機械翻訳について
  1. Oracle Cloud Infrastructure US Government CloudでのOracle Integration Generation 2の使用
  2. Oracle Cloud Infrastructure US Government Cloudでのユーザーおよびグループの設定
  3. インスタンスを作成および管理するためのアクセスの構成
  4. Oracle Integrationサービス・ロール・グループへのポリシーの割当

Oracle Integrationサービス・ロール・グループへのポリシーの割当て

Oracle Integrationインスタンスを作成した後、必要なOracle Integrationサービス・ロールおよびスコープごとにポリシーを作成して割り当てます。

Oracle Integration権限をOracle Cloud Infrastructureユーザーに拡張するには、キーOracle Integrationロールのグループを作成し、そのグループにユーザーを追加し、指定したリソースおよびアクセス権をグループ内のユーザーに付与するポリシーを作成します。

Oracle Integrationには、機能へのアクセスを制御するサービス・ロールの標準セットが用意されています。 「Oracle Integrationサービスのロール」を参照してください。

ポリシーをOracle Integrationサービス・ロール・グループに割り当てるには:

  1. 適切なグループおよびユーザーを作成します。 「Oracle Cloud Infrastructureグループおよびユーザーの作成」を参照してください。

    組織で使用するOracle Integration機能によっては、一部またはすべてのロールに対してグループを作成する必要がある場合があります。 たとえば、次のようにグループを作成し、名前を付けます:

    • OICServiceAdministrators:サービス・インスタンスの管理権限を付与

    • OICServiceDevelopers:サービス・インスタンス内の開発者権限を付与

    • OICServiceInvokers:サービス起動権限を1つのインスタンスにのみ付与

    • 1つ以上のインスタンスにモニターのみ権限を付与するにはOICServiceMonitors

  2. 適切なポリシーを作成します。 「Oracle Cloud Infrastructureポリシーの作成」を参照してください。

    構文: allow group group_name to be service_role for resource-type in compartment compartment-name

    ノート:

    オプションのwhere句を含めることで、指定したインスタンスへのアクセスを制限することもできます。
    説明 ポリシーの例

    コンパートメントのServiceAdministratorロールを付与

    allow group OICAdminGroup to be ServiceAdministrator for integration-instances in compartment OICCompartment

    コンパートメントのServiceDeveloperロールを付与

    allow group OICDeveloperGroup to be ServiceDeveloper for integration-instances in compartment OICCompartment

    Oracle IntegrationインスタンスのServiceInvokerロールを付与

    allow group OICInvokerGroup to be ServiceInvoker for integration-instances in compartment OICCompartment

    where all {target.app.name='test-instance1', target.app.type='integration-instances'}

    ここでは、where句によって、グループOICInvokerGroupに割り当てられたユーザーに、ServiceInvokerロールがインスタンス名で識別され、OICCompartmentで作成された1つのOracle Integrationインスタンスに付与されます。

    2つのOracle Integrationインスタンスに対してServiceMonitorロールを付与

    allow group OICMonitorGroup to be ServiceMonitor for integration-instances in compartment OICCompartment

    where any {target.app.name='test-instance1', target.app.name='instance-prod-1'}

    このポリシーは、OICCompartmentでそれぞれの名前で識別される2つのインスタンスを介して、ServiceMonitorロールをOICMonitorGroupグループに付与します。