アイデンティティ・ドメインを使用しないIAMの既知の問題
アイデンティティ・ドメインを使用しないIAMでは、次の既知の問題が特定されています。
グループまたは動的グループを名で指定するポリシーによって付与される権限は、名前が変わっても存続します
- 詳細
- 名前でグループまたは動的グループを参照するポリシー・ステートメントが、グループ名または動的グループ名を変更しても有効なままです。グループまたは動的グループに以前の名前で付与されたアクセス権が存続します。ポリシーは、グループまたは動的グループのメンバーにリソースへのアクセス権を付与し続けます。ポリシー・ステートメント自体は変更されません。このようになるのは、IAMによってポリシーが名前ではなくサブジェクトOCIDに適用されるためです。
- 回避方法
- Oracleでは、目的のグループ名または動的グループ名を最新の状態に維持するか、かわりにサブジェクトOCIDsを参照するようにポリシー・ステートメントを更新することを強くお薦めします。また、参照が最新ではなく必要なくなったポリシー・ステートメントは削除してください。
リソース・タイプ内の新しい権限は伝播されない
- 詳細
- 新しい権限が既存のリソース・タイプに追加された場合、その権限はリソース・タイプを含むポリシーに伝播されません。これは、ポリシー・ステートメントに対する変更がないかぎり、IAMがポリシーを再コンパイルしない場合のために発生します。
- 回避方法
- リソース・タイプを使用する既存のポリシーに対して、リソース・タイプに新しい権限が追加された場合は、そのリソース・タイプを使用するポリシーに空白を追加してポリシーを編集します。次に、ポリシーを保存します。
削除したコンパートメントがサービス制限に対して引き続きカウントされます
- 詳細
- 削除したコンパートメントが、テナンシのコンパートメント・サービス制限に対して引き続きカウントされる。削除されたコンパートメントがカウントから除外されるのは90日後です。これは、削除したコンパートメントの期間をコンソールに引き続き表示するように指定する設定でもあります。
- 回避方法
- この問題が解決するまで、コンパートメントのサービス制限を増やすようにリクエストできます。「サービス制限の引上げのリクエスト」を参照してください。