ポリシーの開始

Oracle Cloud Infrastructure Identity and Access Management (IAM)ポリシーを新規作成する場合、このトピックで続行方法のガイダンスを提供します。

概念実証を行う場合

Oracle Cloud Infrastructureを試用する場合、またはインフラストラクチャ・リソースを使用して概念実証のプロジェクトを行う場合、すべての処理の完全なアクセス権を持つ管理者は多く必要ない可能性があります。その場合は、必要な新しいユーザーを作成して管理者グループに追加するだけです。ユーザーは、任意の種類のリソースですべての操作を実行できます。また、テナンシ(ルート・コンパートメント)に直接すべてのリソースを作成できます。まだコンパートメントを作成する必要はありません。また、テナント管理ポリシー以外の他のポリシーを作成する必要もありません。このポリシーはテナンシに自動的に付属し、変更できません。

ノート

新しいユーザーを管理者グループに追加することを忘れないでください。新規作成の後で見落としがちです。

概念実証フェーズを行った場合

概念実証フェーズを行った後に、リソースへのアクセスを制限する場合は、最初に次の手順を実行します。

ポリシーに関するFAQ

ポリシーを介してアクセスを制御できるOracle Cloud Infrastructure内のサービスはどれですか。

それらすべて(IAM自体を含む)。ポリシー・リファレンスで、各サービスのポリシーを記述するための特定の詳細を確認できます。

ユーザーは管理者がポリシーに書き込まずに処理を実行できますか。

はい。すべてのユーザーは、明示的なポリシーなしで自動的にこれらの操作を実行できます。

  • 自分のコンソール・パスワードを変更またはリセットします。
  • 独自のAPI署名キーおよびその他の資格証明を管理します。
リソースをコンパートメントごとに分離する必要があるのはなぜですか。すべてのリソースを1つのコンパートメントに配置し、ポリシーを使用してだれが何にアクセスできるかを制御することはできないのですか。

すべてのリソースを単一のコンパートメントに配置し、ポリシーを使用してアクセスを制御することもできますが、使用および請求をコンパートメント別に測定するメリットや、コンパートメント・レベルで単純なポリシー管理を実施するメリット、さらにプロジェクトまたはビジネス・ユニット間でリソースを明確に分離するメリットがなくなります。

個々のユーザーのアクセスを制御または拒否できますか。

はい。ただし、最初に知っておく必要があることがいくつかあります。

  • 企業には通常、同様の権限を必要とする複数のユーザーがいるため、ポリシーは個々のユーザーではなく、ユーザーのグループにアクセス権を付与するように設計されています。ユーザーは、グループに所属してアクセスを取得します。
  • ポリシーはアクセスを許可するように設計されており、ポリシーを書き込むときに明示的な「拒否」はありません。

特定のユーザーにアクセス権を付与する必要がある場合は、変数でユーザーのOCIDを指定する条件をポリシーに追加できます。この構成では、ポリシーで付与するアクセスを、条件内で指定したユーザーのみに制限します。例:

allow any-user to read object-family in compartment ObjectStorage where request.user.id ='ocid1.user.oc1..<user_OCID>'

ポリシーでの条件および変数の使用の詳細は、条件を参照してください。

特定のユーザーのアクセスを制限する必要がある場合は、次のことが可能です。

  • 対象となる特定のグループからユーザーを削除します
  • IAMからユーザーを完全に削除します(ユーザーをすべてのグループから最初に削除する必要があります)
ユーザーはどのようにして削除するのですか。

最初に、ユーザーがどのグループにも属していないことを確認します。その場合のみ、ユーザーを削除できます。

特定のグループまたはユーザーに適用するポリシーはどのようにわかりますか。

どのステートメントがどのグループに適用されるかを確認するには、すべてのポリシーで個々のステートメントを確認する必要があります。現在、この情報を簡単に取得する方法はありません。

特定のコンパートメントに適用されるポリシーはどのようにわかりますか。

特定のコンパートメントに適用されるかどうかを確認するには、テナンシのすべてのポリシーの個々のステートメントを参照する必要があります。また、コンパートメント自体のポリシーも参照する必要があります。兄弟コンパートメントのポリシーは、対象のコンパートメントを参照できないため、これらのポリシーを確認する必要はありません。