | API操作 | 必要な権限 | 動詞+リソースの組合せ |
|---|---|---|---|
|
users |
CreateUser |
USER_CREATE |
manage users |
|
CreateOrResetUIPassword |
USER_UIPASS_SET |
manage users |
|
|
GetUser |
USER_INSPECT |
inspect users |
|
|
ListUsers |
USER_INSPECT |
inspect users |
|
|
ListApiKeys |
USER_READ |
read users |
|
|
UpdateUser |
USER_UPDATE |
use users |
|
|
UpdateUserState |
USER_UNBLOCK |
manage users |
|
|
UploadApiKey |
USER_APIKEY_ADD |
manage users |
|
|
DeleteUser |
USER_DELETE |
manage users |
|
|
DeleteApiKey |
USER_APIKEY_REMOVE |
manage users |
|
|
AddUserToGroup |
USER_UPDATE |
use users |
|
|
RemoveUserFromGroup |
USER_UPDATE |
use users |
|
|
GetUserGroupMembership |
USER_INSPECT |
inspect users |
|
|
ListUserGroupMemberships |
USER_INSPECT |
inspect users |
|
|
groups |
CreateGroup |
GROUP_CREATE |
manage groups |
|
GetGroup |
GROUP_INSPECT |
inspect groups |
|
|
ListGroups |
GROUP_INSPECT |
inspect groups |
|
|
UpdateGroup |
GROUP_UPDATE |
use groups |
|
|
DeleteGroup |
GROUP_DELETE |
manage groups |
|
|
AddUserToGroup |
GROUP_UPDATE |
use groups |
|
|
RemoveUserFromGroup |
GROUP_UPDATE |
use groups |
|
|
GetUserGroupMembership |
GROUP_INSPECT |
inspect groups |
|
|
ListUserGroupMemberships |
GROUP_INSPECT |
inspect groups |
|
|
ListIdpGroupMappings |
GROUP_INSPECT |
inspect groups |
|
|
CreateIdpGroupMapping |
GROUP_UPDATE |
use groups |
|
|
GetIdpGroupMapping |
GROUP_INSPECT |
inspect groups |
|
|
UpdateIdpGroupMapping |
GROUP_UPDATE |
use groups |
|
|
DeleteIdpGroupMapping |
GROUP_UPDATE |
use groups |
|
|
compartments |
ListCompartments |
COMPARTMENT_INSPECT |
inspect compartments |
|
GetCompartment |
COMPARTMENT_INSPECT |
inspect compartments |
|
|
ListAvailabilityDomains |
COMPARTMENT_INSPECT |
inspect compartments |
|
|
ListFaultDomains |
COMPARTMENT_INSPECT |
inspect compartments |
|
|
UpdateCompartment |
COMPARTMENT_UPDATE |
use compartments |
|
|
CreateCompartment |
COMPARTMENT_CREATE |
manage compartments |
|
|
DeleteCompartment |
COMPARTMENT_DELETE |
manage compartments |
|
|
RecoverCompartment |
COMPARTMENT_RECOVER |
manage compartments |
|
|
MoveCompartment |
MANAGE_ALL_RESOURCES |
manage all-resources |
|
|
policies |
ListPolicies |
POLICY_READ |
inspect policies |
|
GetPolicy |
POLICY_READ |
inspect policies |
|
|
UpdatePolicy |
POLICY_UPDATE |
manage policies |
|
|
CreatePolicy |
POLICY_CREATE |
manage policies |
|
|
DeletePolicy |
POLICY_DELETE |
manage policies |
|
|
tag-defaults |
ListTagDefaults |
TAG_DEFAULT_INSPECT |
inspect tag-defaults |
|
GetTagDefault |
TAG_DEFAULT_INSPECT |
inspect tag-defaults |
|
|
AssembleEffectiveTagSet |
TAG_DEFAULT_INSPECT |
inspect tag-defaults |
|
|
CreateTagDefault |
TAG_DEFAULT_CREATE |
manage tag-defaults |
|
|
UpdateTagDefault |
TAG_DEFAULT_UPDATE |
manage tag-defaults |
|
|
DeleteTagDefault |
TAG_DEFAULT_DELETE |
manage tag-defaults |
|
|
tag-namespaces |
ListTagNamespaces |
TAG_NAMESPACE_INSPECT |
inspect tag-namespaces |
|
GetTagNamespace |
TAG_NAMESPACE_INSPECT |
inspect tag-namespaces |
|
|
ListTags |
TAG_NAMESPACE_INSPECT |
inspect tag-namespaces |
|
|
ListCostTrackingTags |
TAG_NAMESPACE_INSPECT |
inspect tag-namespaces |
|
|
GetTag |
TAG_NAMESPACE_INSPECT |
inspect tag-namespaces |
|
|
GetTaggingWorkRequest |
TAG_NAMESPACE_INSPECT |
inspect tag-namespaces |
|
|
ListTaggingWorkRequests |
TAG_NAMESPACE_INSPECT |
inspect tag-namespaces |
|
|
ListTaggingWorkRequestErrors |
TAG_NAMESPACE_INSPECT |
inspect tag-namespaces |
|
|
ListTaggingWorkRequestLog |
TAG_NAMESPACE_INSPECT |
inspect tag-namespaces |
|
|
CreateTag |
TAG_NAMESPACE_USE |
use tag-namespaces |
|
|
UpdateTag |
TAG_NAMESPACE_USE |
use tag-namespaces |
|
|
UpdateTagNamespace |
TAG_NAMESPACE_UPDATE |
manage tag-namespaces |
|
|
CreateTagNamespace |
TAG_NAMESPACE_CREATE |
manage tag-namespaces |
|
|
ChangeTagNamespaceCompartment |
TAG_NAMESPACE_MOVE |
manage tag-namespaces |
|
|
DeleteTagNamespace |
TAG_NAMESPACE_DELETE |
manage tag-namespaces |
|
|
DeleteTag |
TAG_NAMESPACE_DELETE |
manage tag-namespaces |
|
|
tenancies |
ListRegionSubscriptions |
TENANCY_INSPECT |
inspect tenancies |
|
GetTenancy |
TENANCY_INSPECT |
inspect tenancies |
|
|
ListRegions |
TENANCY_INSPECT |
inspect tenancies |
|
|
CreateRegionSubscription |
TENANCY_UPDATE |
use tenancies |
|
|
identity-providers |
ListIdentityProviders |
IDENTITY_PROVIDER_INSPECT |
inspect identity-providers |
|
GetIdentityProvider |
IDENTITY_PROVIDER_INSPECT |
inspect identity-providers |
|
|
UpdateIdentityProvider |
IDENTITY_PROVIDER_UPDATE |
manage identity-providers |
|
|
CreateIdentityProvider |
IDENTITY_PROVIDER_CREATE |
manage identity-providers |
|
|
DeleteIdentityProvider |
IDENTITY_PROVIDER_DELETE |
manage identity-providers |
|
|
ListIdpGroupMappings |
IDENTITY_PROVIDER_INSPECT |
inspect identity-providers |
|
|
CreateIdpGroupMapping |
IDENTITY_PROVIDER_UPDATE |
manage identity-providers |
|
|
GetIdpGroupMapping |
IDENTITY_PROVIDER_INSPECT |
inspect identity-providers |
|
|
UpdateIdpGroupMapping |
IDENTITY_PROVIDER_UPDATE |
manage identity-providers |
|
|
DeleteIdpGroupMapping |
IDENTITY_PROVIDER_UPDATE |
manage identity-providers |
|
|
work-requests |
ListWorkRequests |
WORKREQUEST_INSPECT |
inspect work-requests |
|
GetWorkRequest |
WORKREQUEST_INSPECT |
inspect work-requests |
|
|
ListWorkRequestErrors |
WORKREQUEST_INSPECT |
inspect work-requests |
|
|
ListWorkRequestLogs |
WORKREQUEST_INSPECT |
inspect work-requests |
|
|
インスタンス |
ListInstances |
INSTANCE_READ |
read instances |
|
GetInstance |
INSTANCE_READ |
read instances |
|
|
UpdateInstance |
INSTANCE_UPDATE |
use instances |
|
|
InstanceAction |
INSTANCE_POWER_ACTIONS |
use instances |
|
|
AttachVolume |
INSTANCE_ATTACH_VOLUME |
use instances |
|
|
DetachVolume |
INSTANCE_DETACH_VOLUME |
use instances |
|
|
ChangeInstanceCompartment |
INSTANCE_MOVE |
manage instances |
|
|
LaunchInstance |
INSTANCE_CREATE |
manage instances |
|
|
