共通ポリシー

この項には、組織で使用する共通のポリシーがいくつか含まれています。

ノート

これらのポリシーでは、グループ名とコンパートメント名の例が使用されます。ユーザー固有の名前に置換してください。

ヘルプ・デスクによるユーザーの管理

アクセス・タイプ:ユーザーとその資格証明を作成、更新および削除する機能。これには、ユーザーをグループに配置する機能は含まれません。

ポリシーを作成する場所: テナンシにユーザーが存在するため、テナンシ。

Allow group HelpDesk to manage users in tenancy
監査者によるリソースの検査

アクセス・タイプ:すべてのコンパートメントのリソースをリストする機能。次の点に注意:

  • IAMポリシーをリストする操作には、ポリシー自体のコンテンツが含まれます
  • ネットワーキング・リソース・タイプのリスト操作はすべての情報(たとえば、セキュリティ・リストおよびルート表の内容)を返します
  • インスタンスをリストする操作には、inspectではなくread動詞が必要で、コンテンツにはユーザーが指定したメタデータが含まれます。
  • 監査サービス・イベントを表示する操作には、inspectではなくread動詞が必要です。

ポリシーを作成する場所: テナンシ内。ポリシー継承の概念上、監査者はテナンシとその下にあるすべてのコンパートメントの両方を検査できます。または、特定のコンパートメントに対してのみ監査者のアクセス権を付与することもできます(テナンシ全体へのアクセス権が不要な場合)。

Allow group Auditors to inspect all-resources in tenancy

Allow group Auditors to read instances in tenancy

Allow group Auditors to read audit-events in tenancy
ネットワーク管理者によるクラウド・ネットワークの管理

アクセス・タイプ:ネットワーキング内のすべてのコンポーネントを管理する機能。これには、クラウド・ネットワーク、サブネット、ゲートウェイ、仮想回線、セキュリティ・リスト、ルート表などが含まれます。ネットワーク接続をテストするためにネットワーク管理者がインスタンスを起動する必要がある場合は、ユーザーによるコンピュート・インスタンスの起動を参照してください。

ポリシーを作成する場所: テナンシ内。ポリシー継承の概念上、NetworkAdminsは任意のコンパートメントでクラウド・ネットワークを管理できます。特定のコンパートメントへのアクセスの範囲を減らすには、テナンシのかわりにコンパートメントを指定します。

Allow group NetworkAdmins to manage virtual-network-family in tenancy
ネットワーク管理者によるロード・バランサの管理

アクセス・タイプ:ロード・バランシングのすべてのコンポーネントを管理する機能。グループがインスタンスを起動する必要がある場合は、ユーザーによるコンピュート・インスタンスの起動を参照してください。

ポリシーを作成する場所: テナンシ内。ポリシー継承の概念により、NetworkAdminsは、任意のコンパートメント内のロード・バランサを管理できます。特定のコンパートメントへのアクセスの範囲を減らすには、テナンシのかわりにコンパートメントを指定します。

Allow group NetworkAdmins to manage load-balancers in tenancy

グループがコンソールを使用してロード・バランサおよびネットワーク・ロード・バランサを管理する場合は、関連するネットワーキング・リソースを使用するための追加のポリシーが必要です:

Allow group NetworkAdmins to manage load-balancers in tenancy

Allow group NetworkAdmins to use virtual-network-family in tenancy

Allow group NetworkAdmins to manage instances in tenancy

特定のグループが既存のロード・バランサを更新する(たとえば、バックエンド・セットを変更する)必要があるが、作成や削除はする必要がない場合は、次のステートメントを使用します。

Allow group LBUsers to use load-balancers in tenancy
ユーザーによるコンピュート・インスタンスの起動

アクセス・タイプ:クラウド・ネットワークに起動したインスタンスおよびコンパートメントXYZのサブネットのすべての操作を実行し、コンパートメントABCにすでに存在する既存のボリュームをアタッチ/デタッチする機能。最初のステートメントでは、グループがコンパートメントABCにインスタンス・イメージを作成および管理することもできます。グループでボリュームをアタッチ/デタッチする必要がない場合は、volume-familyステートメントを削除できます。

ポリシーを作成する場所:このポリシーをテナンシに配置する方法が最も簡単です。各コンパートメント(ABCおよびXYZ)の管理者が、コンパートメントの個々のポリシー・ステートメントを制御できるようにするには、ポリシー・アタッチメントを参照してください。

Allow group InstanceLaunchers to manage instance-family in compartment ABC
Allow group InstanceLaunchers to read app-catalog-listing in tenancy
Allow group InstanceLaunchers to use volume-family in compartment ABC
Allow group InstanceLaunchers to use virtual-network-family in compartment XYZ

ユーザーが新しいクラウド・ネットワークおよびサブネットを作成できるようにするには、ネットワーク管理者によるクラウド・ネットワークの管理を参照してください。

ユーザーによる特定のカスタム・イメージからのコンピュート・インスタンスの起動

アクセス・タイプ: 指定したカスタム・イメージのみを使用してコンパートメントXYZのクラウド・ネットワークおよびサブネットにインスタンスを起動する機能。ポリシーには、コンパートメントABCにすでに存在する既存のボリュームをアタッチ/デタッチする機能も含まれます。グループでボリュームをアタッチ/デタッチする必要がない場合は、volume-familyステートメントを削除できます。

複数のカスタム・イメージを指定するには、条件を使用できます。

ポリシーを作成する場所:このポリシーをテナンシに配置する方法が最も簡単です。各コンパートメント(ABCおよびXYZ)の管理者が、コンパートメントの個々のポリシー・ステートメントを制御できるようにするには、ポリシー・アタッチメントを参照してください。

Allow group ImageUsers to inspect instance-images in compartment ABC
Allow group ImageUsers to {INSTANCE_IMAGE_READ} in compartment ABC where target.image.id='<image_OCID>'
Allow group ImageUsers to manage instances in compartment ABC
Allow group ImageUsers to read app-catalog-listing in tenancy
Allow group ImageUsers to use volume-family in compartment ABC
Allow group ImageUsers to use virtual-network-family in compartment XYZ
イメージ管理者によるカスタム・イメージの管理

アクセス・タイプ: カスタム・イメージおよびコンピュート・インスタンスのすべての操作を実行する機能。また、コンパートメントYのオブジェクト・ストレージ・バケット、オブジェクトおよびネームスペースのすべての操作(オブジェクトからイメージを作成し、イメージへの事前認証済リクエストを作成するため)、コンパートメントXの既存のボリュームのアタッチ/デタッチ、およびコンパートメントZのクラウド・ネットワークおよびサブネット内でのインスタンスの起動(イメージのベースにする新規インスタンスを作成するため)を実行する機能も含まれます。グループでボリュームをアタッチ/デタッチする必要がない場合は、volume-familyステートメントを削除できます。

ポリシーを作成する場所:このポリシーをテナンシに配置する方法が最も簡単です。各コンパートメント(X、YおよびZ)の管理者が、コンパートメントの個々のポリシー・ステートメントを制御できるようにするには、ポリシー・アタッチメントを参照してください。

Allow group ImageAdmins to manage instances in compartment X
Allow group ImageAdmins to manage instance-images in compartment X
Allow group ImageAdmins to read app-catalog-listing in tenancy
Allow group ImageAdmins to manage object-family in compartment Y
Allow group ImageAdmins to use volume-family in compartment X
Allow group ImageAdmins to use virtual-network-family in compartment Z
ユーザーによるコンピュート・インスタンスの構成、インスタンス・プールおよびクラスタ・ネットワークの管理

アクセス・タイプ:すべてのコンパートメントでインスタンス構成、インスタンス・プールおよびクラスタ・ネットワークをすべて処理する機能。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメントのインスタンス構成、インスタンス・プールおよびクラスタ・ネットワークにアクセスの範囲を狭めるには、テナンシのかわりに対象のコンパートメントを指定します。

Allow group InstancePoolAdmins to manage compute-management-family in tenancy

グループがテンプレートとして既存のインスタンスを使用してインスタンス構成を作成する必要があり、API、SDK、またはコマンドライン・インタフェース(CLI)を使用してこれを行う場合は、次のステートメントをポリシーに追加します。

