共通ポリシー

この項には、組織で使用する共通のポリシーがいくつか含まれています。

ノート

これらのポリシーでは、グループ名とコンパートメント名の例が使用されます。ユーザー固有の名前に置換してください。

ヘルプ・デスクによるユーザーの管理

アクセス・タイプ:ユーザーとその資格証明を作成、更新および削除する機能。ユーザーをグループに含める機能は含まれていません(グループ管理者によるグループ・メンバーシップの管理を参照)。

ポリシーを作成する場所: テナンシにユーザーが存在するため、テナンシ。

Allow group HelpDesk to manage users in tenancy
監査者によるリソースの検査

アクセス・タイプ:すべてのコンパートメントのリソースをリストする機能。次の点に注意:

  • IAMポリシーをリストする操作には、ポリシー自体のコンテンツが含まれます
  • ネットワーキング・リソース・タイプのリスト操作はすべての情報(たとえば、セキュリティ・リストおよびルート表の内容)を返します
  • インスタンスをリストする操作には、inspectではなくread動詞が必要で、コンテンツにはユーザーが指定したメタデータが含まれます。
  • 監査サービス・イベントを表示する操作には、inspectではなくread動詞が必要です。

ポリシーを作成する場所: テナンシ内。ポリシー継承の概念上、監査者はテナンシとその下にあるすべてのコンパートメントの両方を検査できます。または、特定のコンパートメントに対してのみ監査者のアクセス権を付与することもできます(テナンシ全体へのアクセス権が不要な場合)。

Allow group Auditors to inspect all-resources in tenancy

Allow group Auditors to read instances in tenancy

Allow group Auditors to read audit-events in tenancy
ネットワーク管理者によるクラウド・ネットワークの管理

アクセス・タイプ:ネットワーキング内のすべてのコンポーネントを管理する機能。これには、クラウド・ネットワーク、サブネット、ゲートウェイ、仮想回線、セキュリティ・リスト、ルート表などが含まれます。ネットワーク接続をテストするためにネットワーク管理者がインスタンスを起動する必要がある場合は、このページでユーザーによるコンピュート・インスタンスの起動を参照してください。

ポリシーを作成する場所: テナンシ内。ポリシー継承の概念上、NetworkAdminsは任意のコンパートメントでクラウド・ネットワークを管理できます。特定のコンパートメントへのアクセスの範囲を減らすには、テナンシのかわりにコンパートメントを指定します。

Allow group NetworkAdmins to manage virtual-network-family in tenancy
ネットワーク管理者によるロード・バランサの管理

アクセス・タイプ:ロード・バランシングのすべてのコンポーネントを管理する機能。グループがインスタンスを起動する必要がある場合は、このページでユーザーによるコンピュート・インスタンスの起動を参照してください。

ポリシーを作成する場所: テナンシ内。ポリシー継承の概念により、NetworkAdminsは、任意のコンパートメント内のロード・バランサを管理できます。特定のコンパートメントへのアクセスの範囲を減らすには、テナンシのかわりにコンパートメントを指定します。

Allow group NetworkAdmins to manage load-balancers in tenancy

グループがコンソールを使用してロード・バランサを管理する場合は、関連するネットワーキング・リソースを使用するための追加のポリシーが必要です。

Allow group NetworkAdmins to manage load-balancers in tenancy

Allow group NetworkAdmins to use virtual-network-family in tenancy

特定のグループが既存のロード・バランサを更新する(たとえば、バックエンド・セットを変更する)必要があるが、作成や削除はする必要がない場合は、次のステートメントを使用します。

Allow group LBUsers to use load-balancers in tenancy
ユーザーによるコンピュート・インスタンスの起動

アクセス・タイプ:クラウド・ネットワークに起動したインスタンスおよびコンパートメントXYZのサブネットのすべての操作を実行し、コンパートメントABCにすでに存在する既存のボリュームをアタッチ/デタッチする機能。最初のステートメントでは、グループがコンパートメントABCにインスタンス・イメージを作成および管理することもできます。グループでボリュームをアタッチ/デタッチする必要がない場合は、3番目のステートメントを削除できます。

ポリシーを作成する場所:このポリシーをテナンシに配置する方法が最も簡単です。各コンパートメント(ABCおよびXYZ)の管理者が、コンパートメントの個々のポリシー・ステートメントを制御できるようにするには、ポリシー・アタッチメントを参照してください。

Allow group InstanceLaunchers to manage instance-family in compartment ABC

Allow group InstanceLaunchers to read app-catalog-listing in tenancy

Allow group InstanceLaunchers to use volume-family in compartment ABC

Allow group InstanceLaunchers to use virtual-network-family in compartment XYZ
ユーザーによる専用仮想マシンのコンピュート・ホストの管理

アクセス・タイプ:専用仮想マシン・ホストを作成、更新および削除する機能、および専用仮想マシン・ホストのインスタンスを起動する機能。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメントの専用仮想マシン・ホストおよびインスタンスのみにアクセス範囲を減らすには、テナンシのかわりに、そのコンパートメントを指定します。

Allow group DedicatedVMHostAdmins to manage dedicated-vm-hosts in tenancy

Allow group DedicatedVMHostAdmins to manage instances in tenancy
ユーザーによる専用仮想マシン・ホストのコンピュート・インスタンスの起動

アクセス・タイプ:専用仮想マシン・ホストのインスタンスを起動する機能。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメントの専用仮想マシン・ホストおよびインスタンスのみにアクセス範囲を減らすには、テナンシのかわりに、そのコンパートメントを指定します。

Allow group DedicatedVMHostAdmins to use dedicated-vm-hosts in tenancy

Allow group DedicatedVMHostAdmins to manage instances in tenancy
ユーザーによるコンピュート・インスタンスの構成、インスタンス・プールおよびクラスタ・ネットワークの管理

アクセス・タイプ:すべてのコンパートメントでインスタンス構成、インスタンス・プールおよびクラスタ・ネットワークをすべて処理する機能。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメントのインスタンス構成、インスタンス・プールおよびクラスタ・ネットワークにアクセスの範囲を狭めるには、テナンシのかわりに対象のコンパートメントを指定します。

