ポリシー・リファレンス

このリファレンスの内容は次のとおりです。

コンソールまたはAPIを使用してポリシーを作成および管理する手順については、ポリシーの管理を参照してください。

動詞

動詞は、最も少ない機能から順に一覧表示されています。各動詞の正確な意味は、どのリソース・タイプと組み合せられているかによって異なります。この項の後半の表では、動詞とリソース・タイプの組合せでカバーされるAPI操作を示します。

動詞 カバーされるアクセスのタイプ ターゲット・ユーザー
inspect リソースに含まれる可能性がある機密情報またはユーザー指定メタデータにはアクセスせずに、リソースをリストできる権限。重要: ポリシーをリストする操作ではポリシー自体の内容が対象となり、ネットワーキング・リソース・タイプのリスト操作ではすべての情報(セキュリティ・リストおよびルート表の内容など)が返されます。 サードパーティ監査者
read inspectに加えて、ユーザー指定のメタデータと実際のリソース自体を取得する機能が含まれます。 内部監査者
use readに、既存のリソースを操作する機能を追加します(アクションはリソース・タイプによって異なります)。リソースの更新機能が含まれますが、「更新」操作が「作成」操作と同じ効果的な影響を及ぼすリソース・タイプ(UpdatePolicyUpdateSecurityListなど)は除きます。この場合、「更新」機能はmanage動詞でのみ使用できます。一般に、この動詞には、そのタイプのリソースを作成または削除する機能はありません。 リソースの日常的なエンド・ユーザー
manage リソースのすべての権限が含まれます。 管理者

リソース・タイプ

ファミリ・リソース・タイプは次のとおりです。各ファミリを構成する個々のリソース・タイプは、リンクに従います。

IAMにはファミリ・リソース・タイプはなく、個々のタイプのみが含まれます。IAMの詳細を参照してください。

すべてのリクエストの一般的な変数

ポリシーに条件を追加する場合は、変数を使用します。詳細は、条件を参照してください。次に、すべてのリクエストに適用される一般的な変数を示します。

名前 タイプ 説明
request.user.id エンティティ(OCID) リクエスト・ユーザーのOCID。
request.user.mfaTotpVerified ブール型

ユーザーがマルチファクタ認証(MFA)で検証されたかどうか。MFA検証済ユーザーのみにアクセスを制限するには、条件を追加します

where request.user.mfaTotpVerified='true'

MFAの設定の詳細は、マルチファクタ認証の管理を参照してください。

request.groups.id エンティティのリスト(OCID) リクエストしているユーザーが属するグループのOCID。
request.permission 文字列 リクエストされている基礎となる権限(権限を参照)。
request.operation 文字列 リクエストされているAPI操作名(ListUsersなど)。
request.networkSource.name 文字列 リクエストの発行を許可されるIPアドレスを指定するネットワーク・ソース・グループの名前。詳細は、ネットワーク・ソースの管理を参照してください。
request.region 文字列

リクエストが発行されるリージョンの3文字のキー。指定できる値は次のとおりです。

  • AMS - オランダ北西部(アムステルダム)に使用
  • BOM - インド西部(Mumbai)に使用
  • FRA - ドイツ中央部(フランクフルト)に使用
  • GRU - ブラジル東部(サンパウロ)に使用
  • HYD - インド南部(ハイデラバード)に使用
  • IAD - 米国東部(アッシュバーン)に使用
  • ICN - 大韓民国中部(ソウル)に使用
  • JED - サウジアラビア西部(ジッダ)に使用
  • KIX - 日本中央部(大阪)に使用
  • LHR - 英国南部(ロンドン)に使用
  • MEL - オーストラリア南東部(メルボルン)に使用
  • NRT - 日本東部(東京)に使用
  • PHX - 米国西部(フェニックス)に使用
  • SJC - 米国西部(サンノゼ)に使用
  • SYD - オーストラリア東部(シドニー)に使用
  • YNY - 韓国北部(春川)に使用
  • YUL - カナダ南東部(モントリオール)に使用
  • YYZ - カナダ南東部(トロント)に使用
  • ZRH - スイス北部(チューリッヒ)に使用
request.ad 文字列 リクエストが発行される可用性ドメインの名前。可用性ドメイン名のリストを取得するには、ListAvailabilityDomains操作を使用します。
request.principal.compartment.tag 文字列 リクエストしているリソースが属するコンパートメントに適用されたタグが一致しているかどうかが評価されます。使用手順は、タグを使用したアクセスの管理を参照してください。
request.principal.group.tag 文字列 ユーザーが属するグループに適用されるタグが一致するかどうかが評価されます。使用手順は、タグを使用したアクセスの管理を参照してください。
target.compartment.name 文字列 target.compartment.idで指定されたコンパートメントの名前。
target.compartment.id エンティティ(OCID)

プライマリ・リソースを含むコンパートメントのOCID。

ノート: target.compartment.idおよびtarget.compartment.nameは、リクエストしているユーザーのコンパートメントへのアクセスに基づいてリストをフィルタする「リスト」API操作とともに使用することはできません。

target.resource.compartment.tag   リクエストのターゲット・コンパートメントに適用されるタグが評価されます。使用手順は、タグを使用したアクセスの管理を参照してください。
target.resource.tag   リクエストのターゲット・リソースに適用されるタグが評価されます。使用手順は、タグを使用したアクセスの管理を参照してください。