Allow group InstancePoolAdmins to read instance-family in tenancy
Allow group InstancePoolAdmins to inspect volumes in tenancy

特定のグループが既存のインスタンス・プールのインスタンスを起動、停止またはリセットする必要があるが、インスタンス・プールを作成または削除する必要がない場合は、次のステートメントを使用します。

Allow group InstancePoolUsers to use instance-pools in tenancy

インスタンス・プールで使用されるリソースにデフォルト・タグが含まれる場合、タグ・ネームスペースOracle-Tagsに対する権限をグループに付与するために、次のステートメントをポリシーに追加します:

Allow group InstancePoolUsers to use tag-namespaces in tenancy where target.tag-namespace.name = 'oracle-tags'

インスタンス・プールで使用されるインスタンス構成が容量予約でインスタンスを起動する場合は、次のステートメントをポリシーに追加します:

Allow service compute_management to use compute-capacity-reservations in tenancy

インスタンス構成でインスタンス・プールの作成に使用されるブート・ボリュームがKMSキーで暗号化されている場合、次のステートメントをポリシーに追加します

allow service compute, blockstorage, compute_management to use key-family in compartment <compartment_id/<tenant_id>>
ユーザーによるCompute自動スケーリング構成の管理

アクセス・タイプ:自動スケーリング構成を作成、更新および削除する機能。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメントの自動スケーリング構成のみにアクセス範囲を減らすには、テナンシのかわりに対象のコンパートメントを指定します。

Allow group AutoscalingAdmins to manage auto-scaling-configurations in tenancy
Allow group AutoscalingAdmins to manage instance-pools in tenancy
ユーザーによるパートナ・イメージ・カタログのイメージのリスト化およびサブスクライブ

アクセス・タイプ:パートナ・イメージ・カタログ内のイメージのサブスクリプションをリストし、作成する機能。パートナ・イメージ・カタログのイメージを使用してインスタンスを作成する機能は含まれていません(ユーザーによるコンピュート・インスタンスの起動を参照)。

ポリシーを作成する場所: テナンシ内。特定のコンパートメントのサブスクリプションの作成のみにアクセス範囲を狭めるには、3番目のステートメントでテナンシのかわりにそのコンパートメントを指定します。

Allow group CatalogSubscribers to inspect app-catalog-listing in tenancy
Allow group CatalogSubscribers to read app-catalog-listing in tenancy
Allow group CatalogSubscribers to manage app-catalog-listing in tenancy
ユーザーによるコンピュート・インスタンス・コンソール接続の作成

アクセス・タイプ: インスタンス・コンソール接続を作成する機能。

ポリシーを作成する場所: テナンシ内。

Allow group <group_name> to manage instance-console-connection in tenancy
Allow group <group_name> to read instance in tenancy
ユーザーによる専用仮想マシンのコンピュート・ホストの管理

アクセス・タイプ:専用仮想マシン・ホストを作成、更新および削除する機能、および専用仮想マシン・ホストのインスタンスを起動する機能。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメントの専用仮想マシン・ホストおよびインスタンスのみにアクセス範囲を減らすには、テナンシのかわりに、そのコンパートメントを指定します。

Allow group DedicatedVMHostAdmins to manage dedicated-vm-hosts in tenancy
Allow group DedicatedVMHostAdmins to manage instances in tenancy
ユーザーによる専用仮想マシン・ホストのコンピュート・インスタンスの起動

アクセス・タイプ:専用仮想マシン・ホストのインスタンスを起動する機能。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメントの専用仮想マシン・ホストおよびインスタンスのみにアクセス範囲を減らすには、テナンシのかわりに、そのコンパートメントを指定します。

Allow group DedicatedVMHostAdmins to use dedicated-vm-hosts in tenancy
Allow group DedicatedVMHostAdmins to manage instances in tenancy
ボリューム管理者によるブロック・ボリューム、バックアップおよびボリューム・グループの管理

アクセス・タイプ:リージョン間でボリューム・バックアップをコピーする場合を除き、すべてのコンパートメントのブロック・ストレージ・ボリューム、ボリューム・バックアップおよびボリューム・グループのすべての操作を実行する機能。これは、単一セットのボリューム管理者がすべてのコンパートメントのすべてのボリューム、ボリューム・バックアップおよびボリューム・グループを管理する場合に意味を持ちます。インスタンスからボリュームをアタッチ/デタッチするには、2番目のステートメントが必要です。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメントのボリューム/バックアップおよびインスタンスのみにアクセス範囲を減らすには、テナンシのかわりにそのコンパートメントを指定します。

Allow group VolumeAdmins to manage volume-family in tenancy

Allow group VolumeAdmins to use instance-family in tenancy

グループがリージョン間でボリューム・バックアップおよびブート・ボリューム・バックアップをコピーする必要もある場合、次のステートメントをポリシーに追加します:

Allow group VolumeAdmins to use volume-backups in tenancy where request.permission='VOLUME_BACKUP_COPY'
Allow group VolumeAdmins to use boot-volume-backups in tenancy where request.permission='BOOT_VOLUME_BACKUP_COPY'
ボリューム・バックアップ管理者によるバックアップのみの管理

アクセス・タイプ:ボリューム・バックアップのすべての操作を実行する機能。ボリューム自体の作成や管理はできません。これは、単一セットのボリューム・バックアップ管理者がすべてのコンパートメントのすべてのボリューム・バックアップを管理する場合に意味を持ちます。最初のステートメントは、バックアップされるボリュームに必要なアクセスを付与し、2番目のステートメントではバックアップの作成(およびバックアップの削除)が可能です。3番目のステートメントでは、ユーザー定義のバックアップ・ポリシーの作成と管理が可能です。4番目のステートメントでは、バックアップ・ポリシーの割当ておよび削除が可能です。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメント内のボリュームおよびバックアップのみにアクセス範囲を減らすには、テナンシのかわりにそのコンパートメントを指定します。

Allow group VolumeBackupAdmins to use volumes in tenancy

Allow group VolumeBackupAdmins to manage volume-backups in tenancy

Allow group VolumeBackupAdmins to manage backup-policies in tenancy

Allow group VolumeBackupAdmins to manage backup-policy-assignments in tenancy

グループがコンソールを使用する場合、次のポリシーによりユーザー・エクスペリエンスが向上します。

Allow group VolumeBackupAdmins to use volumes in tenancy

Allow group VolumeBackupAdmins to manage volume-backups in tenancy

Allow group VolumeBackupAdmins to inspect volume-attachments in tenancy

Allow group VolumeBackupAdmins to inspect instances in tenancy

Allow group VolumeBackupAdmins to manage backup-policies in tenancy

Allow group VolumeBackupAdmins to manage backup-policy-assignments in tenancy

最後の2つのステートメントは、ボリューム・バックアップを管理するために必要ありません。ただし、コンソールで特定のボリュームに関するすべての情報および使用可能なバックアップ・ポリシーを表示できます。

ブート・ボリューム・バックアップ管理者によるバックアップのみの管理

アクセス・タイプ: ブート・ボリューム・バックアップのすべての操作を実行する機能。ブート・ボリューム自体の作成と管理はできません。これは、単一セットのブート・ボリューム・バックアップ管理者がすべてのコンパートメントのすべてのブート・ボリューム・バックアップを管理する場合に意味を持ちます。最初のステートメントは、バックアップされるブート・ボリュームに必要なアクセスを付与し、2番目のステートメントはバックアップの作成(およびバックアップの削除)を可能にします。3番目のステートメントでは、ユーザー定義のバックアップ・ポリシーの作成と管理が可能です。4番目のステートメントでは、バックアップ・ポリシーの割当ておよび削除が可能です。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメント内のブート・ボリュームおよびバックアップのみにアクセス範囲を減らすには、テナンシのかわりにそのコンパートメントを指定します。

Allow group BootVolumeBackupAdmins to use volumes in tenancy

Allow group BootVolumeBackupAdmins to manage boot-volume-backups in tenancy

Allow group BootVolumeBackupAdmins to manage backup-policies in tenancy

Allow group BootVolumeBackupAdmins to manage backup-policy-assignments in tenancy