Allow group InstancePoolAdmins to manage compute-management-family in tenancy

グループがテンプレートとして既存のインスタンスを使用してインスタンス構成を作成する必要があり、API、SDK、またはコマンドライン・インタフェース(CLI)を使用してこれを行う場合は、次のステートメントをポリシーに追加します。

Allow group InstancePoolAdmins to read instance-family in tenancy

Allow group InstancePoolAdmins to inspect volumes in tenancy

特定のグループが既存のインスタンス・プールのインスタンスを起動、停止またはリセットする必要があるが、インスタンス・プールを作成または削除する必要がない場合は、次のステートメントを使用します。

Allow group InstancePoolUsers to use instance-pools in tenancy
ユーザーによるCompute自動スケーリング構成の管理

アクセス・タイプ:自動スケーリング構成を作成、更新および削除する機能。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメントの自動スケーリング構成のみにアクセス範囲を減らすには、テナンシのかわりに対象のコンパートメントを指定します。

Allow group AutoscalingAdmins to manage auto-scaling-configurations in tenancy

Allow group AutoscalingAdmins to manage instance-pools in tenancy
ユーザーによるパートナ・イメージ・カタログのイメージのリスト化およびサブスクライブ

アクセス・タイプ:パートナ・イメージ・カタログ内のイメージのサブスクリプションをリストし、作成する機能。パートナ・イメージ・カタログのイメージを使用してインスタンスを作成する機能は含まれていません(ユーザーによるコンピュート・インスタンスの起動を参照)。

ポリシーを作成する場所: テナンシ内。特定のコンパートメントのサブスクリプションの作成のみにアクセス範囲を狭めるには、3番目のステートメントでテナンシのかわりにそのコンパートメントを指定します。

Allow group CatalogSubscribers to inspect app-catalog-listing in tenancy

Allow group CatalogSubscribers to read app-catalog-listing in tenancy

Allow group CatalogSubscribers to manage app-catalog-listing in tenancy
ボリューム管理者によるブロック・ボリューム、バックアップおよびボリューム・グループの管理

アクセス・タイプ:リージョン間でボリューム・バックアップをコピーする場合を除き、すべてのコンパートメントのブロック・ストレージ・ボリューム、ボリューム・バックアップおよびボリューム・グループのすべての操作を実行する機能。これは、単一セットのボリューム管理者がすべてのコンパートメントのすべてのボリューム、ボリューム・バックアップおよびボリューム・グループを管理する場合に意味を持ちます。インスタンスからボリュームをアタッチ/デタッチするには、2番目のステートメントが必要です。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメントのボリューム/バックアップおよびインスタンスのみにアクセス範囲を減らすには、テナンシのかわりにそのコンパートメントを指定します。

Allow group VolumeAdmins to manage volume-family in tenancy

Allow group VolumeAdmins to use instance-family in tenancy

グループがリージョン間でボリューム・バックアップおよびブート・ボリューム・バックアップをコピーする必要もある場合、次のステートメントをポリシーに追加します:

Allow group VolumeAdmins to use volume-backups in tenancy where request.permission='VOLUME_BACKUP_COPY'
Allow group VolumeAdmins to use boot-volume-backups in tenancy where request.permission='BOOT_VOLUME_BACKUP_COPY'
ボリューム・バックアップ管理者によるバックアップのみの管理

アクセス・タイプ:ボリューム・バックアップのすべての操作を実行する機能。ボリューム自体の作成や管理はできません。これは、単一セットのボリューム・バックアップ管理者がすべてのコンパートメントのすべてのボリューム・バックアップを管理する場合に意味を持ちます。最初のステートメントは、バックアップされるボリュームに必要なアクセスを付与し、2番目のステートメントではバックアップの作成(およびバックアップの削除)が可能です。3番目のステートメントでは、ユーザー定義のバックアップ・ポリシーの作成と管理が可能です。4番目のステートメントでは、バックアップ・ポリシーの割当ておよび削除が可能です。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメント内のボリュームおよびバックアップのみにアクセス範囲を減らすには、テナンシのかわりにそのコンパートメントを指定します。

Allow group VolumeBackupAdmins to use volumes in tenancy

Allow group VolumeBackupAdmins to manage volume-backups in tenancy

Allow group VolumeBackupAdmins to manage backup-policies in tenancy

Allow group VolumeBackupAdmins to manage backup-policy-assignments in tenancy

グループがコンソールを使用する場合、次のポリシーによりユーザー・エクスペリエンスが向上します。

Allow group VolumeBackupAdmins to use volumes in tenancy

Allow group VolumeBackupAdmins to manage volume-backups in tenancy

Allow group VolumeBackupAdmins to inspect volume-attachments in tenancy

Allow group VolumeBackupAdmins to inspect instances in tenancy

Allow group VolumeBackupAdmins to manage backup-policies in tenancy

Allow group VolumeBackupAdmins to manage backup-policy-assignments in tenancy

最後の2つのステートメントは、ボリューム・バックアップを管理するために必要ありません。ただし、コンソールで特定のボリュームに関するすべての情報および使用可能なバックアップ・ポリシーを表示できます。

ブート・ボリューム・バックアップ管理者によるバックアップのみの管理

アクセス・タイプ: ブート・ボリューム・バックアップのすべての操作を実行する機能。ブート・ボリューム自体の作成と管理はできません。これは、単一セットのブート・ボリューム・バックアップ管理者がすべてのコンパートメントのすべてのブート・ボリューム・バックアップを管理する場合に意味を持ちます。最初のステートメントは、バックアップされるブート・ボリュームに必要なアクセスを付与し、2番目のステートメントはバックアップの作成(およびバックアップの削除)を可能にします。3番目のステートメントでは、ユーザー定義のバックアップ・ポリシーの作成と管理が可能です。4番目のステートメントでは、バックアップ・ポリシーの割当ておよび削除が可能です。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメント内のブート・ボリュームおよびバックアップのみにアクセス範囲を減らすには、テナンシのかわりにそのコンパートメントを指定します。