TerminateInstance |
INSTANCE_DELETE |
manage instances |
|
|
AttachVnic |
INSTANCE_ATTACH_SECONDARY_VNIC |
manage instances |
|
|
DetachVnic |
INSTANCE_DETACH_SECONDARY_VNIC |
manage instances |
|
|
ListVnicAttachments |
INSTANCE_INSPECT |
inspect instances |
|
|
ListShapes |
INSTANCE_INSPECT |
inspect instances |
|
|
CreateImage |
INSTANCE_CREATE_IMAGE |
use instances |
|
|
ListInstanceConsoleConnections |
INSTANCE_INSPECT |
inspect instances |
|
|
INSTANCE_READ |
read instances |
||
|
GetInstanceConsoleConnection |
INSTANCE_READ |
read instances |
|
|
CreateInstanceConsoleConnection |
INSTANCE_READ |
read instances |
|
|
ListVolumeAttachments |
INSTANCE_INSPECT |
inspect instances |
|
|
ListBootVolumeAttachments |
INSTANCE_INSPECT |
inspect instances |
|
|
GetVolumeAttachment |
INSTANCE_INSPECT |
inspect instances |
|
|
GetBootVolumeAttachment |
INSTANCE_INSPECT |
inspect instances |
|
|
CreateInstancePool |
INSTANCE_CREATE |
manage instances |
|
|
TerminateInstancePool |
INSTANCE_DELETE |
manage instances |
|
|
ListConsoleHistories |
INSTANCE_INSPECT |
inspect instances |
|
|
CreateInstanceConfiguration |
INSTANCE_READ |
read instances |
|
|
console-histories |
ListConsoleHistories |
CONSOLE_HISTORY_INSPECT |
inspect console-histories |
|
GetConsoleHistory |
CONSOLE_HISTORY_INSPECT |
inspect console-histories |
|
|
ShowConsoleHistoryData |
CONSOLE_HISTORY_READ |
read console-histories |
|
|
DeleteConsoleHistory |
CONSOLE_HISTORY_DELETE |
manage console-histories |
|
|
CaptureConsoleHistory |
CONSOLE_HISTORY_CREATE |
manage console-histories |
|
|
instance-console-connection |
ListInstanceConsoleConnections |
INSTANCE_CONSOLE_CONNECTION_INSPECT |
inspect instance-console-connection |
|
GetInstanceConsoleConnection |
INSTANCE_CONSOLE_CONNECTION_READ |
read instance-console-connection |
|
|
DeleteInstanceConsoleConnection |
INSTANCE_CONSOLE_CONNECTION_DELETE |
manage instance-console-connection |
|
|
CreateInstanceConsoleConnection |
INSTANCE_CONSOLE_CONNECTION_CREATE |
manage instance-console-connection |
|
|
UpdateInstanceConsoleConnection |
INSTANCE_CONSOLE_CONNECTION_CREATE |
manage instance-console-connection |
|
|
INSTANCE_CONSOLE_CONNECTION_DELETE |
manage instance-console-connection |
||
|
instance-images |
ListImages |
INSTANCE_IMAGE_READ |
read instance-images |
|
GetImage |
INSTANCE_IMAGE_READ |
read instance-images |
|
|
LaunchInstance |
INSTANCE_IMAGE_READ |
read instance-images |
|
|
UpdateImage |
INSTANCE_IMAGE_UPDATE |
use instance-images |
|
|
DeleteImage |
INSTANCE_IMAGE_DELETE |
manage instance-images |
|
|
ChangeImageCompartment |
INSTANCE_IMAGE_MOVE |
manage instance-images |
|
|
CreateImage |
INSTANCE_IMAGE_CREATE |
manage instance-images |
|
|
CreateInstancePool |
INSTANCE_IMAGE_READ |
read instance-images |
|
|
ExportImage |
|||
|
app-catalog-listing |
ListAppCatalogSubscriptions |
APP_CATALOG_LISTING_INSPECT |
inspect app-catalog-listing |
|
CreateAppCatalogSubscription |
APP_CATALOG_LISTING_SUBSCRIBE |
manage app-catalog-listing |
|
|
DeleteAppCatalogSubscription |
APP_CATALOG_LISTING_SUBSCRIBE |
manage app-catalog-listing |
|
|
volume-attachments-partial |
AttachVolume |
VOLUME_ATTACHMENT_CREATE |
manage volume-attachments-partial |
|
DetachVolume |
VOLUME_ATTACHMENT_DELETE |
manage volume-attachments-partial |
|
|
instance-configurations |
ListInstanceConfigurations |
INSTANCE_CONFIGURATION_INSPECT |
inspect instance-configurations |
|
GetInstanceConfiguration |
INSTANCE_CONFIGURATION_READ |
read instance-configurations |
|
|
CreateInstanceConfiguration |
INSTANCE_CONFIGURATION_CREATE |
manage instance-configurations |
|
|
UpdateInstanceConfiguration |
INSTANCE_CONFIGURATION_UPDATE |
manage instance-configurations |
|
|
LaunchInstanceConfiguration |
INSTANCE_CONFIGURATION_LAUNCH |
manage instance-configurations |
|
|
DeleteInstanceConfiguration |
INSTANCE_CONFIGURATION_DELETE |
manage instance-configurations |
|
|
ChangeInstanceConfigurationCompartment |
INSTANCE_CONFIGURATION_MOVE |
manage instance-configurations |
|
|
instance-pools |
ListInstancePools |
INSTANCE_POOL_INSPECT |
inspect instance-pools |
|
GetInstancePool |
INSTANCE_POOL_READ |
read instance-pools |
|
|
ListInstancePoolInstances |
INSTANCE_POOL_READ |
read instance-pools |
|
|
ResetInstancePool |
INSTANCE_POOL_POWER_ACTIONS |
use instance-pools |
|
|
SoftresetInstancePool |
INSTANCE_POOL_POWER_ACTIONS |
use instance-pools |
|
|
StartInstancePool |
INSTANCE_POOL_POWER_ACTIONS |
use instance-pools |
|
|
StopInstancePool |
INSTANCE_POOL_POWER_ACTIONS |
use instance-pools |
|
|
UpdateInstancePool |
INSTANCE_POOL_UPDATE |
manage instance-pools |
|
|
ChangeInstancePoolCompartment |
INSTANCE_POOL_MOVE |
manage instance-pools |
|
|
CreateInstancePool |
INSTANCE_POOL_CREATE |
manage instance-pools |
|
|
TerminateInstancePool |
INSTANCE_POOL_DELETE |
manage instance-pools |
|
|
auto-scaling-configurations |
ListAutoScalingConfigurations |
AUTO_SCALING_CONFIGURATION_INSPECT |
inspect auto-scaling-configurations |
|
ListAutoScalingPolicies |
AUTO_SCALING_CONFIGURATION_INSPECT |
inspect auto-scaling-configurations |
|
|
GetAutoScalingConfiguration |
AUTO_SCALING_CONFIGURATION_READ |
read auto-scaling-configurations |
|
|
GetAutoScalingPolicy |
AUTO_SCALING_CONFIGURATION_READ |
read auto-scaling-configurations |
|
|
ChangeAutoScalingConfigurationCompartment |
AUTO_SCALING_CONFIGURATION_MOVE |
manage auto-scaling-configurations |
|
|
CreateAutoScalingConfiguration |
AUTO_SCALING_CONFIGURATION_CREATE |
manage auto-scaling-configurations |
|
|
UpdateAutoScalingConfiguration |
AUTO_SCALING_CONFIGURATION_UPDATE |
manage auto-scaling-configurations |
|
|
DeleteAutoScalingConfiguration |
AUTO_SCALING_CONFIGURATION_DELETE |
manage auto-scaling-configurations |
|
|
CreateAutoScalingPolicy |
AUTO_SCALING_CONFIGURATION_CREATE |
manage auto-scaling-configurations |
|
|
UpdateAutoScalingPolicy |