グループがコンソールを使用する場合、次のポリシーによりユーザー・エクスペリエンスが向上します。

Allow group BootVolumeBackupAdmins to use volumes in tenancy

Allow group BootVolumeBackupAdmins to manage boot-volume-backups in tenancy

Allow group BootVolumeBackupAdmins to inspect instances in tenancy

Allow group BootVolumeBackupAdmins to manage backup-policies in tenancy

Allow group BootVolumeBackupAdmins to manage backup-policy-assignments in tenancy

最後の2つのステートメントは、ボリューム・バックアップを管理するために必要ありません。ただし、コンソールで特定のブート・ボリュームに関するすべての情報および使用可能なバックアップ・ポリシーを表示できます。

ユーザーによるボリューム・グループの作成

アクセス・タイプ:ボリューム・グループをボリューム・セットから作成する機能。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメント内のボリュームおよびボリューム・グループのみにアクセス範囲を減らすには、テナンシのかわりにそのコンパートメントを指定します。

Allow group VolumeGroupCreators to inspect volumes in tenancy
Allow group VolumeGroupCreators to manage volume-groups in tenancy
ユーザーによるボリューム・グループのクローニング

アクセス・タイプ:既存のボリューム・グループからボリューム・グループをクローニングする機能。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメント内のボリュームおよびボリューム・グループのみにアクセス範囲を減らすには、テナンシのかわりにそのコンパートメントを指定します。

Allow group VolumeGroupCloners to inspect volumes in tenancy
Allow group VolumeGroupCloners to manage volume-groups in tenancy
Allow group VolumeGroupCloners to manage volumes in tenancy
ユーザーによるボリューム・グループ・バックアップの作成

アクセス・タイプ:ボリューム・グループ・バックアップを作成する機能。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメントにあるボリューム/バックアップおよびボリューム・グループ/ボリューム・グループ・バックアップのみにアクセス範囲を減らすには、テナンシのかわりに、そのコンパートメントを指定します。

Allow group VolumeGroupBackupAdmins to inspect volume-groups in tenancy
Allow group VolumeGroupBackupAdmins to manage volumes in tenancy
Allow group VolumeGroupBackupAdmins to manage volume-group-backups in tenancy
Allow group VolumeGroupBackupAdmins to manage volume-backups in tenancy
ユーザーによるボリューム・グループ・バックアップのリストア

アクセス・タイプ:ボリューム・グループ・バックアップをリストアしてボリューム・グループを作成する機能。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメントにあるボリューム/バックアップおよびボリューム・グループ/ボリューム・グループ・バックアップのみにアクセス範囲を減らすには、テナンシのかわりに、そのコンパートメントを指定します。

Allow group VolumeGroupBackupAdmins to inspect volume-group-backups in tenancy
Allow group VolumeGroupBackupAdmins to read volume-backups in tenancy
Allow group VolumeGroupBackupAdmins to manage volume-groups in tenancy
Allow group VolumeGroupBackupAdmins to manage volumes in tenancy
ユーザーによるファイル・システムの作成、管理および削除

アクセス・タイプ: ファイル・システムまたはファイル・システム・クローンを作成、管理または削除する機能。ファイル・システムの管理機能には、名前の変更や削除、またはファイル・システムからの切断などが含まれます。

ポリシーを作成する場所:ファイル・システムを作成、管理または削除する機能をポリシー継承を介してすべてのコンパートメントに容易に付与できるようにするため、テナンシ。これらの管理機能の有効範囲を特定のコンパートメント内のファイル・システムに限定するには、テナンシのかわりにそのコンパートメントを指定します。

Allow group StorageAdmins to manage file-family in tenancy
ユーザーによるファイル・システムの作成

アクセス・タイプ: ファイル・システムまたはファイル・システム・クローンを作成する機能。

ポリシーを作成する場所:ファイル・システムを作成する機能がポリシー継承を介してすべてのコンパートメントに容易に付与されるようにするため、テナンシ。これらの管理機能の有効範囲を特定のコンパートメント内のファイル・システムに限定するには、テナンシのかわりにそのコンパートメントを指定します。

Allow group Managers to manage file-systems in tenancy

Allow group Managers to read mount-targets in tenancy

2つ目のステートメントは、ユーザーがコンソールを使用してファイル・システムを作成する場合に必要です。コンソールに、新しいファイル・システムを関連付けることができるマウント・ターゲットのリストを表示できます。

オブジェクト・ストレージ管理者によるバケットおよびオブジェクトの管理

アクセス・タイプ:すべてのコンパートメントのオブジェクト・ストレージ・バケットおよびオブジェクトのすべての操作を実行する機能。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメント内のバケットおよびオブジェクトのみにアクセス範囲を減らすには、テナンシのかわりにそのコンパートメントを指定します。

Allow group ObjectAdmins to manage buckets in tenancy

Allow group ObjectAdmins to manage objects in tenancy
ユーザーによるオブジェクトのオブジェクト・ストレージ・バケットへの書込み

アクセス・タイプ:コンパートメントABCの任意のオブジェクト・ストレージ・バケットにオブジェクトを書き込む機能(クライアントが定期的にログ・ファイルをバケットに書き込む必要がある場合が考えられます)。これには、コンパートメント内のバケットのリスト、バケット内のオブジェクトのリスト、およびバケット内の新規オブジェクトの作成が含まれます。2つ目のステートメントでは、manage動詞による広範なアクセス権を付与しますが、このアクセス権はステートメントの末尾の条件を使用したOBJECT_INSPECTおよびOBJECT_CREATE 権限のみにスコープ指定されます。

ポリシーを作成する場所:このポリシーをテナンシに配置する方法が最も簡単です。コンパートメントABCの管理者がポリシーを制御するには、ポリシー・アタッチメントを参照してください。

Allow group ObjectWriters to read buckets in compartment ABC

Allow group ObjectWriters to manage objects in compartment ABC where any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}

特定のバケットに限定されたアクセス:特定のコンパートメント内の特定のバケットへのアクセスを制限するには、条件where target.bucket.name='<bucket_name>'を追加します。次のポリシーによって、ユーザーは特定のコンパートメント内のすべてのバケットをリストできますが、リストできるのはBucketAのオブジェクトのみで、BucketAにのみオブジェクトをアップロードできます。

Allow group ObjectWriters to read buckets in compartment ABC

Allow group ObjectWriters to manage objects in compartment ABC where all {target.bucket.name='BucketA', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}}

特定の定義済タグを持つバケットへのアクセス制限:特定のコンパートメント内の特定のタグを持つバケットへのアクセスを制限するには、条件where target.bucket.tag.<TagNamespace>.<TagKeyDefinition>='<TagValue>'を追加します。次のポリシーによって、ユーザーはコンパートメントABC内のすべてのバケットをリストできますが、リストできるのはタグMyTagNamespace.TagKey='MyTagValue'のオブジェクトのみです:

Allow group ObjectWriters to read buckets in compartment ABC
Allow group ObjectWriters to manage objects in compartment ABC where all {target.bucket.tag.MyTagNamespace.TagKey='MyTagValue', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}}

条件の使用の詳細は、高度なポリシーの機能を参照してください。

ユーザーによるオブジェクト・ストレージ・バケットからのオブジェクトのダウンロード

アクセス・タイプ:コンパートメントABCの任意のオブジェクト・ストレージ・バケットからオブジェクトをダウンロードする機能。これには、コンパートメント内のバケットのリスト、バケット内のオブジェクトのリスト、およびバケット内の既存オブジェクトの読取りが含まれます。

ポリシーを作成する場所:このポリシーをテナンシに配置する方法が最も簡単です。コンパートメントABCの管理者がポリシーを制御するには、ポリシー・アタッチメントを参照してください。

Allow group ObjectReaders to read buckets in compartment ABC

Allow group ObjectReaders to read objects in compartment ABC

特定のバケットに限定されたアクセス:特定のコンパートメント内の特定のバケットへのアクセスを制限するには、条件where target.bucket.name='<bucket_name>'を追加します。次のポリシーによって、ユーザーは特定のコンパートメントのすべてのバケットをリストできますが、BucketAのオブジェクトのみを読み取ることができ、BucketAからのダウンロードのみ可能です。

