サービス・ポリシー
認可ポリシーは、テナンシ内のリソースへのアクセスを制御するために使用します。 たとえば、Oracle Content Managementインスタンスの作成と管理をユーザーに許可するポリシーを作成できます。
ポリシーは、Oracle Cloudコンソールを使用して作成します。 「ポリシーの管理」を参照してください。
次の情報は、Oracle Content Managementのサービス・ポリシーに関するものです:
Oracle Content Managementのリソース・タイプ
この表は、Oracle Content Managementのリソース・タイプを示しています。
| リソース・タイプ | 説明 |
|---|---|
| oce-instance | 単一のOracle Content Managementインスタンス。 |
| oce-instances | 1つ以上のOracle Content Managementインスタンス。 |
| oce-workrequest | Oracle Content Managementに対する単一の作業リクエスト。
Oracle Content Managementインスタンスで実行する各操作によって、作業リクエストが作成されます。 たとえば、作成、更新、終了などの操作です。 |
| oce-workrequests | Oracle Content Managementに対する1つ以上の作業リクエスト。 |
サポートされる変数
これらの変数の値は、Oracle Content Managementによって提供されます。 また、他の一般変数もサポートされています。 「すべてのリクエストの一般的な変数」を参照してください。
この表は、Oracle Content Managementでサポートされている変数を示しています。
| 変数 | タイプ | 説明 | サンプル値 |
|---|---|---|---|
| target.compartment.id | entity | リクエストのプライマリ・リソースのOCID。 | target.compartment.id = 'ocid1.compartment.oc1..<unique_ID>' |
| request.operation | 文字列 | リクエストの操作ID(たとえば、'GetUser')。 | request.operation = 'ocid1.compartment.oc1..<unique_ID>' |
| target.resource.kind | 文字列 | リクエストのプライマリ・リソースのリソース型名です。 | target.resource.kind = 'ocid1.contentexperiencecloudservice.oc1..<unique_ID>' |
動詞とリソース・タイプの組合せの詳細
Oracle Cloud Infrastructureには、Oracle Cloud Infrastructureリソース(「検査」、「読取り」、「使用」、「管理」)間の権限を定義するための動詞の標準セットが用意されています。 次の表に、各動詞に関連付けられたOracle Content Management権限を示します。 アクセス・レベルは、「検査」から「読取り」、「使用」から「管理」に移動すると累積されます。
INSPECT
| リソース・タイプ | INSPECT権限 |
|---|---|
|
|
|
|
|
|
READ
| リソース・タイプ | READ権限 |
|---|---|
|
|
|
|
|
|
USE
| リソース・タイプ | USE権限 |
|---|---|
|
|
|
|
|
|
MANAGE
| リソース・タイプ | MANAGE権限 |
|---|---|
|
|
|
|
|
|
API操作ごとに必要な権限
この表は、Oracle Content Managementで使用可能なAPI操作をリソース・タイプ別にグループ化して示しています。
| REST APIの操作 | CLIコマンド操作 | 操作の使用に必要な権限 |
|---|---|---|
| ListOceInstances | oce-instance list | OCE_INSTANCE_INSPECT |
| GetOceInstance | oce-instance get | OCE_INSTANCE_READ |
| CreateOceInstance | oce-instance create | OCE_INSTANCE_CREATE |
| DeleteOceInstance | oce-instance delete | OCE_INSTANCE_DELETE |
| UpdateOceInstance | oce-instance update | OCE_INSTANCE_UPDATE |
| ChangeOceInstanceCompartment | oce-instance change-compartment | OCE_INSTANCE_UPDATE |
| ListWorkRequests | work-request list | OCE_INSTANCE_WORKREQUEST_INSPECT |
| GetWorkRequest | work-request get | OCE_INSTANCE_WORKREQUEST_READ |
| ListWorkRequestErrors | work-request-error list | OCE_INSTANCE_WORKREQUEST_INSPECT |
| ListWorkRequestLogs | work-request-log list | OCE_INSTANCE_WORKREQUEST_INSPECT |
Oracle Content Managementインスタンスを管理するためのポリシー・ステートメントの例
Oracle Content Managementインスタンスへのアクセスを認可するために使用する一般的なポリシー・ステートメントを次に示します。
テナンシのポリシーを作成するときは、「ポリシー継承」経由ですべてのコンパートメントへのアクセス権をユーザーに付与します。 または、個々のOracle Content Managementインスタンスまたはコンパートメントへのアクセスを制限できます。
管理者グループのユーザーがOracle Content Managementインスタンスを完全に管理できるようにします
# Full admin permissions (CRUD)
allow group Administrators to manage oce-instances in tenancy
allow group Administrators to manage oce-workrequests in tenancy# Full admin permissions (CRUD) using family
allow group Administrators to manage oce-instance-family in tenancygroup1グループのユーザーがOracle Content Managementインスタンスおよび関連する作業リクエストを検査できるようにします
# Inspect permissions (list oce instances and work requests) using metaverbs:
allow group group1 to inspect oce-instances in tenancy
allow group group1 to inspect oce-workrequests in tenancy# Inspect permissions (list oce instances and work requests) using permission names:
allow group group1 to {OCE_INSTANCE_INSPECT} in tenancy
allow group group1 to {OCE_INSTANCE_WORKREQUEST_INSPECT} in tenancygroup2グループのユーザーに、Oracle Content Managementインスタンスおよびその関連作業リクエストの詳細の読取りを許可
# Read permissions (read complete oce instance and work request metadata) using metaverbs:
allow group group2 to read oce-instances in tenancy
allow group group2 to read oce-workrequests in tenancy# Read permissions (read complete oce instance and work request metadata) using permission names:
allow group group2 to {OCE_INSTANCE_INSPECT, OCE_INSTANCE_READ} in tenancy
allow group group2 to {OCE_INSTANCE_WORKREQUEST_INSPECT, OCE_INSTANCE_WORKREQUEST_READ} in tenancygroup3グループのユーザーがすべてのOracle Content Managementインスタンスを読み取り、関連する作業リクエストを読み取らせます
# Use permissions (read on oce instance, read on work request) using metaverbs:
allow group group3 to use oce-instances in tenancy
allow group group3 to read oce-workrequests in tenancy# Use permissions (read on oce instance, read on work request) using permission names:
allow group group3 to {OCE_INSTANCE_INSPECT, OCE_INSTANCE_READ, OCE_INSTANCE_UPDATE} in tenancy
allow group group3 to {OCE_INSTANCE_WORKREQUEST_INSPECT, OCE_INSTANCE_WORKREQUEST_READ} in tenancygroup4グループのユーザーがOracle Content Managementインスタンスおよび関連する作業リクエストを管理できるようにします
# Manage permissions (use/delete on oce instance, read/cancel on work request) using metaverbs:
allow group group4 to manage oce-instances in tenancy
allow group group4 to manage oce-workrequests in tenancy# Manage permissions (use/delete on oce instance, read/cancel on work request) using permission names:
allow group group4 to {OCE_INSTANCE_INSPECT, OCE_INSTANCE_READ, OCE_INSTANCE_UPDATE,OCE_INSTANCE_CREATE, OCE_INSTANCE_DELETE} in tenancy
allow group group4 to {OCE_INSTANCE_WORKREQUEST_INSPECT, OCE_INSTANCE_WORKREQUEST_READ} in tenancy