AUTO_SCALING_CONFIGURATION_UPDATE |
manage auto-scaling-configurations |
|
|
DeleteAutoScalingPolicy |
AUTO_SCALING_CONFIGURATION_DELETE |
manage auto-scaling-configurations |
|
|
dedicated-vm-hosts |
ListDedicatedVmHosts |
DEDICATED_VM_HOST_INSPECT |
inspect dedicated-vm-hosts |
|
GetDedicatedVmHost |
DEDICATED_VM_HOST_READ |
read dedicated-vm-hosts |
|
|
ListDedicatedVmHostInstances |
DEDICATED_VM_HOST_READ |
read dedicated-vm-hosts |
|
|
UpdateDedicatedVmHost |
DEDICATED_VM_HOST_UPDATE |
use dedicated-vm-hosts |
|
|
CreateDedicatedVmHost |
DEDICATED_VM_HOST_CREATE |
manage dedicated-vm-hosts |
|
|
DeleteDedicatedVmHost |
DEDICATED_VM_HOST_DELETE |
manage dedicated-vm-hosts |
|
|
ChangeDedicatedVmHostCompartment |
DEDICATED_VM_HOST_MOVE |
manage dedicated-vm-hosts |
|
|
vcns |
ListVcns |
VCN_READ |
inspect vcns |
|
GetVcn |
VCN_READ |
inspect vcns |
|
|
CreateVcn |
VCN_CREATE |
manage vcns |
|
|
UpdateVcn |
VCN_UPDATE |
manage vcns |
|
|
DeleteVcn |
VCN_DELETE |
manage vcns |
|
|
ChangeVcnCompartment |
VCN_MOVE |
manage vcns |
|
|
CreateDhcpOptions |
VCN_ATTACH |
manage vcns |
|
|
DeleteDhcpOptions |
VCN_DETACH |
manage vcns |
|
|
CreateInternetGateway |
VCN_ATTACH |
manage vcns |
|
|
DeleteInternetGateway |
VCN_DETACH |
manage vcns |
|
|
CreateLocalPeeringGateway |
VCN_ATTACH |
manage vcns |
|
|
DeleteLocalPeeringGateway |
VCN_DETACH |
manage vcns |
|
|
CreateNatGateway |
VCN_READ |
inspect vcns |
|
|
VCN_ATTACH |
manage vcns |
||
|
DeleteNatGateway |
VCN_READ |
inspect vcns |
|
|
VCN_DETACH |
manage vcns |
||
|
CreateNetworkSecurityGroup |
VCN_ATTACH |
manage vcns |
|
|
DeleteNetworkSecurityGroup |
VCN_DETACH |
manage vcns |
|
|
DeleteSubnet |
VCN_DETACH |
manage vcns |
|
|
CreateSubnet |
VCN_ATTACH |
manage vcns |
|
|
CreateServiceGateway |
VCN_READ |
inspect vcns |
|
|
VCN_ATTACH |
manage vcns |
||
|
DeleteServiceGateway |
VCN_READ |
inspect vcns |
|
|
VCN_DETACH |
manage vcns |
||
|
CreateRouteTable |
VCN_ATTACH |
manage vcns |
|
|
DeleteRouteTable |
VCN_DETACH |
manage vcns |
|
|
UpdateRouteTable |
VCN_ATTACH |
manage vcns |
|
|
VCN_DETACH |
manage vcns |
||
|
CreateDrgAttachment |
VCN_ATTACH |
manage vcns |
|
|
DeleteDrgAttachment |
VCN_DETACH |
manage vcns |
|
|
subnets |
ListSubnets |
SUBNET_READ |
inspect subnets |
|
GetSubnet |
SUBNET_READ |
inspect subnets |
|
|
ChangeSubnetCompartment |
SUBNET_MOVE |
manage subnets |
|
|
CreateSubnet |
SUBNET_CREATE |
manage subnets |
|
|
DeleteSubnet |
SUBNET_DELETE |
manage subnets |
|
|
UpdateSubnet |
SUBNET_UPDATE |
manage subnets |
|
|
LaunchInstance |
SUBNET_ATTACH |
use subnets |
|
|
TerminateInstance |
SUBNET_DETACH |
use subnets |
|
|
AttachVnic |
SUBNET_ATTACH |
use subnets |
|
|
DetachVnic |
SUBNET_DETACH |
use subnets |
|
|
CreateInstancePool |
SUBNET_ATTACH |
use subnets |
|
|
TerminateInstancePool |
SUBNET_DETACH |
use subnets |
|
|
CreatePrivateIp |
SUBNET_ATTACH |
use subnets |
|
|
CreateMountTarget |
SUBNET_ATTACH |
use subnets |
|
|
DeleteMountTarget |
SUBNET_DETACH |
use subnets |
|
|
route-tables |
ListRouteTables |
ROUTE_TABLE_READ |
inspect route-tables |
|
GetRouteTable |
ROUTE_TABLE_READ |
inspect route-tables |
|
|
ChangeRouteTableCompartment |
ROUTE_TABLE_MOVE |
manage route-tables |
|
|
CreateRouteTable |
ROUTE_TABLE_CREATE |
manage route-tables |
|
|
DeleteRouteTable |
ROUTE_TABLE_DELETE |
manage route-tables |
|
|
UpdateRouteTable |
ROUTE_TABLE_UPDATE |
manage route-tables |
|
|
CreateDrgAttachment |
ROUTE_TABLE_ATTACH |
manage route-tables |
|
|
UpdateDrgAttachment |
ROUTE_TABLE_ATTACH |
manage route-tables |
|
|
CreateLocalPeeringGateway |
ROUTE_TABLE_ATTACH |
manage route-tables |
|
|
UpdateLocalPeeringGateway |
ROUTE_TABLE_ATTACH |
manage route-tables |
|
|
DeleteSubnet |
ROUTE_TABLE_DETACH |
manage route-tables |
|
|
CreateSubnet |
ROUTE_TABLE_ATTACH |
manage route-tables |
|
|
UpdateSubnet |
ROUTE_TABLE_ATTACH |
manage route-tables |
|
|
ROUTE_TABLE_DETACH |
manage route-tables |
||
|
CreateServiceGateway |
ROUTE_TABLE_ATTACH |
manage route-tables |
|
|
UpdateServiceGateway |
ROUTE_TABLE_ATTACH |
manage route-tables |
|
|
network-security-groups |
CreateNetworkSecurityGroup |
NETWORK_SECURITY_GROUP_CREATE |
manage network-security-groups |
|
GetNetworkSecurityGroup |
NETWORK_SECURITY_GROUP_INSPECT |
inspect network-security-groups |
|
|
ListNetworkSecurityGroups |
NETWORK_SECURITY_GROUP_INSPECT |
inspect network-security-groups |
|
|
UpdateNetworkSecurityGroup |
NETWORK_SECURITY_GROUP_UPDATE |
manage network-security-groups |
|
|
DeleteNetworkSecurityGroup |
NETWORK_SECURITY_GROUP_DELETE |
manage network-security-groups |
|
|
ListNetworkSecurityGroupVnics |
NETWORK_SECURITY_GROUP_LIST_MEMBERS |
use network-security-groups |
|
|
ChangeNetworkSecurityGroupCompartment |
NETWORK_SECURITY_GROUP_MOVE |
manage network-security-groups |
|
|
ListNetworkSecurityGroupSecurityRules |
NETWORK_SECURITY_GROUP_LIST_SECURITY_RULES |
use network-security-groups |
|
|
AddNetworkSecurityGroupSecurityRules |
NETWORK_SECURITY_GROUP_UPDATE_SECURITY_RULES |
manage network-security-groups |
|
|
UpdateNetworkSecurityGroupSecurityRules |
NETWORK_SECURITY_GROUP_UPDATE_SECURITY_RULES |
manage network-security-groups |
|
|
RemoveNetworkSecurityGroupSecurityRules |
NETWORK_SECURITY_GROUP_UPDATE_SECURITY_RULES |
manage network-security-groups |
|
|
LaunchInstance |
NETWORK_SECURITY_GROUP_UPDATE_MEMBERS |
use network-security-groups |
|
|
AttachVnic |
NETWORK_SECURITY_GROUP_UPDATE_MEMBERS |
use network-security-groups |
|
|
UpdateVnic |
NETWORK_SECURITY_GROUP_UPDATE_MEMBERS |
use network-security-groups |
|
|
security-lists |
ListSecurityLists |
SECURITY_LIST_READ |
inspect security-lists |
|
GetSecurityList |
SECURITY_LIST_READ |
inspect security-lists |
|
|
UpdateSecurityList |
SECURITY_LIST_UPDATE |
manage security-lists |
|
|
ChangeSecurityListCompartment |
SECURITY_LIST_MOVE |
manage security-lists |
|
|
CreateSecurityList |