Allow group BootVolumeBackupAdmins to use volumes in tenancy

Allow group BootVolumeBackupAdmins to manage boot-volume-backups in tenancy

Allow group BootVolumeBackupAdmins to manage backup-policies in tenancy

Allow group BootVolumeBackupAdmins to manage backup-policy-assignments in tenancy

グループがコンソールを使用する場合、次のポリシーによりユーザー・エクスペリエンスが向上します。

Allow group BootVolumeBackupAdmins to use volumes in tenancy

Allow group BootVolumeBackupAdmins to manage boot-volume-backups in tenancy

Allow group BootVolumeBackupAdmins to inspect instances in tenancy

Allow group BootVolumeBackupAdmins to manage backup-policies in tenancy

Allow group BootVolumeBackupAdmins to manage backup-policy-assignments in tenancy

最後の2つのステートメントは、ボリューム・バックアップを管理するために必要ありません。ただし、コンソールで特定のブート・ボリュームに関するすべての情報および使用可能なバックアップ・ポリシーを表示できます。

ユーザーによるボリューム・グループの作成

アクセス・タイプ:ボリューム・グループをボリューム・セットから作成する機能。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメント内のボリュームおよびボリューム・グループのみにアクセス範囲を減らすには、テナンシのかわりにそのコンパートメントを指定します。

Allow group VolumeGroupCreators to inspect volumes in tenancy
Allow group VolumeGroupCreators to manage volume-groups in tenancy
ユーザーによるボリューム・グループのクローニング

アクセス・タイプ:既存のボリューム・グループからボリューム・グループをクローニングする機能。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメント内のボリュームおよびボリューム・グループのみにアクセス範囲を減らすには、テナンシのかわりにそのコンパートメントを指定します。

Allow group VolumeGroupCloners to inspect volumes in tenancy
Allow group VolumeGroupCloners to manage volume-groups in tenancy
Allow group VolumeGroupCloners to manage volumes in tenancy
ユーザーによるボリューム・グループ・バックアップの作成

アクセス・タイプ:ボリューム・グループ・バックアップを作成する機能。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメントにあるボリューム/バックアップおよびボリューム・グループ/ボリューム・グループ・バックアップのみにアクセス範囲を減らすには、テナンシのかわりに、そのコンパートメントを指定します。

Allow group VolumeGroupBackupAdmins to inspect volume-groups in tenancy
Allow group VolumeGroupBackupAdmins to manage volumes in tenancy
Allow group VolumeGroupBackupAdmins to manage volume-group-backups in tenancy
Allow group VolumeGroupBackupAdmins to manage volume-backups in tenancy
ユーザーによるボリューム・グループ・バックアップのリストア

アクセス・タイプ:ボリューム・グループ・バックアップをリストアしてボリューム・グループを作成する機能。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメントにあるボリューム/バックアップおよびボリューム・グループ/ボリューム・グループ・バックアップのみにアクセス範囲を減らすには、テナンシのかわりに、そのコンパートメントを指定します。

Allow group VolumeGroupBackupAdmins to inspect volume-group-backups in tenancy
Allow group VolumeGroupBackupAdmins to read volume-backups in tenancy
Allow group VolumeGroupBackupAdmins to manage volume-groups in tenancy
Allow group VolumeGroupBackupAdmins to manage volumes in tenancy
ユーザーによるファイル・システムの作成、管理および削除

アクセス・タイプ:ファイル・システムを作成、管理または削除する機能。ファイル・システムの管理機能には、名前の変更や削除、またはファイル・システムからの切断などが含まれます。

ポリシーを作成する場所:ファイル・システムを作成、管理または削除する機能をポリシー継承を介してすべてのコンパートメントに容易に付与できるようにするため、テナンシ。これらの管理機能の有効範囲を特定のコンパートメント内のファイル・システムに限定するには、テナンシのかわりにそのコンパートメントを指定します。

Allow group StorageAdmins to manage file-family in tenancy
ユーザーによるファイル・システムの作成

アクセス・タイプ:ファイル・システムを作成する機能。

ポリシーを作成する場所:ファイル・システムを作成する機能がポリシー継承を介してすべてのコンパートメントに容易に付与されるようにするため、テナンシ。これらの管理機能の有効範囲を特定のコンパートメント内のファイル・システムに限定するには、テナンシのかわりにそのコンパートメントを指定します。

Allow group Managers to manage file-systems in tenancy

Allow group Managers to read mount-targets in tenancy

2つ目のステートメントは、ユーザーがコンソールを使用してファイル・システムを作成する場合に必要です。コンソールに、新しいファイル・システムを関連付けることができるマウント・ターゲットのリストを表示できます。

オブジェクト・ストレージ管理者によるバケットおよびオブジェクトの管理

アクセス・タイプ:すべてのコンパートメントのオブジェクト・ストレージ・バケットおよびオブジェクトのすべての操作を実行する機能。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメント内のバケットおよびオブジェクトのみにアクセス範囲を減らすには、テナンシのかわりにそのコンパートメントを指定します。

Allow group ObjectAdmins to manage buckets in tenancy

Allow group ObjectAdmins to manage objects in tenancy
ユーザーによるオブジェクトのオブジェクト・ストレージ・バケットへの書込み

アクセス・タイプ:コンパートメントABCの任意のオブジェクト・ストレージ・バケットにオブジェクトを書き込む機能(クライアントが定期的にログ・ファイルをバケットに書き込む必要がある場合が考えられます)。これには、コンパートメント内のバケットのリスト、バケット内のオブジェクトのリスト、およびバケット内の新規オブジェクトの作成が含まれます。2つ目のステートメントでは、manage動詞による広範なアクセス権を付与しますが、このアクセス権はステートメントの末尾の条件を使用したOBJECT_INSPECTおよびOBJECT_CREATE 権限のみにスコープ指定されます。

ポリシーを作成する場所:このポリシーをテナンシに配置する方法が最も簡単です。コンパートメントABCの管理者がポリシーを制御するには、ポリシー・アタッチメントを参照してください。