Allow group ObjectReaders to read buckets in compartment ABC

Allow group ObjectReaders to read objects in compartment ABC where target.bucket.name='BucketA'

特定の定義済タグを持つバケットに制限されたアクセス

特定のコンパートメント内の特定のタグを持つバケットへのアクセスを制限するには、条件where target.bucket.tag.<TagNamespace>.<TagKeyDefinition>='<TagValue>'を追加します。次のポリシーにより、ユーザーはコンパートメントABC内のすべてのバケットをリストできますが、タグMyTagNamespace.TagKey='MyTagValue'のオブジェクトのみを読み込み、バケットからオブジェクトをダウンロードできます:

Allow group ObjectReaders to read buckets in compartment ABC
Allow group ObjectReaders to read objects in compartment ABC where target.bucket.tag.MyTagNamespace.TagKey='MyTagValue'

条件の使用の詳細は、高度なポリシーの機能を参照してください。

データベース管理者によるOracle Cloudデータベース・システムの管理
アクセス・タイプ: すべてのコンパートメントの次のシステム・タイプおよびそれに関連するリソースのすべての操作を実行する機能:
  • 専用インフラストラクチャ上のExadata Database Serviceインスタンス
  • ベア・メタルDBシステム
  • 仮想マシンDBシステム

これは、単一セットのデータベース管理者がすべてのコンパートメントのすべてのベア・メタル、仮想マシンおよびExadataシステムを管理する場合に意味を持ちます。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメント内のデータベース・システムのみにアクセス範囲を狭めるには、テナンシのかわりにそのコンパートメントを指定します。

Allow group DatabaseAdmins to manage database-family in tenancy
データベース管理者がCloud@CustomerインスタンスでExadata Database Serviceを管理できるようにします

アクセス・タイプ:すべてのコンパートメントのCloud@Customer上のExadata Database Serviceリソースのすべての操作を実行する機能。これは、単一セットのデータベース管理者がすべてのコンパートメントのすべてのCloud@Customer上のExadata Database Serviceシステムを管理する場合に意味を持ちます。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。Cloud@Customer上のExadata Database Serviceのみにアクセス範囲を減らすため

特定のコンパートメント内のシステム、テナンシのかわりにそのコンパートメントを指定します。

Allow group ExaCCAdmins to manage database-family in tenancy
データベース管理者によるMySQL Databaseリソースの管理

アクセス・タイプ:

すべてのコンパートメントのMySQL DatabaseおよびMySQL HeatWaveリソースのすべての操作を実行する機能。MySQL Database DBシステムを作成および管理するには、テナンシのVCN、サブネットおよびタグ・ネームスペースへの制限付きアクセスも必要です。

ポリシーを作成する場所: ポリシー継承によってすべてのコンパートメントにアクセス権が付与されるようにするため、テナンシ。
Allow group MySQLAdmins to {SUBNET_READ, SUBNET_ATTACH, SUBNET_DETACH, VCN_READ, COMPARTMENT_INSPECT} in tenancy
Allow group MySQLAdmins to manage mysql-family in tenancy
Allow group MySQLAdmins to use tag-namespaces in tenancy
データベース管理者によるOracle Cloud外部データベース・リソースの管理
アクセス・タイプ: すべてのコンパートメントの次のOCI外部データベース・リソースのすべての操作を実行する機能:
  • OCI外部コンテナ・データベース・リソース
  • OCI外部プラガブル・データベース・リソース
  • OCI外部非コンテナ・データベース・リソース
  • OCI外部データベース・コネクタ

これは、単一セットのデータベース管理者がすべてのコンパートメントのすべてのOCI外部データベース・リソースを管理する場合に意味を持ちます。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメント内のOCI外部データベース・リソースのみにアクセス範囲を減らすには、テナンシのかわりにそのコンパートメントを指定します。

Allow group OnPremDatabaseAdmins to manage external-database-family in tenancy
データベース管理者およびフリート管理者によるAutonomous Databaseの管理

アクセス・タイプ:すべてのコンパートメントのAutonomous Databaseインスタンスのすべての操作を実行する機能。単一セットのデータベース管理者がすべてのコンパートメントのすべてのAutonomous Databaseデータベースを管理する場合に適用されます。

ポリシーを作成する場所: ポリシー継承を介してすべてのコンパートメントにアクセス権が付与されるようにするため、テナンシ。特定のコンパートメントのAutonomous Databaseのみにアクセス範囲を狭めるには、テナンシのかわりにそのコンパートメントを指定します。

例1: フリート管理者用。Autonomous Databaseフリート管理者が任意のワークロード・タイプにアクセスし、次の専用Exadataインフラストラクチャ・リソース(Autonomous Container DatabaseおよびAutonomous VMクラスタ)を管理できるようにします。

Allow group DatabaseAdmins to manage autonomous-database-family in tenancy
ヒント

autonomous-database-family集約リソース・タイプは、専用ExadataインフラストラクチャAutonomous Databaseをプロビジョニングするために必要なcloud-exadata-infrastructuresリソース・タイプをカバーしていません。クラウドExadataインフラストラクチャの権限の詳細は、専用インフラストラクチャ上のExadata Database Serviceのポリシー詳細を参照してください。クラウドExadataインフラストラクチャ・リソースをカバーするサンプル・ポリシーについては、データベース管理者によるOracle Cloudデータベース・システムの管理を参照してください。

Autonomous VMクラスタおよびAutonomous Container Databaseリソース・タイプへのアクセスを制限する必要がある(専用Exadataインフラストラクチャにのみ適用可能)場合は、Autonomous Databaseおよびそのバックアップのみへのアクセスを許可するデータベース管理者に対して個別のポリシー・ステートメントを作成することでこれを実行できます。ポリシー・ステートメントで指定できるリソース・タイプは1つのみであるため、データベース・リソースとバックアップ・リソースに対して別々のステートメントを作成する必要があります。

例2: データベース管理者用。Autonomous Databaseデータベース管理者による様々なワークロード・タイプのデータベースおよびバックアップへのアクセスを可能にしますが、Autonomous Container Database、Autonomous VMクラスタおよびクラウドExadataインフラストラクチャ・リソースへのアクセスは拒否します。

Allow group ADB-Admins to manage autonomous-database in tenancy
Allow group ADB-Admins to manage autonomous-backup in tenancy

特定のワークロード・タイプにデータベースおよびバックアップのアクセス範囲を減らすには、where句を使用します。

例3: データベース管理者用。Autonomous Databaseアクセスを特定のワークロード・タイプのデータベースおよびバックアップに制限します。

Allow group ADB-Admins to manage autonomous-databases in tenancy where target.workloadType = 'workload_type'
Allow group ADB-Admins to manage autonomous-backups in tenancy where target.workloadType = 'workload_type'

前述のコード例で、workload_typeは、次の表にリストされている文字列の1つです。

Autonomous Databaseワークロード・タイプの文字列
データベース・ワークロード・タイプ ポリシーのworkload_type文字列
トランザクション処理および混合ワークロード用のAutonomous Database OLTP
分析およびデータ・ウェアハウス用のAutonomous Database DW
Autonomous JSON Database AJD
Oracle APEXアプリケーション開発 APEX
セキュリティ管理者によるボールト、キーおよびシークレットの管理

アクセス・タイプ: すべてのコンパートメントのボールト・サービスのすべての操作を実行する機能。これは、単一のセキュリティ管理者セットにより、すべてのコンパートメント内のすべてのボールト、キーおよびシークレット・コンポーネント(シークレット、シークレット・バージョンおよびシークレット・バンドルを含む)を管理する場合に意味があります。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメント内のボールト、キーおよびシークレット・コンポーネントのみにアクセス範囲を減らすには、テナンシのかわりにそのコンパートメントを指定します。ボールト、キーまたはシークレット・コンポーネントのみにアクセス範囲を減らすには、必要に応じて、個々のリソース・タイプまたは集約リソース・タイプに関連するポリシー・ステートメントのみを含めます。

Allow group SecurityAdmins to manage vaults in tenancy

Allow group SecurityAdmins to manage keys in tenancy

Allow group SecurityAdmins to manage secret-family in tenancy
セキュリティ管理者によるコンパートメント内の特定のボールト内のすべてのキーの管理