SECURITY_LIST_CREATE |
manage security-lists |
|
|
DeleteSecurityList |
SECURITY_LIST_DELETE |
manage security-lists |
|
|
DeleteSubnet |
SECURITY_LIST_DETACH |
manage security-lists |
|
|
CreateSubnet |
SECURITY_LIST_ATTACH |
manage security-lists |
|
|
UpdateSubnet |
SECURITY_LIST_ATTACH |
manage security-lists |
|
|
SECURITY_LIST_DETACH |
manage security-lists |
||
|
dhcp-options |
CreateDhcpOptions |
DHCP_CREATE |
manage dhcp-options |
|
GetDhcpOptions |
DHCP_READ |
inspect dhcp-options |
|
|
ListDhcpOptions |
DHCP_READ |
inspect dhcp-options |
|
|
UpdateDhcpOptions |
DHCP_UPDATE |
manage dhcp-options |
|
|
DeleteDhcpOptions |
DHCP_DELETE |
manage dhcp-options |
|
|
ChangeDhcpOptionsCompartment |
DHCP_MOVE |
manage dhcp-options |
|
|
DeleteSubnet |
DHCP_DETACH |
manage dhcp-options |
|
|
CreateSubnet |
DHCP_ATTACH |
manage dhcp-options |
|
|
UpdateSubnet |
DHCP_ATTACH |
manage dhcp-options |
|
|
DHCP_DETACH |
manage dhcp-options |
||
|
private-ips |
GetPrivateIp |
PRIVATE_IP_READ |
inspect private-ips |
|
ListPrivateIps |
PRIVATE_IP_READ |
inspect private-ips |
|
|
ListPublicIps |
PRIVATE_IP_READ |
inspect private-ips |
|
|
GetPublicIp |
PRIVATE_IP_READ |
inspect private-ips |
|
|
GetPublicIpByPrivateIpId |
PRIVATE_IP_READ |
inspect private-ips |
|
|
UpdatePrivateIp |
PRIVATE_IP_UPDATE |
use private-ips |
|
|
CreatePrivateIp |
PRIVATE_IP_CREATE |
use private-ips |
|
|
PRIVATE_IP_ASSIGN |
use private-ips |
||
|
DeletePrivateIp |
PRIVATE_IP_DELETE |
use private-ips |
|
|
PRIVATE_IP_UNASSIGN |
use private-ips |
||
|
CreateRouteTable |
PRIVATE_IP_ROUTE_TABLE_ATTACH |
manage private-ips |
|
|
DeleteRouteTable |
PRIVATE_IP_ROUTE_TABLE_DETACH |
manage private-ips |
|
|
UpdateRouteTable |
PRIVATE_IP_ROUTE_TABLE_ATTACH |
manage private-ips |
|
|
PRIVATE_IP_ROUTE_TABLE_DETACH |
manage private-ips |
||
|
CreateMountTarget |
PRIVATE_IP_CREATE |
use private-ips |
|
|
PRIVATE_IP_ASSIGN |
use private-ips |
||
|
DeleteMountTarget |
PRIVATE_IP_DELETE |
use private-ips |
|
|
PRIVATE_IP_UNASSIGN |
use private-ips |
||
|
public-ips |
GetPublicIp |
PUBLIC_IP_READ |
read public-ips |
|
ListPublicIps |
PUBLIC_IP_READ |
read public-ips |
|
|
GetPublicIpByPrivateIpId |
PUBLIC_IP_READ |
read public-ips |
|
|
GetPublicIpByIpAddress |
PUBLIC_IP_READ |
read public-ips |
|
|
UpdatePublicIp |
PUBLIC_IP_UPDATE |
manage public-ips |
|
|
CreatePublicIp |
PUBLIC_IP_CREATE |
manage public-ips |
|
|
DeletePublicIp |
PUBLIC_IP_DELETE |
manage public-ips |
|
|
ipv6s |
GetIpv6 |
IPV6_READ |
read ipv6s |
|
ListIpv6s |
IPV6_READ |
read ipv6s |
|
|
UpdateIpv6 |
IPV6_UPDATE |
manage ipv6s |
|
|
CreateIpv6 |
IPV6_CREATE |
manage ipv6s |
|
|
DeleteIpv6 |
IPV6_DELETE |
manage ipv6s |
|
|
internet-gateways |
ListInternetGateways |
INTERNET_GATEWAY_READ |
inspect internet-gateways |
|
GetInternetGateway |
INTERNET_GATEWAY_READ |
inspect internet-gateways |
|
|
UpdateInternetGateway |
INTERNET_GATEWAY_UPDATE |
manage internet-gateways |
|
|
ChangeInternetGatewayCompartment |
INTERNET_GATEWAY_MOVE |
manage internet-gateways |
|
|
CreateInternetGateway |
INTERNET_GATEWAY_CREATE |
manage internet-gateways |
|
|
DeleteInternetGateway |
INTERNET_GATEWAY_DELETE |
manage internet-gateways |
|
|
CreateRouteTable |
INTERNET_GATEWAY_ATTACH |
manage internet-gateways |
|
|
DeleteRouteTable |
INTERNET_GATEWAY_DETACH |
manage internet-gateways |
|
|
UpdateRouteTable |
INTERNET_GATEWAY_ATTACH |
manage internet-gateways |
|
|
INTERNET_GATEWAY_DETACH |
manage internet-gateways |
||
|
nat-gateways |
ListNatGateways |
NAT_GATEWAY_READ |
read nat-gateways |
|
GetNatGateway |
NAT_GATEWAY_READ |
read nat-gateways |
|
|
UpdateNatGateway |
NAT_GATEWAY_UPDATE |
manage nat-gateways |
|
|
ChangeNatGatewayCompartment |
NAT_GATEWAY_MOVE |
manage nat-gateways |
|
|
CreateNatGateway |
NAT_GATEWAY_CREATE |
manage nat-gateways |
|
|
DeleteNatGateway |
NAT_GATEWAY_DELETE |
manage nat-gateways |
|
|
CreateRouteTable |
NAT_GATEWAY_ATTACH |
use nat-gateways |
|
|
DeleteRouteTable |
NAT_GATEWAY_DETACH |
use nat-gateways |
|
|
UpdateRouteTable |
NAT_GATEWAY_ATTACH |
use nat-gateways |
|
|
NAT_GATEWAY_DETACH |
use nat-gateways |
||
|
service-gateways |
ListServiceGateways |
SERVICE_GATEWAY_READ |
inspect service-gateways |
|
GetServiceGateway |
SERVICE_GATEWAY_READ |
inspect service-gateways |
|
|
ChangeServiceGatewayCompartment |
SERVICE_GATEWAY_MOVE |
manage service-gateways |
|
|
AttachServiceId |
SERVICE_GATEWAY_ADD_SERVICE |
manage service-gateways |
|
|
DetachServiceId |
SERVICE_GATEWAY_DELETE_SERVICE |
manage service-gateways |
|
|
CreateServiceGateway |
SERVICE_GATEWAY_CREATE |
manage service-gateways |
|
|
UpdateServiceGateway |
SERVICE_GATEWAY_UPDATE |
manage service-gateways |
|
|
DeleteServiceGateway |
SERVICE_GATEWAY_DELETE |
manage service-gateways |
|
|
CreateRouteTable |
SERVICE_GATEWAY_ATTACH |
use service-gateways |
|
|
DeleteRouteTable |
SERVICE_GATEWAY_DETACH |
use service-gateways |
|
|
UpdateRouteTable |
SERVICE_GATEWAY_ATTACH |
use service-gateways |
|
|
SERVICE_GATEWAY_DETACH |
use service-gateways |
||
|
local-peering-gateways |
ListLocalPeeringGateways |
LOCAL_PEERING_GATEWAY_READ |
inspect local-peering-gateways |
|
GetLocalPeeringGateway |
LOCAL_PEERING_GATEWAY_READ |
inspect local-peering-gateways |
|
|
CreateLocalPeeringGateway |
LOCAL_PEERING_GATEWAY_CREATE |
manage local-peering-gateways |
|
|
UpdateLocalPeeringGateway |
LOCAL_PEERING_GATEWAY_UPDATE |
manage local-peering-gateways |
|
|
DeleteLocalPeeringGateway |
LOCAL_PEERING_GATEWAY_DELETE |
manage local-peering-gateways |
|
|
ChangeLocalPeeringGatewayCompartment |
LOCAL_PEERING_GATEWAY_MOVE |
manage local-peering-gateways |
|
|
CreateRouteTable |
LOCAL_PEERING_GATEWAY_ATTACH |
manage local-peering-gateways |
|
|
DeleteRouteTable |
LOCAL_PEERING_GATEWAY_DETACH |
manage local-peering-gateways |
|
|
UpdateRouteTable |
LOCAL_PEERING_GATEWAY_ATTACH |