Allow group ObjectWriters to read buckets in compartment ABC

Allow group ObjectWriters to manage objects in compartment ABC where any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}

特定のバケットに限定されたアクセス:特定のコンパートメント内の特定のバケットへのアクセスを制限するには、条件where target.bucket.name='<bucket_name>'を追加します。次のポリシーによって、ユーザーは特定のコンパートメント内のすべてのバケットをリストできますが、リストできるのはBucketAのオブジェクトのみで、BucketAにのみオブジェクトをアップロードできます。

Allow group ObjectWriters to read buckets in compartment ABC

Allow group ObjectWriters to manage objects in compartment ABC where all {target.bucket.name='BucketA', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}}

条件の使用の詳細は、高度なポリシーの機能を参照してください。

ユーザーによるオブジェクト・ストレージ・バケットからのオブジェクトのダウンロード

アクセス・タイプ:コンパートメントABCの任意のオブジェクト・ストレージ・バケットからオブジェクトをダウンロードする機能。これには、コンパートメント内のバケットのリスト、バケット内のオブジェクトのリスト、およびバケット内の既存オブジェクトの読取りが含まれます。

ポリシーを作成する場所:このポリシーをテナンシに配置する方法が最も簡単です。コンパートメントABCの管理者がポリシーを制御するには、ポリシー・アタッチメントを参照してください。

Allow group ObjectReaders to read buckets in compartment ABC

Allow group ObjectReaders to read objects in compartment ABC

特定のバケットに限定されたアクセス:特定のコンパートメント内の特定のバケットへのアクセスを制限するには、条件where target.bucket.name='<bucket_name>'を追加します。次のポリシーによって、ユーザーは特定のコンパートメントのすべてのバケットをリストできますが、BucketAのオブジェクトのみを読み取ることができ、BucketAからのダウンロードのみ可能です。

Allow group ObjectReaders to read buckets in compartment ABC

Allow group ObjectReaders to read objects in compartment ABC where target.bucket.name='BucketA'

条件の使用の詳細は、高度なポリシーの機能を参照してください。

データベース管理者によるDBシステムの管理

アクセス・タイプ:すべてのコンパートメントのDBシステム・リソースのすべての操作を実行する機能。これは、単一セットのデータベース管理者がすべてのコンパートメントのすべてのベア・メタル、仮想マシンおよびExadata DBシステムを管理する場合に意味を持ちます。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメント内のデータベース・システムのみにアクセス範囲を狭めるには、テナンシのかわりにそのコンパートメントを指定します。

Allow group DatabaseAdmins to manage database-family in tenancy
データベース管理者によるExadata Cloud@Customerインスタンスの管理

アクセス・タイプ: すべてのコンパートメントのExadata Cloud@Customerソースのすべての操作を実行する機能。これは、単一セットのデータベース管理者がすべてのコンパートメントのすべてのExadata Cloud@Customerシステムを管理する場合に意味を持ちます。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。Exadata Cloud @Customerのみにアクセス範囲を狭めるには

特定のコンパートメント内のシステム、テナンシのかわりにそのコンパートメントを指定します。

Allow group ExaCCAdmins to manage database-family in tenancy
データベース管理者およびフリート管理者によるAutonomous Databaseの管理

アクセス・タイプ:すべてのコンパートメントのAutonomous Databaseインスタンスのすべての操作を実行する機能。単一セットのデータベース管理者がすべてのコンパートメントのすべてのAutonomous Databaseデータベースを管理する場合に適用されます。

ポリシーを作成する場所: ポリシー継承を介してすべてのコンパートメントにアクセス権が付与されるようにするため、テナンシ。特定のコンパートメントのAutonomous Databaseのみにアクセス範囲を狭めるには、テナンシのかわりにそのコンパートメントを指定します。

例1: フリート管理者用。Autonomous Databaseフリート管理者による様々なワークロード・タイプ(Autonomous Data Warehouse、Autonomous JSON Database、Autonomous Transaction Processing)および専用Exadataインフラストラクチャ・リソース(コンテナ・データベースとAutonomous Exadata Infrastructureインスタンス)へのアクセスを可能にします。

Allow group DatabaseAdmins to manage autonomous-database-family in tenancy

Autonomous Exadata InfrastructureおよびAutonomous Container Databaseリソース・タイプへのアクセスを制限する必要がある場合(専用Exadataインフラストラクチャ・システムにのみ適用)、Autonomous Databaseおよびそのバックアップのみへのアクセスを許可する個別のポリシー・ステートメントをデータベース管理者用に作成することでこれを実行できます。ポリシー・ステートメントで指定できるリソース・タイプは1つのみであるため、データベース・リソースとバックアップ・リソースに対して別々のステートメントを作成する必要があります。

例2: データベース管理者用。Autonomous Databaseデータベース管理者による様々なワークロード・タイプのデータベースおよびバックアップへのアクセスを可能にしますが、Autonomous Container DatabaseおよびAutonomous Exadata Infrastructureインスタンスへのアクセスは拒否します。

Allow group ADB-Admins to manage autonomous-database in tenancy
Allow group ADB-Admins to manage autonomous-backup in tenancy

Autonomous Data Warehouse、Autonomous JSON DatabaseまたはAutonomous Transaction Processingのいずれかのワークロード・タイプにアクセス範囲を狭めるには、次の例に示すように、where句を使用します。

例3: データベース管理者用。Autonomous Data Warehouse、Autonomous JSON DatabaseまたはAutonomous Transaction ProcessingデータベースおよびバックアップへのAutonomous Databaseのアクセスを制限します。

Allow group ADB-Admins to manage autonomous-database in tenancy where target.workloadType = 'workload_type'
Allow group ADB-Admins to manage autonomous-backup in tenancy where target.workloadType = 'workload_type'

前述のコード例では、Autonomous Data Warehouse、Autonomous JSON DatabaseまたはAutonomous Transaction Processingの場合、workload_typeはそれぞれDWAJDまたはOLTPです。

