Oracle Cloud Infrastructureドキュメント

ポリシー・リファレンス

このリファレンスの内容は次のとおりです。

コンソールまたはAPIを使用してポリシーを作成および管理する手順については、ポリシーの管理を参照してください。

動詞

動詞は、最も少ない機能から順に一覧表示されています。各動詞の正確な意味は、どのリソース・タイプと組み合せられているかによって異なります。この項の後半の表では、動詞とリソース・タイプの組合せでカバーされるAPI操作を示します。

動詞 カバーされるアクセスのタイプ ターゲット・ユーザー
inspect リソースに含まれる可能性がある機密情報またはユーザー指定メタデータにはアクセスせずに、リソースをリストできる権限。重要: ポリシーをリストする操作ではポリシー自体の内容が対象となり、ネットワーキング・リソース・タイプのリスト操作ではすべての情報(セキュリティ・リストおよびルート表の内容など)が返されます。 サードパーティ監査者
read inspectに加えて、ユーザー指定のメタデータと実際のリソース自体を取得する機能が含まれます。 内部監査者
use readに、既存のリソースを操作する機能を追加します(アクションはリソース・タイプによって異なります)。リソースの更新機能が含まれますが、「更新」操作が「作成」操作と同じ効果的な影響を及ぼすリソース・タイプ(UpdatePolicyUpdateSecurityListなど)は除きます。この場合、「更新」機能はmanage動詞でのみ使用できます。一般に、この動詞には、そのタイプのリソースを作成または削除する機能はありません。 リソースの日常的なエンド・ユーザー
manage リソースのすべての権限が含まれます。 管理者

リソース・タイプ

次に、いくつかの共通ファミリ・リソース・タイプを示します。各ファミリを構成する個々のリソース・タイプは、リンクに従います。

IAMにはファミリ・リソース・タイプはなく、個々のタイプのみが含まれます。テナンシにアイデンティティ・ドメインがあるかどうかに応じて、アイデンティティ・ドメインのあるIAMの詳細またはアイデンティティ・ドメインのないIAMの詳細を参照してください。

すべてのリクエストの一般的な変数

ポリシーに条件を追加する場合は、変数を使用します。詳細は、条件を参照してください。次に、すべてのリクエストに適用される一般的な変数を示します。

名前 タイプ 説明
request.user.id エンティティ(OCID) リクエスト・ユーザーのOCID。
request.user.name 文字列 リクエストしているユーザーの名前。
request.user.mfaTotpVerified ブール型

ユーザーがマルチファクタ認証(MFA)で検証されたかどうか。MFA検証済ユーザーのみにアクセスを制限するには、条件を追加します

where request.user.mfaTotpVerified='true'

MFAの設定の詳細は、マルチファクタ認証の管理を参照してください。
request.groups.id エンティティのリスト(OCID) リクエストしているユーザーが属するグループのOCID。
request.permission 文字列 リクエストされている基礎となる権限(権限を参照)。
request.operation 文字列 リクエストされているAPI操作名(ListUsersなど)。
request.networkSource.name 文字列 リクエストの発行を許可されるIPアドレスを指定するネットワーク・ソース・グループの名前。詳細は、ネットワーク・ソースの管理を参照してください。
request.utc-timestamp 文字列 リクエストが送信されるUTC時間(ISO 8601フォーマットで指定)。詳細は、時間枠に基づいたリソースへのアクセスの制限を参照してください。
request.utc-timestamp.month-of-year 文字列 リクエストが送信される月('1'、'2'、'3'、... '12'などの数値のISO 8601フォーマットで指定)。詳細は、時間枠に基づいたリソースへのアクセスの制限を参照してください。
request.utc-timestamp.day-of-month 文字列 リクエストが送信される該当月の日(数値フォーマット'1' - '31'で指定)。詳細は、時間枠に基づいたリソースへのアクセスの制限を参照してください。
request.utc-timestamp.day-of-week 文字列 リクエストが送信される曜日('Monday'、'Tuesday'、'Wednesday'などの英語で指定)。詳細は、時間枠に基づいたリソースへのアクセスの制限を参照してください。
request.utc-timestamp.time-of-day 文字列 リクエストが送信されるUTC時間間隔('01:00:00Z' AND '02:01:00Z'などのISO 8601フォーマット)。詳細は、時間枠に基づいたリソースへのアクセスの制限を参照してください。
request.region 文字列