manage local-peering-gateways |
|
|
LOCAL_PEERING_GATEWAY_DETACH |
manage local-peering-gateways |
||
|
local-peering-from |
ConnectLocalPeeringGateways |
LOCAL_PEERING_GATEWAY_CONNECT_FROM |
manage local-peering-from |
|
local-peering-to |
ConnectLocalPeeringGateways |
LOCAL_PEERING_GATEWAY_CONNECT_TO |
manage local-peering-to |
|
remote-peering-connections |
ListRemotePeeringConnections |
REMOTE_PEERING_CONNECTION_READ |
inspect remote-peering-connections |
|
GetRemotePeeringConnection |
REMOTE_PEERING_CONNECTION_READ |
inspect remote-peering-connections |
|
|
UpdateRemotePeeringConnection |
REMOTE_PEERING_CONNECTION_UPDATE |
manage remote-peering-connections |
|
|
CreateRemotePeeringConnection |
REMOTE_PEERING_CONNECTION_CREATE |
manage remote-peering-connections |
|
|
DeleteRemotePeeringConnection |
REMOTE_PEERING_CONNECTION_DELETE |
manage remote-peering-connections |
|
|
ChangeRemotePeeringConnectionCompartment |
REMOTE_PEERING_CONNECTION_RESOURCE_MOVE |
manage remote-peering-connections |
|
|
remote-peering-from |
ConnectRemotePeeringConnections |
REMOTE_PEERING_CONNECTION_CONNECT_FROM |
manage remote-peering-from |
|
remote-peering-to |
ConnectRemotePeeringConnections |
REMOTE_PEERING_CONNECTION_CONNECT_TO |
manage remote-peering-to |
|
drgs |
ListDrgs |
DRG_READ |
inspect drgs |
|
GetDrg |
DRG_READ |
inspect drgs |
|
|
CreateDrg |
DRG_CREATE |
manage drgs |
|
|
UpdateDrg |
DRG_UPDATE |
manage drgs |
|
|
DeleteDrg |
DRG_DELETE |
manage drgs |
|
|
ChangeDrgCompartment |
DRG_MOVE |
manage drgs |
|
|
CreateDrgAttachment |
DRG_ATTACH |
manage drgs |
|
|
DeleteDrgAttachment |
DRG_DETACH |
manage drgs |
|
|
CreateRouteTable |
DRG_ATTACH |
manage drgs |
|
|
DeleteRouteTable |
DRG_DETACH |
manage drgs |
|
|
UpdateRouteTable |
DRG_ATTACH |
manage drgs |
|
|
DRG_DETACH |
manage drgs |
||
|
drg-attachments |
CreateDrgAttachment |
||
|
DeleteDrgAttachment |
|||
|
ListDrgAttachments |
DRG_ATTACHMENT_READ |
inspect drg-attachments |
|
|
GetDrgAttachment |
DRG_ATTACHMENT_READ |
inspect drg-attachments |
|
|
UpdateDrgAttachment |
DRG_ATTACHMENT_UPDATE |
manage drg-attachments |
|
|
cpes |
ListCpes |
CPE_READ |
inspect cpes |
|
GetCpe |
CPE_READ |
inspect cpes |
|
|
CreateCpe |
CPE_CREATE |
manage cpes |
|
|
UpdateCpe |
CPE_UPDATE |
manage cpes |
|
|
DeleteCpe |
CPE_DELETE |
manage cpes |
|
|
ChangeCpeCompartment |
CPE_RESOURCE_MOVE |
manage cpes |
|
|
IPアドレス |
ListIPSecConnections |
IPSEC_CONNECTION_READ |
inspect ipsec |
|
GetIPSecConnection |
IPSEC_CONNECTION_READ |
inspect ipsec |
|
|
GetIPSecConnectionStatus |
IPSEC_CONNECTION_READ |
inspect ipsec |
|
|
ListIPSecConnectionTunnels |
IPSEC_CONNECTION_READ |
inspect ipsec |
|
|
GetIPSecConnectionTunnel |
IPSEC_CONNECTION_READ |
inspect ipsec |
|
|
GetTunnelCpeDeviceConfig |
IPSEC_CONNECTION_READ |
inspect ipsec |
|
|
GetTunnelCpeDeviceTemplateContent |
IPSEC_CONNECTION_READ |
inspect ipsec |
|
|
GetCpeDeviceTemplateContent |
IPSEC_CONNECTION_READ |
inspect ipsec |
|
|
GetIpsecCpeDeviceTemplateContent |
IPSEC_CONNECTION_READ |
inspect ipsec |
|
|
GetIPSecConnectionDeviceConfig |
IPSEC_CONNECTION_DEVICE_CONFIG_READ |
read ipsec |
|
|
GetIPSecConnectionTunnelSharedSecret |
IPSEC_CONNECTION_DEVICE_CONFIG_READ |
read ipsec |
|
|
UpdateIPSecConnection |
IPSEC_CONNECTION_UPDATE |
manage ipsec |
|
|
UpdateTunnelCpeDeviceConfig |
IPSEC_CONNECTION_UPDATE |
manage ipsec |
|
|
UpdateIPSecConnectionTunnel |
IPSEC_CONNECTION_UPDATE |
manage ipsec |
|
|
CreateIPSecConnection |
IPSEC_CONNECTION_CREATE |
manage ipsec |
|
|
DeleteIPSecConnection |
IPSEC_CONNECTION_DELETE |
manage ipsec |
|
|
cross-connects |
ListCrossConnects |
CROSS_CONNECT_READ |
inspect cross-connects |
|
GetCrossConnect |
CROSS_CONNECT_READ |
inspect cross-connects |
|
|
UpdateCrossConnect |
CROSS_CONNECT_UPDATE |
manage cross-connects |
|
|
CreateCrossConnect |
CROSS_CONNECT_CREATE |
manage cross-connects |
|
|
DeleteCrossConnect |
CROSS_CONNECT_DELETE |
manage cross-connects |
|
|
ChangeCrossConnectCompartment |
CROSS_CONNECT_RESOURCE_MOVE |
manage cross-connects |
|
|
cross-connect-groups |
ListCrossConnectGroups |
CROSS_CONNECT_GROUP_READ |
inspect cross-connect-groups |
|
GetCrossConnectGroup |
CROSS_CONNECT_GROUP_READ |
inspect cross-connect-groups |
|
|
UpdateCrossConnectGroup |
CROSS_CONNECT_GROUP_UPDATE |
manage cross-connect-groups |
|
|
CreateCrossConnectGroup |
CROSS_CONNECT_GROUP_CREATE |
manage cross-connect-groups |
|
|
DeleteCrossConnectGroup |
CROSS_CONNECT_GROUP_DELETE |
manage cross-connect-groups |
|
|
ChangeCrossConnectGroupCompartment |
CROSS_CONNECT_GROUP_RESOURCE_MOVE |
manage cross-connect-groups |
|
|
virtual-circuits |
ListVirtualCircuits |
VIRTUAL_CIRCUIT_READ |
inspect virtual-circuits |
|
GetVirtualCircuit |
VIRTUAL_CIRCUIT_READ |
inspect virtual-circuits |
|
|
ChangeVirtualCircuitCompartment |
VIRTUAL_CIRCUIT_RESOURCE_MOVE |
manage virtual-circuits |
|
|
CreateVirtualCircuit |
VIRTUAL_CIRCUIT_CREATE |
manage virtual-circuits |
|
|
DeleteVirtualCircuit |
VIRTUAL_CIRCUIT_DELETE |
manage virtual-circuits |
|
|
ウイルス性 |
GetVnic |
VNIC_READ |
inspect vnics |
|
AttachVnic |
VNIC_ATTACH |
use vnics |
|
|
VNIC_CREATE |
use vnics |
||
|
UpdateVnic |
VNIC_UPDATE |
use vnics |
|
|
DetachVnic |
VNIC_DETACH |
use vnics |
|
|
VNIC_DELETE |
use vnics |
||
|
LaunchInstance |
VNIC_ATTACH |
use vnics |
|
|
VNIC_CREATE |
use vnics |
||
|
TerminateInstance |
VNIC_DELETE |
use vnics |
|
|
CreateInstancePool |
VNIC_CREATE |
use vnics |
|
|
TerminateInstancePool |
VNIC_DELETE |
use vnics |
|
|
CreateInstanceConfiguration |
VNIC_READ |
inspect vnics |
|
|
CreatePrivateIp |
VNIC_ASSIGN |
use vnics |
|
|
CreateMountTarget |
VNIC_ASSIGN |
use vnics |
|
|
VNIC_CREATE |
use vnics |
||
|
VNIC_ATTACH |
use vnics |
||
|
DeleteMountTarget |
VNIC_UNASSIGN |
use vnics |
|
|
VNIC_DELETE |
use vnics |
||
|
VNIC_DETACH |
use vnics |
||
|
vnic-attachments |
GetVnicAttachment |
VNIC_ATTACHMENT_READ |