セキュリティ管理者によるボールト、キーおよびシークレットの管理

アクセス・タイプ: すべてのコンパートメントのボールト・サービスのすべての操作を実行する機能。これは、単一のセキュリティ管理者セットにより、すべてのコンパートメント内のすべてのボールト、キーおよびシークレット・コンポーネント(シークレット、シークレット・バージョンおよびシークレット・バンドルを含む)を管理する場合に意味があります。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメント内のボールト、キーおよびシークレット・コンポーネントのみにアクセス範囲を減らすには、テナンシのかわりにそのコンパートメントを指定します。

Allow group SecurityAdmins to manage vaults in tenancy

Allow group SecurityAdmins to manage keys in tenancy

Allow group SecurityAdmins to manage secret-family in tenancy
セキュリティ管理者によるコンパートメント内の特定のボールト内のすべてのキーの管理

アクセス・タイプ:コンパートメントABC内の特定のボールト内のキーのすべての操作を実行する機能。

ポリシーを作成する場所:このポリシーをテナンシに配置する方法が最も簡単です。個々のコンパートメント(ABC)の管理者がコンパートメントの個々のポリシー・ステートメントを制御するには、ポリシー・アタッチメントを参照してください。

Allow group SecurityAdmins to manage keys in compartment ABC where target.vault.id='<vault_OCID>'
セキュリティ管理者によるコンパートメントの特定のキーの使用

アクセス・タイプ:コンパートメント内の特定のキーを使用して暗号化操作をリスト、表示および実行する機能。

ポリシーを作成する場所:このポリシーをテナンシに配置する方法が最も簡単です。個々のコンパートメント(ABC)の管理者がコンパートメントの個々のポリシー・ステートメントを制御するには、ポリシー・アタッチメントを参照してください。

Allow group SecurityAdmins to use keys in compartment ABC where target.key.id='<key_OCID>'
ユーザー・グループによるコンパートメントのキーの使用の委任

アクセス・タイプ: オブジェクト・ストレージ・バケット、ブロック・ボリューム・ボリューム、ファイル・ストレージ・ファイル・システム、Kubernetesクラスタまたはストリーミング・ストリーム・プールを、特定のコンパートメントで使用することを許可された特定のキーと関連付ける機能。このポリシーでは、指定されたグループのユーザーは、そのキー自体を使用する権限を持っていません。関連付けにより、オブジェクト・ストレージブロック・ボリュームファイル・ストレージContainer Engine for Kubernetesまたはストリーミングはキーを使用して、ユーザーにかわって次のことを実行できます:

  • 暗号化されたバケット、ボリュームまたはファイル・システムを作成または更新し、バケット、ボリュームまたはファイル・システム内のデータを暗号化または復号化します。
  • Kubernetesシークレットがetcdキー/値ストアへの保存時に暗号化されるKubernetesクラスタを作成します。
  • ストリーム・プールを作成して、ストリーム・プール内のストリームのデータを暗号化します。

このポリシーでは、オブジェクト・ストレージブロック・ボリュームファイル・ストレージContainer Engine for Kubernetesまたはストリーミングがキーを使用して暗号操作を実行できるようにするコンパニオン・ポリシーも必要です。

ポリシーを作成する場所:このポリシーをテナンシに配置する方法が最も簡単です。個々のコンパートメント(ABC)の管理者がコンパートメントの個々のポリシー・ステートメントを制御するには、ポリシー・アタッチメントを参照してください。

Allow group ObjectWriters, VolumeWriters, FileWriters, ClusterWriters, StreamWriters to use key-delegate in compartment ABC where target.key.id = '<key_OCID>'
ブロック・ボリューム、オブジェクト・ストレージ、ファイル・ストレージ、Container Engine for Kubernetesおよびストリーミング・サービスによるボリューム、ボリューム・バックアップ、バケット、ファイル・システム、Kubernetesシークレットおよびストリーム・プールの暗号化と復号化

アクセス・タイプ:コンパートメントABCのすべてのキーを使用して暗号操作をリスト、表示および実行する機能。オブジェクト・ストレージはリージョン別サービスであるため、地域エンドポイントがあります。このため、ボールトの暗号化を使用してオブジェクト・ストレージを使用している各リージョンに対して、リージョン別サービス名を指定する必要があります。このポリシーでは、オブジェクト・ストレージブロック・ボリュームファイル・ストレージContainer Engine for Kubernetesまたはストリーミングで使用される委任キーをユーザー・グループが使用できるようにするコンパニオン・ポリシーも必要です。

ポリシーを作成する場所:このポリシーをテナンシに配置する方法が最も簡単です。個々のコンパートメント(ABC)の管理者がコンパートメントの個々のポリシー・ステートメントを制御するには、ポリシー・アタッチメントを参照してください。

Allow service blockstorage, objectstorage-<region_name>, FssOc1Prod, oke, streaming to use keys in compartment ABC where target.key.id = '<key_OCID>'

オブジェクト・ストレージの場合、<region_name>を適切なリージョン識別子に置き換えます。例:

  • objectstorage-us-phoenix-1

  • objectstorage-us-ashburn-1

  • objectstorage-eu-frankfurt-1

  • objectstorage-uk-london-1

  • objectstorage-ap-tokyo-1

Oracle Cloud Infrastructureリージョンのリージョン名の値を決定するには、リージョンおよび可用性ドメインを参照してください。

ファイル・ストレージの場合、ポリシーで使用されるサービス名はFssOc1Prodです。

Container Engine for Kubernetesの場合、ポリシーで使用されるサービス名はokeです。

ストリーミングの場合、ポリシーで使用されるサービス名はstreamingです。

セキュリティ管理者によるコンパートメントの特定のボールト内のすべてのシークレットの管理

アクセス・タイプ: コンパートメントABCの特定のボールト内のシークレットに関するすべての操作を実行する機能。

ポリシーを作成する場所:このポリシーをテナンシに配置する方法が最も簡単です。個々のコンパートメント(ABC)の管理者がコンパートメントの個々のポリシー・ステートメントを制御するには、ポリシー・アタッチメントを参照してください。

