認可ポリシーを使用してテナンシ内のリソースへのアクセスを制御します。たとえば、ユーザーにOracle Content Managementインスタンスの作成と管理を認可するポリシーを作成できます。
Infrastructureコンソールを使用してポリシーを作成します。ポリシーの管理を参照してください。
次の情報は、Oracle Content Managementのサービス・ポリシーに関連しています:
この表は、Oracle Content Managementのリソース・タイプをリストしています。
| リソース・タイプ | 説明 |
|---|---|
| oce-instance | 単一のOracle Content Managementインスタンス。 |
| oce-instances | 1つ以上のOracle Content Managementインスタンス。 |
| oce-workrequest | Oracle Content Managementの単一の作業リクエスト。
Oracle Content Managementインスタンスで実行する操作ごとに、作業リクエストが作成されます。たとえば、作成、更新、終了などの操作です。 |
| oce-workrequests | Oracle Content Managementの1つ以上の作業リクエスト。 |
これらの変数の値は、Oracle Content Managementから提供されています。さらに、他の一般的な変数もサポートされています。すべてのリクエストの一般的な変数を参照してください。
この表は、Oracle Content Managementでサポートされている変数をリストしています。
| 変数 | タイプ | 説明 | サンプル値 |
|---|---|---|---|
| target.compartment.id | エンティティ | リクエストのプライマリ・リソースのOCID。 | target.compartment.id = 'ocid1.compartment.oc1..<unique_ID>' |
| request.operation | 文字列 | リクエストの操作ID(たとえば、'GetUser')。 | request.operation = 'ocid1.compartment.oc1..<unique_ID>' |
| target.resource.kind | 文字列 | リクエストのプライマリ・リソースのリソース種類名。 | target.resource.kind = 'ocid1.contentexperiencecloudservice.oc1..<unique_ID>' |
Oracle Cloud Infrastructureでは、Oracle Cloud Infrastructureリソース全体の権限を定義する動詞の標準セットを提供しています(Inspect、Read、Use、Manage)。次の表は、各動詞に関連付けられているOracle Content Management権限を示しています。アクセスのレベルは、InspectからRead、Use、Manageの順に累積します。
INSPECT
| リソース・タイプ | INSPECT権限 |
|---|---|
|
|
|
|
|
|
READ
| リソース・タイプ | READ権限 |
|---|---|
|
|
|
|
|
|
USE
| リソース・タイプ | USE権限 |
|---|---|
|
|
|
|
|
|
MANAGE
| リソース・タイプ | MANAGE権限 |
|---|---|
|
|
|
|
|
|
この表は、リソース・タイプ別にグループ化された、Oracle Content Managementに使用可能なAPI操作を示します。
| REST API操作 | CLIコマンド操作 | 操作の使用に必要な権限 |
|---|---|---|
| ListOceInstances | oce-instance list | OCE_INSTANCE_INSPECT |
| GetOceInstance | oce-instance get | OCE_INSTANCE_READ |
| CreateOceInstance | oce-instance create | OCE_INSTANCE_CREATE |
| DeleteOceInstance | oce-instance delete | OCE_INSTANCE_DELETE |
| UpdateOceInstance | oce-instance update | OCE_INSTANCE_UPDATE |
| ChangeOceInstanceCompartment | oce-instance change-compartment | OCE_INSTANCE_UPDATE |
| ListWorkRequests | work-request list | OCE_INSTANCE_WORKREQUEST_INSPECT |
| GetWorkRequest | work-request get | OCE_INSTANCE_WORKREQUEST_READ |
| ListWorkRequestErrors | work-request-error list | OCE_INSTANCE_WORKREQUEST_INSPECT |
| ListWorkRequestLogs | work-request-log list | OCE_INSTANCE_WORKREQUEST_INSPECT |
次に、Oracle Content Managementインスタンスへのアクセスを認可する際に使用する一般的なポリシー文を示します。
テナンシのポリシーを作成した場合、ポリシーの継承によってすべてのコンパートメントへのアクセス権をユーザーに付与します。あるいは、個々のOracle Content Managementインスタンスまたはコンパートメントにアクセスを制限することもできます。
管理者グループのユーザーにOracle Content Managementインスタンスを完全に管理させる
# Full admin permissions (CRUD) allow group Administrators to manage oce-instances in tenancy allow group Administrators to manage oce-workrequests in tenancy
# Full admin permissions (CRUD) using family allow group Administrators to manage oce-instance-family in tenancy
group1グループのユーザーにOracle Content Managementインスタンスおよび関連する作業リクエストを調査させる
# Inspect permissions (list oce instances and work requests) using metaverbs: allow group group1 to inspect oce-instances in tenancy allow group group1 to inspect oce-workrequests in tenancy
# Inspect permissions (list oce instances and work requests) using permission names:
allow group group1 to {OCE_INSTANCE_INSPECT} in tenancy
allow group group1 to {OCE_INSTANCE_WORKREQUEST_INSPECT} in tenancy
group2グループのユーザーにOracle Content Managementインスタンスおよび関連する作業リクエストに関する詳細の読取りを行わせる
# Read permissions (read complete oce instance and work request metadata) using metaverbs: allow group group2 to read oce-instances in tenancy allow group group2 to read oce-workrequests in tenancy
# Read permissions (read complete oce instance and work request metadata) using permission names:
allow group group2 to {OCE_INSTANCE_INSPECT, OCE_INSTANCE_READ} in tenancy
allow group group2 to {OCE_INSTANCE_WORKREQUEST_INSPECT, OCE_INSTANCE_WORKREQUEST_READ} in tenancy
group3グループのユーザーにすべてのOracle Content Managementインスタンスの読取りおよび関連する作業リクエストの読取りを行わせる
# Use permissions (read on oce instance, read on work request) using metaverbs: allow group group3 to use oce-instances in tenancy allow group group3 to read oce-workrequests in tenancy
# Use permissions (read on oce instance, read on work request) using permission names:
allow group group3 to {OCE_INSTANCE_INSPECT, OCE_INSTANCE_READ, OCE_INSTANCE_UPDATE} in tenancy
allow group group3 to {OCE_INSTANCE_WORKREQUEST_INSPECT, OCE_INSTANCE_WORKREQUEST_READ} in tenancy
group4グループのユーザーにOracle Content Managementインスタンスおよび関連する作業リクエストを管理させる
# Manage permissions (use/delete on oce instance, read/cancel on work request) using metaverbs: allow group group4 to manage oce-instances in tenancy allow group group4 to manage oce-workrequests in tenancy
# Manage permissions (use/delete on oce instance, read/cancel on work request) using permission names:
allow group group4 to {OCE_INSTANCE_INSPECT, OCE_INSTANCE_READ, OCE_INSTANCE_UPDATE,OCE_INSTANCE_CREATE, OCE_INSTANCE_DELETE} in tenancy
allow group group4 to {OCE_INSTANCE_WORKREQUEST_INSPECT, OCE_INSTANCE_WORKREQUEST_READ} in tenancy