inspect vnic-attachments |
|
ListVnicAttachments |
VNIC_ATTACHMENT_READ |
inspect vnic-attachments |
|
|
TerminateInstance |
|||
|
CreateInstanceConfiguration |
VNIC_ATTACHMENT_READ |
inspect vnic-attachments |
|
|
cluster-networks |
ListClusterNetworks |
CLUSTER_NETWORK_INSPECT |
inspect cluster-networks |
|
GetClusterNetwork |
CLUSTER_NETWORK_READ |
read cluster-networks |
|
|
ListClusterNetworkInstances |
CLUSTER_NETWORK_READ |
read cluster-networks |
|
|
UpdateClusterNetwork |
CLUSTER_NETWORK_UPDATE |
manage cluster-networks |
|
|
ChangeClusterNetworkCompartment |
CLUSTER_NETWORK_MOVE |
manage cluster-networks |
|
|
CreateClusterNetwork |
CLUSTER_NETWORK_CREATE |
manage cluster-networks |
|
|
TerminateClusterNetwork |
CLUSTER_NETWORK_DELETE |
manage cluster-networks |
|
|
dns-zones |
ListZones |
DNS_ZONE_INSPECT |
inspect dns-zones |
|
CreateZone |
DNS_ZONE_CREATE |
manage dns-zones |
|
|
CreateChildZone |
DNS_ZONE_CREATE |
manage dns-zones |
|
|
InspectParentZone |
DNS_ZONE_INSPECT |
inspect dns-zones |
|
|
DeleteZone |
DNS_ZONE_DELETE |
manage dns-zones |
|
|
GetZone |
DNS_ZONE_READ |
read dns-zones |
|
|
UpdateZone |
DNS_ZONE_UPDATE |
use dns-zones |
|
|
ChangeZoneCompartment |
DNS_ZONE_MOVE |
manage dns-zones |
|
|
CreateSteeringPolicyAttachment |
DNS_ZONE_UPDATE |
use dns-zones |
|
|
UpdateSteeringPolicyAttachment |
DNS_ZONE_UPDATE |
use dns-zones |
|
|
DeleteSteeringPolicyAttachment |
DNS_ZONE_UPDATE |
use dns-zones |
|
|
GetZoneRecords |
DNS_ZONE_READ |
read dns-zones |
|
|
PatchZoneRecords |
DNS_ZONE_UPDATE |
use dns-zones |
|
|
UpdateZoneRecords |
DNS_ZONE_UPDATE |
use dns-zones |
|
|
dns-records |
GetZoneRecords |
DNS_RECORD_READ |
read dns-records |
|
PatchZoneRecords |
DNS_RECORD_UPDATE |
use dns-records |
|
|
UpdateZoneRecords |
DNS_RECORD_UPDATE |
use dns-records |
|
|
GetDomainRecords |
DNS_RECORD_READ |
read dns-records |
|
|
DeleteDomainRecords |
DNS_RECORD_DELETE |
manage dns-records |
|
|
PatchDomainRecords |
DNS_RECORD_UPDATE |
use dns-records |
|
|
UpdateDomainRecords |
DNS_RECORD_UPDATE |
use dns-records |
|
|
DeleteRRSet |
DNS_RECORD_UPDATE |
use dns-records |
|
|
GetRRSet |
DNS_RECORD_READ |
read dns-records |
|
|
PatchRRSet |
DNS_RECORD_UPDATE |
use dns-records |
|
|
UpdateRRSet |
DNS_RECORD_UPDATE |
use dns-records |
|
|
dns-steering-policies |
ListSteeringPolicies |
DNS_STEERING_POLICY_INSPECT |
inspect dns-steering-policies |
|
CreateSteeringPolicy |
DNS_STEERING_POLICY_CREATE |
manage dns-steering-policies |
|
|
GetSteeringPolicy |
DNS_STEERING_POLICY_READ |
read dns-steering-policies |
|
|
UpdateSteeringPolicy |
DNS_STEERING_POLICY_UPDATE |
use dns-steering-policies |
|
|
DeleteSteeringPolicy |
DNS_STEERING_POLICY_DELETE |
manage dns-steering-policies |
|
|
ChangeSteeringPolicyCompartment |
DNS_STEERING_POLICY_MOVE |
manage dns-steering-policies |
|
|
CreateSteeringPolicyAttachment |
DNS_STEERING_POLICY_READ |
read dns-steering-policies |
|
|
UpdateSteeringPolicyAttachment |
DNS_STEERING_POLICY_READ |
read dns-steering-policies |
|
|
DeleteSteeringPolicyAttachment |
DNS_STEERING_POLICY_READ |
read dns-steering-policies |
|
|
dns-steering-policy-attachments |
ListSteeringPolicyAttachments |
DNS_STEERING_ATTACHMENT_INSPECT |
inspect dns-steering-policy-attachments |
|
CreateSteeringPolicyAttachment |
|||
|
GetSteeringPolicyAttachment |
DNS_STEERING_ATTACHMENT_READ |
read dns-steering-policy-attachments |
|
|
UpdateSteeringPolicyAttachment |
|||
|
DeleteSteeringPolicyAttachment |
|||
|
dns-tsig-keys |
ListTsigKeys |
DNS_TSIG_KEY_INSPECT |
inspect dns-tsig-keys |
|
CreateTsigKey |
DNS_TSIG_KEY_CREATE |
manage dns-tsig-keys |
|
|
GetTsigKey |
DNS_TSIG_KEY_READ |
read dns-tsig-keys |
|
|
UpdateTsigKey |
DNS_TSIG_KEY_UPDATE |
use dns-tsig-keys |
|
|
DeleteTsigKey |
DNS_TSIG_KEY_DELETE |
manage dns-tsig-keys |
|
|
ChangeTsigKeyCompartment |
DNS_TSIG_KEY_MOVE |
manage dns-tsig-keys |
|
|
dns-views |
ListViews |
DNS_VIEW_INSPECT |
inspect dns-views |
|
CreateView |
DNS_VIEW_CREATE |
manage dns-views |
|
|
GetView |
DNS_VIEW_READ |
read dns-views |
|
|
UpdateView |
DNS_VIEW_UPDATE |
use dns-views |
|
|
DeleteView |
DNS_VIEW_DELETE |
manage dns-views |
|
|
ChangeViewCompartment |
DNS_VIEW_MOVE |
manage dns-views |
|
|
dns-resolvers |
ListResolvers |
DNS_RESOLVER_INSPECT |
inspect dns-resolvers |
|
GetResolver |
DNS_RESOLVER_READ |
read dns-resolvers |
|
|
UpdateResolver |
DNS_RESOLVER_UPDATE |
use dns-resolvers |
|
|
ChangeResolverCompartment |
DNS_RESOLVER_MOVE |
manage dns-resolvers |
|
|
dns-resolver-endpoint |
ListResolverEndpoints |
DNS_RESOLVER_ENDPOINT_INSPECT |
inspect dns-resolver-endpoint |
|
CreateResolverEndpoint |
DNS_RESOLVER_ENDPOINT_CREATE |
manage dns-resolver-endpoint |
|
|
GetResolverEndpoint |
DNS_RESOLVER_ENDPOINT_READ |
read dns-resolver-endpoint |
|
|
UpdateResolverEndpoint |
DNS_RESOLVER_ENDPOINT_UPDATE |
use dns-resolver-endpoint |
|
|
DeleteResolverEndpoint |
DNS_RESOLVER_ENDPOINT_DELETE |
manage dns-resolver-endpoint |
|
|
objectstorage-namespaces |
GetNamespace |
||
|
GetNamespaceMetadata |
OBJECTSTORAGE_NAMESPACE_READ |
read objectstorage-namespaces |
|
|
UpdateNamespaceMetadata |
OBJECTSTORAGE_NAMESPACE_UPDATE |
manage objectstorage-namespaces |
|
|
buckets |
HeadBucket |
BUCKET_INSPECT |
inspect buckets |
|
ListBuckets |
BUCKET_INSPECT |
inspect buckets |
|
|
GetBucket |
BUCKET_READ |
read buckets |
|
|
ListMultipartUploads |
BUCKET_READ |
read buckets |
|
|
GetObjectLifecyclePolicy |
BUCKET_READ |
read buckets |
|
|
GetRetentionRule |
BUCKET_READ |
read buckets |
|
|
ListRetentionRules |
BUCKET_READ |
read buckets |
|
|
GetReplicationPolicy |
BUCKET_READ |
read buckets |
|
|
ListReplicationPolicies |
BUCKET_READ |
read buckets |
|
|
ListReplicationSources |
BUCKET_READ |
read buckets |
|
|
UpdateBucket |
BUCKET_UPDATE |
use buckets |
|
|
DeleteObjectLifecyclePolicy |
BUCKET_UPDATE |
use buckets |
|
|
ReencryptBucket |