Allow group SecurityAdmins to manage secret-family in compartment ABC where target.vault.id='<vault_OCID>'
ユーザーによるすべてのシークレットの読取り、更新およびローテーション

アクセス・タイプ: テナンシ内の任意のボールトにあるすべてのシークレットの読取り、更新およびローテーションを行う機能。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメント内のボールト、キーおよびシークレットのみにアクセス範囲を減らすには、テナンシのかわりにそのコンパートメントを指定します。

Allow group SecretsUsers to use secret-family in tenancy
グループ管理者によるグループ・メンバーシップの管理

アクセス・タイプ:グループのメンバーシップを管理する機能。ユーザーを作成または削除する機能、あるいはその資格証明を管理する機能は含まれません(ヘルプ・デスクによるユーザーの管理を参照)。

最初の2つのステートメントを実行すると、GroupAdminsによって、テナンシ内のすべてのユーザーとグループ、特定のグループのユーザー、および特定のユーザーが属するグループのリストが表示されます。

最後の2つのステートメントにより、GroupAdminsはグループのメンバーシップを変更できます。最後の2つのステートメントの最後にある条件により、GroupAdminsは、管理者グループを除くすべてのグループへのメンバーシップを管理できます(管理者グループおよびポリシーを参照)。このグループのメンバーシップは、テナンシ全体のすべての処理の権限があるため、保護する必要があります。

最後の2つのステートメントでも、最初の2つのステートメントで実行できる基本的なリスト機能を有しているように見える可能性があります。条件の動作および最初の2つのステートメントが必要である理由について理解を深めるには、拒否されたリクエストのリクエスト結果に適用できない変数を参照してください。

ポリシーを作成する場所:ユーザーとグループが存在するため、テナンシ。

Allow group GroupAdmins to inspect users in tenancy

Allow group GroupAdmins to inspect groups in tenancy

Allow group GroupAdmins to use users in tenancy where target.group.name != 'Administrators'

Allow group GroupAdmins to use groups in tenancy where target.group.name != 'Administrators'
ユーザーによる自分のパスワードと資格証明の管理

ユーザーが自分の資格証明を管理するためにポリシーは不要です。すべてのユーザーが、自分のパスワードの変更やリセット、独自のAPIキーの管理、独自の認証トークンの管理を行うことができます。詳細は、ユーザー資格証明を参照してください。

コンパートメント管理者によるコンパートメントの管理

アクセス・タイプ:特定のコンパートメントのすべての側面を管理する機能。たとえば、A-Adminsというグループは、Project-Aというコンパートメントのすべての側面を管理できます。これには、コンパートメントに影響する追加のポリシーの書込みも含まれます。詳細は、ポリシー・アタッチメントを参照してください。このような設定と有用な追加ポリシーの例は、シナリオ例を参照してください。

ポリシーを作成する場所: テナンシ内。

Allow group A-Admins to manage all-resources in compartment Project-A
特定のリージョンへの管理アクセスの制限

アクセス・タイプ:特定のリージョンのリソースを管理する機能。IAMのリソースはホーム・リージョンで管理する必要があることに注意してください。指定したリージョンがホーム・リージョンではない場合、管理者はIAMリソースを管理できません。ホーム・リージョンの詳細は、リージョンの管理を参照してください。

ポリシーを作成する場所: テナンシ内。

Allow group PHX-Admins to manage all-resources in tenancy where request.region='phx'

前述のポリシーにより、PHX管理者は米国西部(フェニックス)内のすべてのリソースのすべての側面を管理できます。

PHXのメンバー-テナンシのホーム・リージョンが米国西部(フェニックス)の場合、管理者グループはIAMリソースのみ管理できます。

要約のお知らせのみを表示するユーザー・アクセスの制限

アクセス・タイプ:Oracle Cloud Infrastructureサービスの操作ステータスに関するお知らせの要約バージョンを表示する機能。

ポリシーを作成する場所: テナンシ内。

Allow group AnnouncementListers to inspect announcements in tenancy

前述のポリシーによって、AnnouncementListersは、要約のお知らせのリストを表示できます。

ユーザーによるお知らせの詳細の表示

アクセス・タイプ:Oracle Cloud Infrastructureサービスの操作ステータスに関するお知らせの詳細を表示する機能。

ポリシーを作成する場所: テナンシ内。

Allow group AnnouncementReaders to read announcements in tenancy

このポリシーによって、AnnouncementReadersは、要約のお知らせのリストおよび特定のお知らせの詳細を表示できます。

ストリーミング・ユーザーによるストリームの管理

アクセス・タイプ:すべてのコンパートメントのストリーミング・サービスのすべての操作を実行する機能。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメント内のストリームにのみアクセス範囲を狭くするには、そのコンパートメントをテナンシのかわりに指定します。

Allow group StreamAdmins to manage streams in tenancy
ストリーミング・ユーザーによるストリームへのメッセージの公開

アクセス・タイプ:すべてのコンパートメント内のストリーミング・サービスとともにストリームに対してメッセージを生成する機能。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメント内のストリームにのみアクセス範囲を狭くするには、そのコンパートメントをテナンシのかわりに指定します。

Allow group StreamUsers to use stream-push in tenancy
ストリーミング・ユーザーによる特定のストリームへのメッセージの公開

アクセス・タイプ:ストリーミング・サービスとともにストリームへのメッセージを生成する機能。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメント内のストリームにのみアクセス範囲を狭くするには、そのコンパートメントをテナンシのかわりに指定します。

Allow group StreamUsers to use stream-push in tenancy where target.stream.id = '<stream_OCID>'
ストリーミング・ユーザーによるストリームからのメッセージの消費

アクセス・タイプ:すべてのコンパートメントのストリーミング・サービスとともにストリームからメッセージを消費する機能。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメント内のストリームにのみアクセス範囲を狭くするには、そのコンパートメントをテナンシのかわりに指定します。

Allow group StreamUsers to use stream-pull in tenancy
ユーザーによるコンパートメント内のメトリック定義の表示