リクエストが発行されるリージョンの3文字のキー。指定できる値は次のとおりです。

ノート: 割当てポリシーの場合、次の3文字のキー値のかわりにリージョン名を指定する必要があります。詳細は、サンプル目標も参照してください。

  • AMS - オランダ北西部(アムステルダム)に使用
  • ARN - スウェーデン中央部(ストックホルム)に使用
  • AUH - アラブ首長国連邦中央部(アブダビ)に使用
  • BOM - インド西部(Mumbai)に使用
  • CDG - フランス中央部(パリ)に使用
  • CWL - 英国西部(ニューポート)に使用
  • DXB - アラブ首長国連邦東部(ドバイ)に使用
  • FRA - ドイツ中央部(フランクフルト)に使用
  • GRU - ブラジル東部(サンパウロ)に使用
  • HYD - インド南部(ハイデラバード)に使用
  • IAD - 米国東部(アッシュバーン)に使用
  • ICN - 大韓民国中部(ソウル)に使用
  • JED - サウジアラビア西部(ジッダ)に使用
  • JNB - 南アフリカ中央部(ヨハネスブルク)に使用
  • KIX - 日本中央部(大阪)に使用
  • LHR - 英国南部(ロンドン)に使用
  • LIN - イタリア北西部(ミラノ)に使用
  • MAD - スペイン中央部(マドリード)に使用
  • MEL - オーストラリア南東部(メルボルン)に使用
  • MRS - フランス南部(マルセイユ)に使用
  • MTZ - イスラエル中央部(エルサレム)に使用
  • NRT - 日本東部(東京)に使用
  • ORD - 米国中西部(シカゴ)に使用
  • PHX - 米国西部(フェニックス)に使用
  • QRO - メキシコ中央部(ケレタロ)に使用
  • SCL - チリ(サンティアゴ)に使用
  • SIN - シンガポール(シンガポール)に使用
  • SJC - 米国西部(サンノゼ)に使用
  • SYD - オーストラリア東部(シドニー)に使用
  • VCP - ブラジル南東部(ヴィニェード)に使用
  • YNY - 韓国北部(春川)に使用
  • YUL - カナダ南東部(モントリオール)に使用
  • YYZ - カナダ南東部(トロント)に使用
  • ZRH - スイス北部(チューリッヒ)に使用
request.ad 文字列 リクエストが発行される可用性ドメインの名前。可用性ドメイン名のリストを取得するには、ListAvailabilityDomains操作を使用します。
request.principal.compartment.tag 文字列 リクエストしているリソースが属するコンパートメントに適用されたタグが一致しているかどうかが評価されます。使用手順は、タグを使用したアクセスの管理を参照してください。
request.principal.group.tag 文字列 ユーザーが属するグループに適用されるタグが一致するかどうかが評価されます。使用手順は、タグを使用したアクセスの管理を参照してください。
target.compartment.name 文字列 target.compartment.idで指定されたコンパートメントの名前。
target.compartment.id エンティティ(OCID)

プライマリ・リソースを含むコンパートメントのOCID。

ノート: target.compartment.idおよびtarget.compartment.nameは、リクエストしているユーザーのコンパートメントへのアクセスに基づいてリストをフィルタする「リスト」API操作とともに使用することはできません。

target.resource.compartment.tag 文字列 リクエストのターゲット・コンパートメントに適用されるタグが評価されます。使用手順は、タグを使用したアクセスの管理を参照してください。
target.resource.tag 文字列 リクエストのターゲット・リソースに適用されるタグが評価されます。使用手順は、タグを使用したアクセスの管理を参照してください。