BUCKET_UPDATE |
use buckets |
|
|
CreateBucket |
BUCKET_CREATE |
manage buckets |
|
|
DeleteBucket |
BUCKET_DELETE |
manage buckets |
|
|
CreatePar |
PAR_MANAGE |
manage buckets |
|
|
GetPar |
PAR_MANAGE |
manage buckets |
|
|
ListPars |
PAR_MANAGE |
manage buckets |
|
|
DeletePar |
PAR_MANAGE |
manage buckets |
|
|
CreateRetentionRule |
RETENTION_RULE_LOCK |
manage buckets |
|
|
UpdateRetentionRule |
RETENTION_RULE_LOCK |
manage buckets |
|
|
DeleteRetentionRule |
RETENTION_RULE_LOCK |
manage buckets |
|
|
MakeBucketWritable |
BUCKET_READ |
read buckets |
|
|
BUCKET_UPDATE |
use buckets |
||
|
CreateReplicationPolicy |
BUCKET_READ |
read buckets |
|
|
BUCKET_UPDATE |
use buckets |
||
|
DeleteReplicationPolicy |
BUCKET_READ |
read buckets |
|
|
BUCKET_UPDATE |
use buckets |
||
|
PutObjectLifecyclePolicy |
BUCKET_UPDATE |
use buckets |
|
|
objects |
HeadObject |
OBJECT_INSPECT |
inspect objects |
|
ListObjects |
OBJECT_INSPECT |
inspect objects |
|
|
ListMultipartUploadParts |
OBJECT_INSPECT |
inspect objects |
|
|
CreateObject |
OBJECT_CREATE |
manage objects |
|
|
GetObject |
OBJECT_READ |
read objects |
|
|
ReencryptObject |
OBJECT_OVERWRITE |
use objects |
|
|
RenameObject |
OBJECT_CREATE |
manage objects |
|
|
OBJECT_OVERWRITE |
use objects |
||
|
RestoreObject |
OBJECT_RESTORE |
manage objects |
|
|
DeleteObject |
OBJECT_DELETE |
manage objects |
|
|
DeleteObjectVersion |
OBJECT_VERSION_DELETE |
manage objects |
|
|
CreateMultipartUpload |
OBJECT_CREATE |
manage objects |
|
|
OBJECT_OVERWRITE |
use objects |
||
|
UploadPart |
OBJECT_CREATE |
manage objects |
|
|
OBJECT_OVERWRITE |
use objects |
||
|
CommitMultipartUpload |
OBJECT_CREATE |
manage objects |
|
|
OBJECT_OVERWRITE |
use objects |
||
|
AbortMultipartUpload |
OBJECT_DELETE |
manage objects |
|
|
PutObject |
OBJECT_CREATE |
manage objects |
|
|
('PutObject', 'overwrite') |
OBJECT_OVERWRITE |
use objects |
|
|
CreateCopyRequest |
OBJECT_READ |
read objects |
|
|
OBJECT_CREATE |
manage objects |
||
|
OBJECT_OVERWRITE |
use objects |
||
|
OBJECT_INSPECT |
inspect objects |
||
|
CopyObject |
OBJECT_READ |
read objects |
|
|
OBJECT_CREATE |
manage objects |
||
|
OBJECT_OVERWRITE |
use objects |
||
|
OBJECT_INSPECT |
inspect objects |
||
|
export-sets |
CreateExport |
EXPORT_SET_UPDATE |
manage export-sets |
|
GetExport |
EXPORT_SET_READ |
read export-sets |
|
|
ListExports |
EXPORT_SET_READ |
read export-sets |
|
|
UpdateExport |
EXPORT_SET_UPDATE |
manage export-sets |
|
|
DeleteExport |
EXPORT_SET_UPDATE |
manage export-sets |
|
|
CreateExportSet |
EXPORT_SET_CREATE |
manage export-sets |
|
|
GetExportSet |
EXPORT_SET_READ |
read export-sets |
|
|
ListExportSets |
EXPORT_SET_INSPECT |
inspect export-sets |
|
|
UpdateExportSet |
EXPORT_SET_UPDATE |
manage export-sets |
|
|
DeleteExportSet |
EXPORT_SET_DELETE |
manage export-sets |
|
|
file-systems |
ListFileSystems |
FILE_SYSTEM_INSPECT |
inspect file-systems |
|
GetFileSystem |
FILE_SYSTEM_READ |
read file-systems |
|
|
CreateFileSystem |
FILE_SYSTEM_CREATE |
manage file-systems |
|
|
UpdateFileSystem |
FILE_SYSTEM_UPDATE |
manage file-systems |
|
|
DeleteFileSystem |
FILE_SYSTEM_DELETE |
manage file-systems |
|
|
ChangeFileSystemCompartment |
FILE_SYSTEM_MOVE |
manage file-systems |
|
|
CreateSnapshot |
FILE_SYSTEM_CREATE_SNAPSHOT |
manage file-systems |
|
|
DeleteSnapshot |
FILE_SYSTEM_DELETE_SNAPSHOT |
manage file-systems |
|
|
GetSnapshot |
FILE_SYSTEM_READ |
read file-systems |
|
|
ListSnapshots |
FILE_SYSTEM_READ |
read file-systems |
|
|
UpdateSnapshot |
FILE_SYSTEM_UPDATE |
manage file-systems |
|
|
mount-targets |
ListMountTargets |
MOUNT_TARGET_INSPECT |
inspect mount-targets |
|
GetMountTarget |
MOUNT_TARGET_READ |
read mount-targets |
|
|
UpdateMountTarget |
MOUNT_TARGET_UPDATE |
manage mount-targets |
|
|
ChangeMountTargetCompartment |
MOUNT_TARGET_MOVE |
manage mount-targets |
|
|
CreateMountTarget |
MOUNT_TARGET_CREATE |
manage mount-targets |
|
|
DeleteMountTarget |
MOUNT_TARGET_DELETE |
manage mount-targets |
|
|
volumes |
ListVolumes |
VOLUME_INSPECT |
inspect volumes |
|
GetVolume |
VOLUME_INSPECT |
inspect volumes |
|
|
UpdateVolume |
VOLUME_UPDATE |
use volumes |
|
|
GetBootVolume |
VOLUME_INSPECT |
inspect volumes |
|
|
ListBootVolumes |
VOLUME_INSPECT |
inspect volumes |
|
|
UpdateBootVolume |
VOLUME_UPDATE |
use volumes |
|
|
DeleteBootVolume |
VOLUME_DELETE |
manage volumes |
|
|
CreateVolume |
VOLUME_CREATE |
manage volumes |
|
|
CreateBootVolume |
VOLUME_CREATE |
manage volumes |
|
|
DeleteVolume |
VOLUME_DELETE |
manage volumes |
|
|
AttachVolume |
VOLUME_WRITE |
use volumes |
|
|
DetachVolume |
VOLUME_WRITE |
use volumes |
|
|
TerminateInstance |
VOLUME_WRITE |
use volumes |
|
|
ListVolumeAttachments |
VOLUME_INSPECT |
inspect volumes |
|
|
ListBootVolumeAttachments |
VOLUME_INSPECT |
inspect volumes |
|
|
GetVolumeAttachment |
VOLUME_INSPECT |
inspect volumes |
|
|
GetBootVolumeAttachment |
VOLUME_INSPECT |
inspect volumes |
|
|
ChangeVolumeCompartment |
VOLUME_MOVE |
manage volumes |
|
|
ChangeBootVolumeCompartment |
BOOT_VOLUME_MOVE |
manage volumes |
|
|
TerminateInstancePool |
VOLUME_WRITE |
use volumes |
|
|
CreateInstanceConfiguration |
VOLUME_INSPECT |
inspect volumes |
|
|
CreateBootVolumeBackup |
VOLUME_WRITE |
use volumes |
|
|
UpdateVolumeBackup |
VOLUME_INSPECT |
inspect volumes |
|
|
UpdateBootVolumeBackup |
VOLUME_INSPECT |
inspect volumes |
|
|
ListVolumeBackups |
VOLUME_INSPECT |
inspect volumes |
|
|
CreateVolumeGroupBackup |
VOLUME_WRITE |
use volumes |
|
|
CreateVolumeGroup |
VOLUME_INSPECT |
inspect volumes |
|
|
VOLUME_CREATE |
manage volumes |
||
|
VOLUME_WRITE |
use volumes |
||
|
UpdateVolumeGroup |
VOLUME_INSPECT |
inspect volumes |
|
|
DeleteVolumeBackup |
VOLUME_INSPECT |
inspect volumes |
|
|
GetVolumeBackupPolicyAssetAssignment |
VOLUME_INSPECT |
inspect volumes |
|
|
ChangeVolumeGroupCompartment |