アクセス・タイプ:特定のコンパートメント内のメトリック定義を表示する機能。メトリックの詳細は、メトリック機能の概要を参照してください。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメント内のメトリック定義のみにアクセスの範囲を減らすには、テナンシのかわりにそのコンパートメントを指定します。

Allow group MetricReaders to inspect metrics in compartment ABC
ユーザーによるコンパートメント内のモニタリング・メトリックのアクセス

アクセス・タイプ:特定のコンパートメント内でサポートされているリソースのモニタリング・メトリックを表示および取得する機能。メトリックの詳細は、メトリック機能の概要を参照してください。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。アクセス範囲を特定のコンパートメント内のメトリックのみに減らすには、テナンシのかわりにそのコンパートメントを指定します。

Allow group MetricReaders to read metrics in compartment ABC
特定のメトリック・ネームスペースへのユーザー・アクセスの制限

アクセス・タイプ:特定のメトリック・ネームスペースのリソースのモニタリング・メトリックを表示および取得する機能。メトリックの詳細は、メトリック機能の概要を参照してください。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。指定されたメトリック・ネームスペースのアクセスの範囲を特定のコンパートメント内のみに減らすには、テナンシのかわりにそのコンパートメントを指定します。

Allow group MetricReaders to read metrics in compartment ABC where target.metrics.namespace='oci_computeagent'

前述のポリシーによって、MetricReadersは、ABCコンパートメント内のすべてのモニタリング対応コンピュート・インスタンスからメトリック・データ・ポイントを表示および取得できます。

ユーザーによるカスタム・メトリックの公開

アクセス・タイプ:特定のメトリック・ネームスペースのカスタム・メトリックモニタリング・サービスに公開する機能。手順については、カスタム・メトリックの公開を参照してください。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメントのメトリックのみにアクセス範囲を狭くするには、テナンシのかわりにコンパートメントを指定します。

Allow group MetricPublishers to use metrics in tenancy where target.metrics.namespace='mycustomnamespace'

前述のポリシーを使用すると、MetricPublishersはテナンシ内のカスタム・メトリック・ネームスペースmycustomnamespaceのデータ・ポイントを公開できます。

インスタンスでのテナンシのモニタリング・メトリックにアクセスするAPIコールの実行

アクセス・タイプ:モニタリング・メトリックにアクセスするために モニタリングAPIを呼び出す機能。APIリクエストの発生元のインスタンスは、ポリシーに示される動的グループのメンバーである必要があります。詳細は、インスタンスからのサービスのコールおよびメトリック機能の概要を参照してください。

ポリシーを作成する場所: テナンシ内。

Allow dynamic-group MetricInstances to read metrics in tenancy

前述のポリシーによって、動的グループMetricInstancesコンピュート・インスタンスで実行されているアプリケーションは、テナンシ内のモニタリング・サービスにAPIリクエストを送信できます。

ユーザーによるアラームの表示

アクセス・タイプ:テナンシ内のサポートされるリソースのアラームを表示する機能。アラームを作成したり、トピックを作成または削除したりする機能は含まれません。アラームの詳細は、「アラーム機能の概要」を参照してください。

ポリシーを作成する場所: テナンシ内。ポリシー継承の概念により、AlarmUsersは、任意のコンパートメントのアラームを表示できます。特定のコンパートメントへのアクセスの範囲を減らすには、テナンシのかわりにコンパートメントを指定します。

Allow group AlarmUsers to read alarms in tenancy

Allow group AlarmUsers to read metrics in tenancy
ユーザーによるアラームの管理

アクセス・タイプ:テナンシ内のサポートされるリソースについて、既存の通知トピックを使用してアラームを表示および作成する機能。トピックを作成または削除する機能は含まれません。アラームの詳細は、「アラーム機能の概要」を参照してください。

AlarmUsersでアラームを作成するには、すべてのステートメントが必要です。

ポリシーを作成する場所: テナンシ内。ポリシー継承の概念上、AlarmUsersは、任意のコンパートメントでアラームを表示および作成できるようになります。特定のコンパートメントへのアクセスの範囲を減らすには、テナンシのかわりにコンパートメントを指定します。

Allow group AlarmUsers to manage alarms in tenancy

Allow group AlarmUsers to read metrics in tenancy

Allow group AlarmUsers to use ons-topics in tenancy
ユーザーによるアラームの管理およびトピックの作成

アクセス・タイプ:テナンシのサポートされているリソースのアラームを(新規または既存のトピックとともに)表示および作成する機能。また、テナンシでサブスクリプションを作成し、テナンシのすべてのサブスクリプションにメッセージ(ブロードキャスト通知メッセージ)を公開し、テナンシ内の別のコンパートメントにアラームを移動する機能も含まれます。アラームの詳細は、「アラーム機能の概要」を参照してください。

ポリシーを作成する場所: テナンシ内。ポリシー継承の概念上、AlarmUsersは、任意のコンパートメントでアラームを表示および作成できるようになります。特定のコンパートメントへのアクセスの範囲を減らすには、テナンシのかわりにコンパートメントを指定します。

Allow group AlarmUsers to manage alarms in tenancy

Allow group AlarmUsers to read metrics in tenancy

Allow group AlarmUsers to manage ons-topics in tenancy
ユーザーによる使用状況レポートへのアクセス

アクセス・タイプ: テナンシの使用状況レポートを表示する機能。使用状況レポートの詳細は、コストおよび使用状況レポートの概要を参照してください。

ポリシーの作成場所: これは特殊なクロス・テナンシ・ポリシーであり、テナンシ内に作成する必要があります。詳細は、コストおよび使用状況レポートの概要を参照してください。

define tenancy usage-report as ocid1.tenancy.oc1..aaaaaaaaned4fkpkisbwjlr56u7cj63lf3wffbilvqknstgtvzub7vhqkggq
				endorse group Administrators to read objects in tenancy usage-report
ユーザーによるコストの分析