アクセス・タイプ:コンパートメントABC内の特定のボールト内のキーのすべての操作を実行する機能。

ポリシーを作成する場所:このポリシーをテナンシに配置する方法が最も簡単です。個々のコンパートメント(ABC)の管理者がコンパートメントの個々のポリシー・ステートメントを制御するには、ポリシー・アタッチメントを参照してください。

Allow group SecurityAdmins to manage keys in compartment ABC where target.vault.id='<vault_OCID>'
セキュリティ管理者によるコンパートメントの特定のキーの使用

アクセス・タイプ:コンパートメント内の特定のキーを使用して暗号化操作をリスト、表示および実行する機能。

ポリシーを作成する場所:このポリシーをテナンシに配置する方法が最も簡単です。個々のコンパートメント(ABC)の管理者がコンパートメントの個々のポリシー・ステートメントを制御するには、ポリシー・アタッチメントを参照してください。

Allow group SecurityAdmins to use keys in compartment ABC where target.key.id='<key_OCID>'
ユーザー・グループによるコンパートメントのキーの使用の委任

アクセス・タイプ: オブジェクト・ストレージ・バケット、ブロック・ボリューム・ボリューム、ファイル・ストレージ・ファイル・システム、Kubernetesクラスタまたはストリーミング・ストリーム・プールを、特定のコンパートメントで使用することを許可された特定のキーと関連付ける機能。このポリシーでは、指定されたグループのユーザーは、そのキー自体を使用する権限を持っていません。関連付けにより、オブジェクト・ストレージブロック・ボリュームファイル・ストレージContainer Engine for Kubernetesまたはストリーミングはキーを使用して、ユーザーにかわって次のことを実行できます:

  • 暗号化されたバケット、ボリュームまたはファイル・システムを作成または更新し、バケット、ボリュームまたはファイル・システム内のデータを暗号化または復号化します。
  • Kubernetesシークレットがetcdキー/値ストアへの保存時に暗号化されるKubernetesクラスタを作成します。
  • ストリーム・プールを作成して、ストリーム・プール内のストリームのデータを暗号化します。

このポリシーでは、オブジェクト・ストレージブロック・ボリュームファイル・ストレージContainer Engine for Kubernetesまたはストリーミングがキーを使用して暗号操作を実行できるようにするコンパニオン・ポリシーも必要です。

ポリシーを作成する場所:このポリシーをテナンシに配置する方法が最も簡単です。個々のコンパートメント(ABC)の管理者がコンパートメントの個々のポリシー・ステートメントを制御するには、ポリシー・アタッチメントを参照してください。

Allow group ObjectWriters, VolumeWriters, FileWriters, ClusterWriters, StreamWriters to use key-delegate in compartment ABC where target.key.id = '<key_OCID>'
ブロック・ボリューム、オブジェクト・ストレージ、ファイル・ストレージ、Container Engine for Kubernetesおよびストリーミング・サービスによるボリューム、ボリューム・バックアップ、バケット、ファイル・システム、Kubernetesシークレットおよびストリーム・プールの暗号化と復号化

アクセス・タイプ:コンパートメントABCのすべてのキーを使用して暗号操作をリスト、表示および実行する機能。オブジェクト・ストレージはリージョン別サービスであるため、地域エンドポイントがあります。このため、ボールトの暗号化を使用してオブジェクト・ストレージを使用している各リージョンに対して、リージョン別サービス名を指定する必要があります。このポリシーでは、オブジェクト・ストレージブロック・ボリュームファイル・ストレージContainer Engine for Kubernetesまたはストリーミングで使用される委任キーをユーザー・グループが使用できるようにするコンパニオン・ポリシーも必要です。

ポリシーを作成する場所:このポリシーをテナンシに配置する方法が最も簡単です。個々のコンパートメント(ABC)の管理者がコンパートメントの個々のポリシー・ステートメントを制御するには、ポリシー・アタッチメントを参照してください。

Allow service blockstorage, objectstorage-<region_name>, Fss<realm_key>Prod, oke, streaming to use keys in compartment ABC where target.key.id = '<key_OCID>'

オブジェクト・ストレージの場合、<region_name>を適切なリージョン識別子に置き換えます。例:

  • objectstorage-us-phoenix-1

  • objectstorage-us-ashburn-1

  • objectstorage-eu-frankfurt-1

  • objectstorage-uk-london-1

  • objectstorage-ap-tokyo-1

Oracle Cloud Infrastructureリージョンのリージョン名の値を決定するには、リージョンおよび可用性ドメインを参照してください。

ファイル・ストレージ・サービス・ユーザーの名前は、レルムによって異なります。ファイル・ストレージ・サービス・ユーザーのパターンはFssOc<n>Prodで、nはレルム番号です。レルムの詳細は、リージョンおよび可用性ドメインについてを参照してください。

Container Engine for Kubernetesの場合、ポリシーで使用されるサービス名はokeです。

ストリーミングの場合、ポリシーで使用されるサービス名はstreamingです。

セキュリティ管理者によるコンパートメントの特定のボールト内のすべてのシークレットの管理

アクセス・タイプ: コンパートメントABCの特定のボールト内のシークレットに関するすべての操作を実行する機能。

ポリシーを作成する場所:このポリシーをテナンシに配置する方法が最も簡単です。個々のコンパートメント(ABC)の管理者がコンパートメントの個々のポリシー・ステートメントを制御するには、ポリシー・アタッチメントを参照してください。

Allow group SecurityAdmins to manage secret-family in compartment ABC where target.vault.id='<vault_OCID>'
ユーザーによるすべてのシークレットの読取り、更新およびローテーション

アクセス・タイプ: テナンシ内の任意のボールトにあるすべてのシークレットの読取り、更新およびローテーションを行う機能。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメント内のボールト、キーおよびシークレットのみにアクセス範囲を減らすには、テナンシのかわりにそのコンパートメントを指定します。

Allow group SecretsUsers to use secret-family in tenancy
ユーザーによる自分のパスワードと資格証明の管理

ユーザーが自分の資格証明を管理するためにポリシーは不要です。すべてのユーザーが、自分のパスワードの変更やリセット、独自のAPIキーの管理、独自の認証トークンの管理を行うことができます。詳細は、ユーザー資格証明を参照してください。

コンパートメント管理者によるコンパートメントの管理

アクセス・タイプ:特定のコンパートメントのすべての側面を管理する機能。たとえば、A-Adminsというグループは、Project-Aというコンパートメントのすべての側面を管理できます。これには、コンパートメントに影響する追加のポリシーの書込みも含まれます。詳細は、ポリシー・アタッチメントを参照してください。このような設定と有用な追加ポリシーの例は、シナリオ例を参照してください。

ポリシーを作成する場所: テナンシ内。

Allow group A-Admins to manage all-resources in compartment Project-A
特定のリージョンへの管理アクセスの制限

アクセス・タイプ:特定のリージョンのリソースを管理する機能。IAMのリソースはホーム・リージョンで管理する必要があることに注意してください。指定したリージョンがホーム・リージョンではない場合、管理者はIAMリソースを管理できません。ホーム・リージョンの詳細は、リージョンの管理を参照してください。

ポリシーを作成する場所: テナンシ内。

Allow group PHX-Admins to manage all-resources in tenancy where request.region='phx'

前述のポリシーにより、PHX管理者は米国西部(フェニックス)内のすべてのリソースのすべての側面を管理できます。

PHXのメンバー-テナンシのホーム・リージョンが米国西部(フェニックス)の場合、管理者グループはIAMリソースのみ管理できます。

要約のお知らせのみを表示するユーザー・アクセスの制限

アクセス・タイプ:Oracle Cloud Infrastructureサービスの操作ステータスに関するお知らせの要約バージョンを表示する機能。

ポリシーを作成する場所: テナンシ内。

Allow group AnnouncementListers to inspect announcements in tenancy

前述のポリシーによって、AnnouncementListersは、要約のお知らせのリストを表示できます。

ユーザーによるお知らせの詳細の表示

アクセス・タイプ:Oracle Cloud Infrastructureサービスの操作ステータスに関するお知らせの詳細を表示する機能。

ポリシーを作成する場所: テナンシ内。

Allow group AnnouncementReaders to read announcements in tenancy

このポリシーによって、AnnouncementReadersは、要約のお知らせのリストおよび特定のお知らせの詳細を表示できます。

ストリーミング管理者によるストリーミング・リソースの管理

アクセス・タイプ:すべてのコンパートメントのストリーミング・サービスのすべての操作を実行する機能。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメント内のストリームにのみアクセス範囲を狭くするには、そのコンパートメントをテナンシのかわりに指定します。

