定義済タグによる分類
この項では、定義済タグの動作方法および必要な権限について説明します。
タグ・ネームスペースおよびキー
定義済タグにより、フリー・フォーム・タグより多くの機能やコントロールが提供されます。 定義済のタグ・キーを作成する前に、まずそれに対して「タグ・ネームスペース」を設定します。 タグ・ネームスペースは、「タグ・キー」のセットのコンテナと考えることができます。 各ネームスペース内で、タグ・キーは一意である必要がありますが、タグ・キー名はネームスペース間で繰り返すことができます。 タグ・キー定義を作成する場合は、値のタイプを選択する必要があります。これにより、タグを適用するユーザーが値を追加する方法も決まります:
-
ユーザーが値を入力できるように空のままにできます。
-
ユーザーが値から選択できるように値リストを作成できます。
定義済のタグをリソースに適用するには、まずタグ・ネームスペースを選択し、次にネームスペース内のタグ・キーを選択し、次に値を割り当てることができます。 タグ・キーに空白値が含まれている場合、ユーザーは値を入力することも、空白のままにすることもできます。 タグ・キーにリストが含まれている場合は、リストから値を選択する必要があります。
定義済タグでは、誰が定義済タグを適用できるかを制御できるポリシーがサポートされています。 タグ・ネームスペースは、ポリシーを適用できるエンティティです。 管理者は、各ネームスペースを使用できるユーザーのグループを制御できます。
定義済タグを使用するための権限
タグ・ネームスペースおよびキー定義の設定と管理は、管理者の責任です。 タグ・ネームスペースの完全な管理権限が必要です。
リソースの定義済タグを適用、更新または削除するには、操作する必要があるタグ・ネームスペースに対するuse
アクセス権がユーザーに付与されている必要があります。 ユーザーは、タグを適用するリソースを更新する権限も持っている必要があります。 多くのリソースでは、更新権限はuse
動詞で付与されます。 たとえば、CompartmentAでuse
インスタンスを実行できるユーザーは、それらのインスタンスの定義済タグを適用、更新または削除することもできます。 use
動詞で更新権限を含まないリソースの場合、manage
動詞からの更新権限のみを付与するポリシー・ステートメントを作成できます。
次に、タグ付けに関連するポリシー・ステートメントの例を示します:
-
管理者は、タグ・ネームスペースおよびキーの定義を許可する必要があります。
Allow group TagAdmins to manage tag-namespaces in tenancy
-
ユーザーには、テナンシ内のすべてのネームスペースまたはサブセットからタグを適用する権限が付与されます。
Allow group GroupA to use tag-namespaces in tenancy
または
Allow group GroupA to use tag-namespaces in tenancy where target.tag-namespace.name='Operations'
または
Allow group GroupA to use tag-namespaces in tenancy where any {target.tag-namespace.name='Operations', target.tag-namespace.name='Support'}
-
ユーザーには、タグを適用するためにリソースを更新する権限が付与されます。
Allow group GroupA to use instance-family in compartment CompartmentA
または
Allow group GroupA to use vcns in compartment CompartmentA Allow group GroupA to manage vcns in compartment CompartmentA where request.permission='VCN_UDPATE'