アクセス権タイプ: テナンシのコストを表示する権限。残高と使用状況の確認を参照してください。

ポリシーを作成する場所: テナンシ内。<Example_Group>のユーザーがアカウント全体のコストを確認できるようになります。

Allow group <Example_Group> to read usage-reports in tenancy
グループによるトピックの管理の許可

アクセス・タイプ:テナンシ内のトピックを取得、作成、更新および削除する機能、およびテナンシ内の異なるコンパートメントにトピックを移動する機能。また、テナンシでサブスクリプションを作成し、テナンシのすべてのサブスクリプションにメッセージ(ブロードキャスト通知メッセージ)を公開する機能も含まれます。

ポリシーを作成する場所: テナンシ内。

Allow group A-Admins to manage ons-topics in tenancy
グループによるトピック・サブスクリプションの管理の許可

アクセス・タイプ:テナンシのトピックのサブスクリプションをリスト、作成、更新および削除する機能。サブスクリプションをテナンシ内の異なるコンパートメントに移動する機能。

ポリシーを作成する場所: テナンシ内。

Allow group A-Admins to manage ons-subscriptions in tenancy
グループによるトピックへのメッセージの公開の許可

アクセス・タイプ:テナンシ内のすべてのサブスクリプションに通知メッセージをブロードキャストし、テナンシ内のサブスクリプションをリスト、作成、更新および削除する機能。

ポリシーを作成する場所: テナンシ内。

Allow group A-Admins to use ons-topics in tenancy
ユーザーによるコンパートメント内のイベント・ルールのリスト

アクセス・タイプ: イベント・ルールをリストできるかどうか。

ポリシーを作成する場所: テナンシ内。

Allow group RuleReaders to read cloudevents-rules in tenancy

前述のポリシーを使用すると、RuleReadersはテナンシのルールをリストできます。

管理者によるコンパートメント内のイベント・ルールの管理

アクセス・タイプ:ルールの作成、削除、更新など、イベント・ルールを管理する機能。

ポリシーを作成する場所: テナンシ内。

この行では、ユーザーにコンパートメントのリソースへの検査アクセス権が付与され、処理が選択されます。

allow group <RuleAdmins> to inspect compartments in tenancy

この行では、ユーザーに、定義済のタグへのアクセス権を付与して、フィルタ・タグをルールに適用します。

allow group <RuleAdmins> to use tag-namespaces in tenancy

次の行では、ユーザーに処理のためのストリーミング・リソースのアクセス権を付与します

allow group <RuleAdmins> to inspect streams in tenancy
allow group <RuleAdmins> to use stream-push in tenancy
allow group <RuleAdmins> to use stream-pull in tenancy

次の行では、ユーザーに処理のための関数リソースのアクセス権を付与します。

allow group <RuleAdmins> to use virtual-network-family in tenancy
allow group <RuleAdmins> to manage function-family in tenancy

この行では、処理のための通知トピックのアクセス権をユーザーに付与します。

allow group <RuleAdmins> to use ons-topic in tenancy

この行では、ユーザーにイベントのルールに対する管理アクセス権が付与されます。

allow group <RuleAdmins> to manage cloudevents-rules in tenancy
グループによるクラウド・ガードのすべてへのアクセスの許可

アクセス・タイプ: クラウド・ガードのすべてへの読取り専用アクセス。ポリシーの例では、グループは「CloudGuard_ReadOnly」です。

allow group CloudGuard_ReadOnly to read cloud-guard-family in tenancy
allow group CloudGuard_ReadOnly to read compartments in tenancy
allow group CloudGuard_ReadOnly to read announcements in tenancy
グループによるクラウド・ガードの問題へのアクセスの許可

アクセス・タイプ: クラウド・ガードの問題への読取り専用アクセス。ポリシーの例では、グループは「CloudGuard_ReadOnlyProblems」です。

allow group CloudGuard_ReadOnlyProblems to read cloud-guard-family in tenancy
allow group CloudGuard_ReadOnlyProblems to inspect cloud-guard-detectors in tenancy
allow group CloudGuard_ReadOnlyProblems to inspect cloud-guard-targets in tenancy
allow group CloudGuard_ReadOnlyProblems to inspect cloud-guard-resource-types in tenancy
allow group CloudGuard_ReadOnlyProblems to read announcements in tenancy
allow group CloudGuard_ReadOnlyProblems to read compartments in tenancy
allow group CloudGuard_ReadOnlyProblems to read cloud-guard-config in tenancy
グループによるクラウド・ガード・ディテクタ・レシピへのアクセスの許可

アクセス・タイプ: クラウド・ガード・ディテクタ・レシピへの読取り専用アクセス。ポリシーの例では、グループは「CloudGuard_ReadOnlyDetectors」です。

allow group CloudGuard_ReadOnlyDetectors to read cloud-guard-detector-recipes in tenancy
allow group CloudGuard_ReadOnlyDetectors to read announcements in tenancy
allow group CloudGuard_ReadOnlyDetectors to read compartments in tenancy
allow group CloudGuard_ReadOnlyDetectors to read cloud-guard-config in tenancy
グループによる単一コンパートメント内のクラウド・ガードへのアクセスの許可

アクセス・タイプ: 単一コンパートメント内のクラウド・ガードへの読取り専用アクセス。ポリシーの例では、グループは「CloudGuard_ReadOnly_SingleCompartment」で、コンパートメント名は「cgDemo_RestrictedAccess」です。

allow group CloudGuard_ReadOnly_SingleCompartment to read compartments in tenancy where target.compartment.name = 'cgDemo_RestrictedAccess'
allow group CloudGuard_ReadOnly_SingleCompartment to read cloud-guard-family in compartment cgDemo_RestrictedAccess
allow group CloudGuard_ReadOnly_SingleCompartment to read announcements in compartment cgDemo_RestrictedAccess
allow group CloudGuard_ReadOnly_SingleCompartment to read cloud-guard-config in tenancy
グループによるサービス・コネクタの管理の許可

アクセス・タイプ: テナンシ内のサービス・コネクタをリスト、作成、更新および削除する機能。テナンシ内の別のコンパートメントにサービス・コネクタを移動する機能。

ポリシーを作成する場所: テナンシ内。

Allow group A-Admins to manage serviceconnectors in tenancy