VOLUME_MOVE |
manage volumes |
|
|
BOOT_VOLUME_MOVE |
manage volumes |
||
|
volume-attachments |
ListVolumeAttachments |
VOLUME_ATTACHMENT_INSPECT |
inspect volume-attachments |
|
ListBootVolumeAttachments |
VOLUME_ATTACHMENT_INSPECT |
inspect volume-attachments |
|
|
GetVolumeAttachment |
VOLUME_ATTACHMENT_INSPECT |
inspect volume-attachments |
|
|
GetBootVolumeAttachment |
VOLUME_ATTACHMENT_INSPECT |
inspect volume-attachments |
|
|
AttachVolume |
VOLUME_ATTACHMENT_CREATE |
manage volume-attachments |
|
|
AttachBootVolume |
VOLUME_ATTACHMENT_CREATE |
manage volume-attachments |
|
|
DetachVolume |
VOLUME_ATTACHMENT_DELETE |
manage volume-attachments |
|
|
DetachBootVolume |
VOLUME_ATTACHMENT_DELETE |
manage volume-attachments |
|
|
TerminateInstance |
VOLUME_ATTACHMENT_DELETE |
manage volume-attachments |
|
|
TerminateInstancePool |
VOLUME_ATTACHMENT_DELETE |
manage volume-attachments |
|
|
CreateInstanceConfiguration |
VOLUME_ATTACHMENT_INSPECT |
inspect volume-attachments |
|
|
volume-backups |
ListVolumeBackups |
VOLUME_BACKUP_INSPECT |
inspect volume-backups |
|
GetVolumeBackup |
VOLUME_BACKUP_INSPECT |
inspect volume-backups |
|
|
UpdateVolumeBackup |
VOLUME_BACKUP_UPDATE |
use volume-backups |
|
|
CopyVolumeBackup |
VOLUME_BACKUP_COPY |
use volume-backups |
|
|
CreateVolumeBackup |
VOLUME_BACKUP_CREATE |
manage volume-backups |
|
|
DeleteVolumeBackup |
VOLUME_BACKUP_DELETE |
manage volume-backups |
|
|
CreateVolume |
VOLUME_BACKUP_READ |
read volume-backups |
|
|
CreateVolumeGroupBackup |
VOLUME_BACKUP_CREATE |
manage volume-backups |
|
|
CreateVolumeGroup |
VOLUME_BACKUP_READ |
read volume-backups |
|
|
DeleteVolumeGroupBackup |
VOLUME_BACKUP_DELETE |
manage volume-backups |
|
|
ChangeVolumeBackupCompartment |
VOLUME_BACKUP_MOVE |
manage volume-backups |
|
|
ChangeVolumeGroupBackupCompartment |
VOLUME_BACKUP_MOVE |
manage volume-backups |
|
|
boot-volume-backups |
ListBootVolumeBackups |
BOOT_VOLUME_BACKUP_INSPECT |
inspect boot-volume-backups |
|
GetBootVolumeBackup |
BOOT_VOLUME_BACKUP_INSPECT |
inspect boot-volume-backups |
|
|
CreateBootVolume |
BOOT_VOLUME_BACKUP_READ |
read boot-volume-backups |
|
|
UpdateBootVolumeBackup |
BOOT_VOLUME_BACKUP_UPDATE |
use boot-volume-backups |
|
|
CopyBootVolumeBackup |
BOOT_VOLUME_BACKUP_COPY |
use boot-volume-backups |
|
|
CreateBootVolumeBackup |
BOOT_VOLUME_BACKUP_CREATE |
manage boot-volume-backups |
|
|
DeleteBootVolumeBackup |
BOOT_VOLUME_BACKUP_DELETE |
manage boot-volume-backups |
|
|
CreateVolumeGroupBackup |
BOOT_VOLUME_BACKUP_CREATE |
manage boot-volume-backups |
|
|
CreateVolumeGroup |
BOOT_VOLUME_BACKUP_READ |
read boot-volume-backups |
|
|
DeleteVolumeGroupBackup |
BOOT_VOLUME_BACKUP_DELETE |
manage boot-volume-backups |
|
|
ChangeVolumeBackupCompartment |
BOOT_VOLUME_BACKUP_MOVE |
manage boot-volume-backups |
|
|
ChangeBootVolumeBackupCompartment |
BOOT_VOLUME_BACKUP_MOVE |
manage boot-volume-backups |
|
|
ChangeVolumeGroupBackupCompartment |
BOOT_VOLUME_BACKUP_MOVE |
manage boot-volume-backups |
|
|
backup-policies |
ListVolumeBackupPolicies |
BACKUP_POLICIES_INSPECT |
inspect backup-policies |
|
GetVolumeBackupPolicy |
BACKUP_POLICIES_INSPECT |
inspect backup-policies |
|
|
UpdateVolumeBackupPolicy |
BACKUP_POLICIES_UPDATE |
use backup-policies |
|
|
CreateVolumeBackupPolicy |
BACKUP_POLICIES_CREATE |
manage backup-policies |
|
|
DeleteVolumeBackupPolicy |
BACKUP_POLICIES_DELETE |
manage backup-policies |
|
|
backup-policy-assignments |
GetVolumeBackupPolicyAssignment |
BACKUP_POLICY_ASSIGNMENT_INSPECT |
inspect backup-policy-assignments |
|
GetVolumeBackupPolicyAssetAssignment |
BACKUP_POLICY_ASSIGNMENT_INSPECT |
inspect backup-policy-assignments |
|
|
CreateVolumeBackupPolicyAssignment |
BACKUP_POLICY_ASSIGNMENT_CREATE |
manage backup-policy-assignments |
|
|
DeleteVolumeBackupPolicyAssignment |
BACKUP_POLICY_ASSIGNMENT_DELETE |
manage backup-policy-assignments |
|
|
volume-groups |
ListVolumeGroups |
VOLUME_GROUP_INSPECT |
inspect volume-groups |
|
GetVolumeGroup |
VOLUME_GROUP_INSPECT |
inspect volume-groups |
|
|
DeleteVolumeGroup |
VOLUME_GROUP_DELETE |
manage volume-groups |
|
|
UpdateVolumeGroup |
VOLUME_GROUP_UPDATE |
manage volume-groups |
|
|
CreateVolumeGroup |
VOLUME_GROUP_CREATE |
manage volume-groups |
|
|
CreateVolumeGroupBackup |
VOLUME_GROUP_INSPECT |
inspect volume-groups |
|
|
ChangeVolumeGroupCompartment |
VOLUME_GROUP_MOVE |
manage volume-groups |
|
|
volume-group-backups |
ListVolumeGroupBackups |
VOLUME_GROUP_BACKUP_INSPECT |
inspect volume-group-backups |
|
GetVolumeGroupBackup |
VOLUME_GROUP_BACKUP_INSPECT |
inspect volume-group-backups |
|
|
UpdateVolumeGroupBackup |
VOLUME_GROUP_BACKUP_UPDATE |
manage volume-group-backups |
|
|
CreateVolumeGroupBackup |
VOLUME_GROUP_BACKUP_CREATE |
manage volume-group-backups |
|
|
DeleteVolumeGroupBackup |
VOLUME_GROUP_BACKUP_DELETE |
manage volume-group-backups |
|
|
CreateVolumeGroup |
VOLUME_GROUP_BACKUP_INSPECT |
inspect volume-group-backups |
|
|
ChangeVolumeGroupBackupCompartment |
VOLUME_GROUP_BACKUP_MOVE |
manage volume-group-backups |
|
|
clusters |
ListClusters |
CLUSTER_INSPECT |
inspect clusters |
|
CreateCluster |
CLUSTER_CREATE |
manage clusters |
|
|
GetClusterKubeconfig |
CLUSTER_USE |
use clusters |
|
|
GetCluster |
CLUSTER_READ |
read clusters |
|
|
UpdateCluster |
CLUSTER_UPDATE |
manage clusters |
|
|
DeleteCluster |
CLUSTER_DELETE |
manage clusters |
|
|
AdministerK8s |
CLUSTER_MANAGE |
manage clusters |
|
|
cluster-node-pools |
ListNodePools |
CLUSTER_NODE_POOL_INSPECT |
inspect cluster-node-pools |
|
CreateNodePool |
CLUSTER_NODE_POOL_CREATE |
manage cluster-node-pools |
|
|
GetNodePool |
CLUSTER_NODE_POOL_READ |
read cluster-node-pools |
|
|
GetNodePoolOptions |
|||
|
UpdateNodePool |
CLUSTER_NODE_POOL_UPDATE |
manage cluster-node-pools |
|
|
DeleteNodePool |
CLUSTER_NODE_POOL_DELETE |
manage cluster-node-pools |