クラスタおよびタグ・ネームスペースが異なるコンパートメントにある場合の追加のIAMポリシー

Container Engine for Kubernetes (OKE)の使用時に、あるコンパートメントに属するタグ・ネームスペースから別のコンパートメントに属するクラスタ関連リソースに定義済タグを適用する場合に作成する必要がある追加のIAMポリシーについて学習します。

1つのコンパートメントに属するタグ・ネームスペースから、別のコンパートメントに属するクラスタ関連リソースに定義済タグを適用するには、IAMポリシーに次のようなポリシー・ステートメントを含める必要があります:

Allow any-user to use tag-namespace in tenancy where all {request.principal.type = 'cluster'}

このポリシー・ステートメントが許容しすぎると考えられる場合は、タグ・ネームスペースが属するコンパートメントを明示的に指定したり、別のコンパートメントに属するクラスタを明示的に指定したりする権限を制限できます。例:

Allow any-user to use tag-namespace in compartment <compartment-ocid> where all { request.principal.id = '<cluster-ocid>' }