Allow group StreamAdmins to manage stream-family in tenancy
ストリーミング・ユーザーによるストリームへのメッセージの公開

アクセス・タイプ:すべてのコンパートメント内のストリーミング・サービスとともにストリームに対してメッセージを生成する機能。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメント内のストリームにのみアクセス範囲を狭くするには、そのコンパートメントをテナンシのかわりに指定します。

Allow group StreamUsers to use stream-push in tenancy
ストリーミング・ユーザーによる特定のストリームへのメッセージの公開

アクセス・タイプ:ストリーミング・サービスとともにストリームへのメッセージを生成する機能。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメント内のストリームにのみアクセス範囲を狭くするには、そのコンパートメントをテナンシのかわりに指定します。

Allow group StreamUsers to use stream-push in tenancy where target.stream.id = '<stream_OCID>'
ストリーミング・ユーザーによる特定のストリーム・プール内のストリームへのメッセージの公開

アクセス・タイプ:ストリーミング・サービスとともにストリームへのメッセージを生成する機能。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメント内のストリームにのみアクセス範囲を狭くするには、そのコンパートメントをテナンシのかわりに指定します。

Allow group StreamUsers to use stream-push in tenancy where target.streampool.id = '<stream_OCID>'
ストリーミング・ユーザーによるストリームからのメッセージの消費

アクセス・タイプ:すべてのコンパートメントのストリーミング・サービスとともにストリームからメッセージを消費する機能。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメント内のストリームにのみアクセス範囲を狭くするには、そのコンパートメントをテナンシのかわりに指定します。

Allow group StreamUsers to use stream-pull in tenancy
ユーザーによるコンパートメント内のメトリック定義の表示

アクセス・タイプ:特定のコンパートメント内のメトリック定義を表示する機能。メトリックの詳細は、メトリック機能の概要を参照してください。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメント内のメトリック定義のみにアクセスの範囲を減らすには、テナンシのかわりにそのコンパートメントを指定します。

Allow group MetricReaders to inspect metrics in compartment ABC
ユーザーによるコンパートメント内のモニタリング・メトリックのアクセス

アクセス・タイプ:特定のコンパートメント内でサポートされているリソースのモニタリング・メトリックを表示および取得する機能。メトリックの詳細は、メトリック機能の概要を参照してください。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。アクセス範囲を特定のコンパートメント内のメトリックのみに減らすには、テナンシのかわりにそのコンパートメントを指定します。

Allow group MetricReaders to read metrics in compartment ABC
特定のメトリック・ネームスペースへのユーザー・アクセスの制限

アクセス・タイプ:特定のメトリック・ネームスペースのリソースのモニタリング・メトリックを表示および取得する機能。メトリックの詳細は、メトリック機能の概要を参照してください。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。指定されたメトリック・ネームスペースのアクセスの範囲を特定のコンパートメント内のみに減らすには、テナンシのかわりにそのコンパートメントを指定します。

Allow group MetricReaders to read metrics in compartment ABC where target.metrics.namespace='oci_computeagent'

前述のポリシーによって、MetricReadersは、ABCコンパートメント内のすべてのモニタリング対応コンピュート・インスタンスからメトリック・データ・ポイントを表示および取得できます。

ユーザーによるカスタム・メトリックの公開

アクセス・タイプ:特定のメトリック・ネームスペースのカスタム・メトリックモニタリング・サービスに公開する機能。手順については、カスタム・メトリックの公開を参照してください。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメントのメトリックのみにアクセス範囲を狭くするには、テナンシのかわりにコンパートメントを指定します。

Allow group MetricPublishers to use metrics in tenancy where target.metrics.namespace='mycustomnamespace'

前述のポリシーを使用すると、MetricPublishersはテナンシ内のカスタム・メトリック・ネームスペースmycustomnamespaceのデータ・ポイントを公開できます。

インスタンスでのテナンシのモニタリング・メトリックにアクセスするAPIコールの実行

アクセス・タイプ:モニタリング・メトリックにアクセスするために モニタリングAPIを呼び出す機能。APIリクエストの発生元のインスタンスは、ポリシーに示される動的グループのメンバーである必要があります。詳細は、インスタンスからのサービスのコールおよびメトリック機能の概要を参照してください。

ポリシーを作成する場所: テナンシ内。

Allow dynamic-group MetricInstances to read metrics in tenancy

前述のポリシーによって、動的グループMetricInstancesコンピュート・インスタンスで実行されているアプリケーションは、テナンシ内のモニタリング・サービスにAPIリクエストを送信できます。

ユーザーによるアラームの表示

アクセス・タイプ:テナンシ内のサポートされるリソースのアラームを表示する機能。アラームを作成したり、トピックを作成または削除したりする機能は含まれません。アラームの詳細は、「アラーム機能の概要」を参照してください。

ポリシーを作成する場所: テナンシ内。ポリシー継承の概念により、AlarmUsersは、任意のコンパートメントのアラームを表示できます。特定のコンパートメントへのアクセスの範囲を減らすには、テナンシのかわりにコンパートメントを指定します。

Allow group AlarmUsers to read alarms in tenancy

Allow group AlarmUsers to read metrics in tenancy
ユーザーによるアラームの管理

アクセス・タイプ:テナンシ内のサポートされるリソースについて、既存の通知トピックを使用してアラームを表示および作成する機能。トピックを作成または削除する機能は含まれません。アラームの詳細は、「アラーム機能の概要」を参照してください。

AlarmUsersでアラームを作成するには、すべてのステートメントが必要です。

ポリシーを作成する場所: テナンシ内。ポリシー継承の概念上、AlarmUsersは、任意のコンパートメントでアラームを表示および作成できるようになります。特定のコンパートメントへのアクセスの範囲を減らすには、テナンシのかわりにコンパートメントを指定します。

Allow group AlarmUsers to manage alarms in tenancy

Allow group AlarmUsers to read metrics in tenancy

Allow group AlarmUsers to use ons-topics in tenancy
ユーザーによるアラームの管理およびトピックの作成

アクセス・タイプ:テナンシのサポートされているリソースのアラームを(新規または既存のトピックとともに)表示および作成する機能。また、テナンシでサブスクリプションを作成し、テナンシのすべてのサブスクリプションにメッセージ(ブロードキャスト通知メッセージ)を公開し、テナンシ内の別のコンパートメントにアラームを移動する機能も含まれます。アラームの詳細は、「アラーム機能の概要」を参照してください。

ポリシーを作成する場所: テナンシ内。ポリシー継承の概念上、AlarmUsersは、任意のコンパートメントでアラームを表示および作成できるようになります。特定のコンパートメントへのアクセスの範囲を減らすには、テナンシのかわりにコンパートメントを指定します。

Allow group AlarmUsers to manage alarms in tenancy

Allow group AlarmUsers to read metrics in tenancy

Allow group AlarmUsers to manage ons-topics in tenancy
ユーザーによる使用状況レポートへのアクセス

アクセス・タイプ: テナンシの使用状況レポートを表示する機能。使用状況レポートの詳細は、コストおよび使用状況レポートの概要を参照してください。

ポリシーの作成場所: これは特殊なクロス・テナンシ・ポリシーであり、テナンシ内に作成する必要があります。詳細は、コストおよび使用状況レポートの概要を参照してください。

define tenancy usage-report as ocid1.tenancy.oc1..aaaaaaaaned4fkpkisbwjlr56u7cj63lf3wffbilvqknstgtvzub7vhqkggq
				endorse group Administrators to read objects in tenancy usage-report
ユーザーによるコストの分析

アクセス権タイプ: テナンシのコストを表示する権限。経費と使用状況の確認を参照してください。

ポリシーを作成する場所: テナンシ内。<Example_Group>のユーザーがアカウント全体のコストを確認できるようになります。

Allow group <Example_Group> to read usage-reports in tenancy
グループによるトピックの管理の許可

アクセス・タイプ:テナンシ内のトピックを取得、作成、更新および削除する機能、およびテナンシ内の異なるコンパートメントにトピックを移動する機能。また、テナンシでサブスクリプションを作成し、テナンシのすべてのサブスクリプションにメッセージ(ブロードキャスト通知メッセージ)を公開する機能も含まれます。

ポリシーを作成する場所: テナンシ内。

Allow group A-Admins to manage ons-topics in tenancy
グループによるトピック・サブスクリプションの管理の許可

アクセス・タイプ:テナンシのトピックのサブスクリプションをリスト、作成、更新および削除する機能。サブスクリプションをテナンシ内の異なるコンパートメントに移動する機能。

ポリシーを作成する場所: テナンシ内。

Allow group A-Admins to manage ons-subscriptions in tenancy
グループによるトピックへのメッセージの公開の許可

アクセス・タイプ:テナンシ内のすべてのサブスクリプションに通知メッセージをブロードキャストし、テナンシ内のサブスクリプションをリスト、作成、更新および削除する機能。

ポリシーを作成する場所: テナンシ内。

Allow group A-Admins to use ons-topics in tenancy
ユーザーによるファンクションおよびアプリケーションの作成、デプロイおよび管理

アクセス・タイプ: ファンクション・アプリケーションおよびファンクションを作成、デプロイおよび管理する機能。これらのポリシー・ステートメントにより、クラウド・シェル、Oracle Cloud Infrastructure Registry内のリポジトリ、ログ、メトリック、ファンクション、ネットワークおよびトレースへのアクセス権がグループに付与されます。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。アクセス範囲を特定のコンパートメントのリソースのみに減らすために、ほとんどのポリシー・ステートメントにテナンシのかわりにコンパートメントを指定できます。ただし、to read objectstorage-namespacesおよびto use reposは常にテナンシにスコープ設定されている必要があります。


Allow group functions-developers to use cloud-shell in tenancy
Allow group functions-developers to manage repos in tenancy
Allow group functions-developers to read objectstorage-namespaces in tenancy
Allow group functions-developers to manage logging-family in tenancy
Allow group functions-developers to read metrics in tenancy
Allow group functions-developers to manage functions-family in tenancy
Allow group functions-developers to use virtual-network-family in tenancy
Allow group functions-developers to use use apm-domains in tenancy
Allow group functions-developers to read vaults in tenancy
Allow group functions-developers to use keys in tenancy
Allow service faas to use apm-domains in tenancy
Allow service faas to read repos in tenancy where request.operation='ListContainerImageSignatures'
Allow service faas to {KEY_READ} in tenancy where request.operation='GetKeyVersion'
Allow service faas to {KEY_VERIFY} in tenancy where request.operation='Verify'
ユーザーによるコンパートメント内のイベント・ルールのリスト

アクセス・タイプ: イベント・ルールをリストできるかどうか。

ポリシーを作成する場所: テナンシ内。

Allow group RuleReaders to read cloudevents-rules in tenancy

前述のポリシーを使用すると、RuleReadersはテナンシのルールをリストできます。

管理者によるコンパートメント内のイベント・ルールの管理

アクセス・タイプ:ルールの作成、削除、更新など、イベント・ルールを管理する機能。

ポリシーを作成する場所: テナンシ内。

この行では、ユーザーにコンパートメントのリソースへの検査アクセス権が付与され、処理が選択されます。

allow group <RuleAdmins> to inspect compartments in tenancy

この行では、ユーザーに、定義済のタグへのアクセス権を付与して、フィルタ・タグをルールに適用します。

allow group <RuleAdmins> to use tag-namespaces in tenancy

次の行では、ユーザーに処理のためのストリーミング・リソースのアクセス権を付与します

allow group <RuleAdmins> to inspect streams in tenancy
allow group <RuleAdmins> to use stream-push in tenancy
allow group <RuleAdmins> to use stream-pull in tenancy

次の行では、ユーザーに処理のための関数リソースのアクセス権を付与します。

allow group <RuleAdmins> to use virtual-network-family in tenancy
allow group <RuleAdmins> to manage function-family in tenancy

この行では、処理のための通知トピックのアクセス権をユーザーに付与します。

allow group <RuleAdmins> to use ons-topic in tenancy

この行では、ユーザーにイベントのルールに対する管理アクセス権が付与されます。

allow group <RuleAdmins> to manage cloudevents-rules in tenancy
グループによるクラウド・ガードのすべてへのアクセスの許可

アクセス・タイプ: クラウド・ガードのすべてへの読取り専用アクセス。ポリシーの例では、グループは「CloudGuard_ReadOnly」です。

allow group CloudGuard_ReadOnly to read cloud-guard-family in tenancy
allow group CloudGuard_ReadOnly to read compartments in tenancy
allow group CloudGuard_ReadOnly to read announcements in tenancy
グループによるクラウド・ガードの問題へのアクセスの許可

アクセス・タイプ: クラウド・ガードの問題への読取り専用アクセス。ポリシーの例では、グループは「CloudGuard_ReadOnlyProblems」です。

allow group CloudGuard_ReadOnlyProblems to read cloud-guard-family in tenancy
allow group CloudGuard_ReadOnlyProblems to inspect cloud-guard-detectors in tenancy
allow group CloudGuard_ReadOnlyProblems to inspect cloud-guard-targets in tenancy
allow group CloudGuard_ReadOnlyProblems to inspect cloud-guard-resource-types in tenancy
allow group CloudGuard_ReadOnlyProblems to read announcements in tenancy
allow group CloudGuard_ReadOnlyProblems to read compartments in tenancy
allow group CloudGuard_ReadOnlyProblems to read cloud-guard-config in tenancy
グループによるクラウド・ガード・ディテクタ・レシピへのアクセスの許可

アクセス・タイプ: クラウド・ガード・ディテクタ・レシピへの読取り専用アクセス。ポリシーの例では、グループは「CloudGuard_ReadOnlyDetectors」です。

allow group CloudGuard_ReadOnlyDetectors to read cloud-guard-detector-recipes in tenancy
allow group CloudGuard_ReadOnlyDetectors to read announcements in tenancy
allow group CloudGuard_ReadOnlyDetectors to read compartments in tenancy
allow group CloudGuard_ReadOnlyDetectors to read cloud-guard-config in tenancy
グループによる単一コンパートメント内のクラウド・ガードへのアクセスの許可

アクセス・タイプ: 単一コンパートメント内のクラウド・ガードへの読取り専用アクセス。ポリシーの例では、グループは「CloudGuard_ReadOnly_SingleCompartment」で、コンパートメント名は「cgDemo_RestrictedAccess」です。

allow group CloudGuard_ReadOnly_SingleCompartment to read compartments in tenancy where target.compartment.name = 'cgDemo_RestrictedAccess'
allow group CloudGuard_ReadOnly_SingleCompartment to read cloud-guard-family in compartment cgDemo_RestrictedAccess
allow group CloudGuard_ReadOnly_SingleCompartment to read announcements in compartment cgDemo_RestrictedAccess
allow group CloudGuard_ReadOnly_SingleCompartment to read cloud-guard-config in tenancy
セキュリティ管理者によるすべての要塞およびセッションの管理

アクセス・タイプ: すべてのコンパートメントの要塞サービスのすべてのリソースを管理する機能。これは、単一セットのセキュリティ管理者がすべてのコンパートメントのすべての要塞およびセッションを管理する場合に意味を持ちます。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメント内の要塞および要塞セッションのみにアクセス範囲を減らすには、テナンシのかわりにそのコンパートメントを指定します。

Allow group SecurityAdmins to manage bastion in tenancy
Allow group SecurityAdmins to manage bastion-session in tenancy
Allow group SecurityAdmins to manage virtual-network-family in tenancy
Allow group SecurityAdmins to read instance-family in tenancy
Allow group SecurityAdmins to read instance-agent-plugins in tenancy
Allow group SecurityAdmins to inspect work-requests in tenancy
セキュリティ管理者による要塞セッションの管理

アクセス・タイプ: すべての要塞およびすべてのコンパートメントのすべてのセッションを管理する機能(セッションの作成、接続および終了を含む)。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメント内の要塞セッションのみにアクセス範囲を減らすには、テナンシのかわりにそのコンパートメントを指定します。

Allow group SecurityAdmins to use bastion in tenancy
Allow group SecurityAdmins to manage bastion-session in tenancy
Allow group SecurityAdmins to manage virtual-network-family in tenancy
Allow group SecurityAdmins to read instance-family in tenancy
Allow group SecurityAdmins to read instance-agent-plugins in tenancy
Allow group SecurityAdmins to inspect work-requests in tenancy
セキュリティ管理者によるコンパートメント内の特定のターゲット・ホストの要塞セッションの管理

アクセス・タイプ: 特定のコンパートメント内の要塞セッションを管理する機能(特定のコンピュート・インスタンスに接続を提供するセッションのみが対象)。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。

Allow group SecurityAdmins to use bastion in compartment ABC
Allow group SecurityAdmins to manage bastion-session in compartment ABC where ALL {target.resource.ocid='<instance_OCID>', target.bastion-session.username='<session_username>'}
Allow group SecurityAdmins to manage virtual-network-family in tenancy
Allow group SecurityAdmins to read instance-family in tenancy
Allow group SecurityAdmins to read instance-agent-plugins in tenancy
Allow group SecurityAdmins to inspect work-requests in tenancy
セキュリティ管理者によるすべてのコンパートメント内のインスタンス・スキャンの構成

アクセス・タイプ: Oracle Vulnerability Scanning Serviceを構成してすべてのコンパートメント内のすべてのコンピュートインスタンスをスキャンし、スキャン結果を表示する機能。単一セットのセキュリティ管理者がすべてのインスタンスの脆弱性スキャンを構成する場合は、このポリシーを検討してください。

ポリシーを作成する場所: ポリシー継承を介してすべてのコンパートメントにアクセス権が付与されるようにするため、テナンシ。特定のコンパートメント内のコンピュート・インスタンスのみにアクセス範囲を減らすには、テナンシのかわりにそのコンパートメントを指定します。

Allow group SecurityAdmins to manage vss-family in tenancy
Allow service vulnerability-scanning-service to manage instances in tenancy
Allow service vulnerability-scanning-service to read compartments in tenancy
Allow service vulnerability-scanning-service to read vnics in tenancy
Allow service vulnerability-scanning-service to read vnic-attachments in tenancy
ユーザーによるすべてのコンパートメント内の脆弱性スキャン結果の表示

アクセス・タイプ: セキュリティ脆弱性を検出するために、すべてのコンパートメント内のコンピュートインスタンスのスキャン結果を表示する機能。専門チームがテナンシ全体のセキュリティの確認または監査を担当する場合は、このポリシーを検討してください。

ポリシーを作成する場所: ポリシー継承を介してすべてのコンパートメントにアクセス権が付与されるようにするため、テナンシ。特定のコンパートメント内のスキャン結果のみにアクセス範囲を減らすには、テナンシのかわりにそのコンパートメントを指定します。

Allow group SecurityReviewers to read vss-family in tenancy
グループによるサービス・コネクタの管理の許可

アクセス・タイプ: テナンシ内のサービス・コネクタをリスト、作成、更新および削除する機能。テナンシ内の別のコンパートメントにサービス・コネクタを移動する機能。

ポリシーを作成する場所: テナンシ内。

Allow group A-Admins to manage serviceconnectors in tenancy
グループによるテナンシでのオペレーション・インサイト取込み操作のコールの許可

アクセス・タイプ: テナンシ・レベルでのみオペレーション・インサイト取込み操作をコールする機能。

ポリシーを作成する場所: テナンシ内。

allow group opsi-users to use opsi-database-insights in tenancy 
where any 
{request.operation='IngestSqlBucket', 
request.operation='IngestSqlText',
request.operation='IngestSqlPlanLines'}
ユーザーによるネットワーキングのないワークスペースの作成および削除(データ統合)

コンパートメント内のワークスペースを作成、削除および変更する機能。

allow group <group-name> to manage dis-workspaces in <compartment-name>
allow group <group-name> to manage dis-work-requests in <compartment-name>
allow group <group-name> to manage tag-namespaces in <compartment-name>
ユーザーによるネットワーキングのあるワークスペースの作成および削除(データ統合)

仮想ネットワーク内のワークスペースを作成、削除および変更する機能。

allow service dataintegration to use virtual-network-family in <compartment-name>
allow group <group-name> to manage dis-workspaces in <compartment-name>
allow group <group-name> to manage dis-work-requests in <compartment-name>
allow group <group-name> to use virtual-network-family in <compartment-name>
allow group <group-name> to manage tag-namespaces in <compartment-name>
ユーザーおよびリソース・プリンシパルによる指定ワークスペースのオブジェクト・ストレージへのアクセスおよび使用(データ統合)

すべてのワークスペース内でオブジェクト・ストレージ・データ・アセットを作成および使用する機能。

allow any-user to use buckets in <compartment-name> where ALL {request.principal.type='disworkspace'}
allow any-user to manage objects in <compartment-name> where ALL {request.principal.type='disworkspace'}
allow group <group-name> to use object-family in <compartment-name>

個々のワークスペースへのアクセス権を付与するには、アクセスを許可するワークスペースのOCIDを指定します。例:

allow any-user to use buckets in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}
allow any-user to manage objects in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}
ユーザーおよびリソース・プリンシパルによる指定ワークスペースのターゲットとしてのAutonomous Databaseへのアクセスおよび使用(データ統合)

すべてのワークスペース内でAutonomous Databaseデータ・アセットを作成および使用する機能。

allow any-user to use buckets in <compartment-name> where ALL {request.principal.type='disworkspace'}
allow any-user to manage objects in <compartment-name> where ALL {request.principal.type='disworkspace'}
allow group <group-name> to use object-family in <compartment-name>
allow any-user to manage buckets in <compartment-name> where ALL {request.principal.type='disworkspace', request.permission='PAR_MANAGE'}

個々のワークスペースへのアクセス権を付与するには、アクセスを許可するワークスペースのOCIDを指定します。例:

allow any-user to use buckets in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}
allow any-user to manage objects in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}
allow any-user to manage buckets in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>', request.permission='PAR_MANAGE'}
ユーザーによる新規コンパートメントへのワークスペースの移動(データ統合)

新規コンパートメントにワークスペースを移動する機能。

allow service dataintegration to inspect compartments in <compartment-name>
allow group <group-name> to manage dis-workspaces in <compartment-name>
ユーザーによるOCIデータ・フロー・サービスへのタスクの公開(データ統合)

すべてのワークスペース内の様々なタスクをOCIデータ・フロー・サービスに公開する機能。

allow any-user to manage dataflow-application in <compartment-name> where ALL {request.principal.type='disworkspace'}

個々のワークスペースへのアクセス権を付与するには、アクセスを許可するワークスペースのOCIDを指定します。例:

allow any-user to manage dataflow-application in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}
ユーザーによる指定ワークスペースのOCIボールト・サービスへのアクセス(データ統合)

すべてのワークスペース内のOCIボールト・シークレットを使用する機能。

allow any-user to read secret-bundles in <compartment-name> where ALL {request.principal.type='disworkspace'}
allow group <group-name> to read secret-bundles in <compartment-name>

個々のワークスペースへのアクセス権を付与するには、アクセスを許可するワークスペースのOCIDを指定します。例:

allow any-user to read secret-bundles in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}
管理者によるお知らせのサブスクリプションの管理

アクセス・タイプ: Oracle Cloud Infrastructureサービスの操作ステータスに関するお知らせを配信するサブスクリプションを管理する機能。

ポリシーを作成する場所:このポリシーをテナンシに配置する方法が最も簡単です。ポリシー継承の概念により、アクセス権を付与するグループは、任意のコンパートメントでお知らせのサブスクリプションを管理できます。特定のコンパートメントのお知らせにアクセス範囲を減らすには、テナンシのかわりにコンパートメントを指定します。

Allow group AnnouncementAdmins to manage announcement-subscriptions in tenancy

このポリシーによって、AnnouncementAdminsは、要約のお知らせのリストおよび特定のお知らせの詳細を表示できます。