ポリシー・リファレンス
このリファレンスの内容は次のとおりです。
- 動詞:リソース・タイプとペアにする使用可能なアクションのリスト
- リソース・タイプ:メイン・リソース・タイプのリスト
- すべてのリクエストの一般的な変数:任意のリソース・タイプのポリシーを記述する際に使用できる変数
- アナリティクス・クラウド: ユーザーへのアナリティクス・クラウド・インスタンスを管理する権限の付与を参照してください
- お知らせサービスの詳細
- APIゲートウェイの詳細
- アプリケーション移行: サービス・アクセスおよびセキュリティの管理を参照してください
- 監査サービスの詳細
- ビッグ・データ: IAMポリシーのビッグ・データ・サービス・リソースおよび権限の理解を参照してください
- ブロックチェーン・プラットフォーム: Oracle Blockchain Platformを管理する権限とポリシーについてを参照してください
- クラウド・ガード: クラウド・ガード・ポリシーを参照してください
- Container Engine for Kubernetesの詳細
- コア・サービスの詳細 (これにはネットワーキング、コンピュートおよびブロック・ボリュームが含まれます)
- データ・カタログ: データ・カタログ・ポリシーを参照してください
- データ・フロー: データ・フロー・ポリシーを参照してください
- データ統合: データ統合ポリシーを参照してください
- データ・セーフ: IAMポリシーを参照してください
- データ・サイエンス: データ・サイエンス・ポリシーを参照してください
- データベース・サービスの詳細
- デジタル・アシスタント: デジタル・アシスタント・ポリシーを参照してください
- DNSサービスの詳細
- 電子メール・サービスの詳細
- イベント・サービスの詳細
- ファイル・ストレージ・サービスの詳細
- ファンクションの詳細
- ヘルス・チェック・サービスの詳細
- IAMの詳細
- 統合: Oracle IntegrationのIAMポリシーの詳細を参照してください
- ロード・バランシングの詳細
- ログ・アナリティクスの詳細
- 管理エージェントの詳細
- 管理ダッシュボードの詳細
- モニタリングの詳細
- MySQL Database: MySQL Databaseサービスのポリシーの詳細を参照してください
- NoSQL Database Cloud: NoSQL Database Cloudの詳細を参照してください
- 通知サービスの詳細
- オブジェクト・ストレージ、アーカイブ・ストレージおよびデータ転送の詳細
- OS管理: OS管理ポリシー・リファレンスを参照してください
- レジストリの詳細
- リソース・マネージャの詳細
- 検索サービスの詳細
- セキュリティ・ゾーン: セキュリティ・ゾーンのIAMポリシーを参照してください
- ストリーミング・サービスの詳細
- ボールト・サービスの詳細
- WAFサービスの詳細
コンソールまたはAPIを使用してポリシーを作成および管理する手順については、ポリシーの管理を参照してください。
動詞
動詞は、最も少ない機能から順に一覧表示されています。各動詞の正確な意味は、どのリソース・タイプと組み合せられているかによって異なります。この項の後半の表では、動詞とリソース・タイプの組合せでカバーされるAPI操作を示します。
動詞 | カバーされるアクセスのタイプ | ターゲット・ユーザー |
---|---|---|
inspect
|
リソースに含まれる可能性がある機密情報またはユーザー指定メタデータにはアクセスせずに、リソースをリストできる権限。重要: ポリシーをリストする操作ではポリシー自体の内容が対象となり、ネットワーキング・リソース・タイプのリスト操作ではすべての情報(セキュリティ・リストおよびルート表の内容など)が返されます。 | サードパーティ監査者 |
read
|
inspect に加えて、ユーザー指定のメタデータと実際のリソース自体を取得する機能が含まれます。 |
内部監査者 |
use
|
read に、既存のリソースを操作する機能を追加します(アクションはリソース・タイプによって異なります)。リソースの更新機能が含まれますが、「更新」操作が「作成」操作と同じ効果的な影響を及ぼすリソース・タイプ(UpdatePolicy 、UpdateSecurityList など)は除きます。この場合、「更新」機能はmanage 動詞でのみ使用できます。一般に、この動詞には、そのタイプのリソースを作成または削除する機能はありません。 |
リソースの日常的なエンド・ユーザー |
manage
|
リソースのすべての権限が含まれます。 | 管理者 |
リソース・タイプ
ファミリ・リソース・タイプは次のとおりです。各ファミリを構成する個々のリソース・タイプは、リンクに従います。
all-resources
:すべてのOracle Cloud Infrastructureリソース・タイプcluster-family
: Container Engine for Kubernetesの詳細を参照してくださいcompute-management-family
: コア・サービスの詳細を参照してくださいdata-catalog-family
: データ・カタログ・ポリシーを参照してくださいdatabase-family
:データベース・サービスの詳細を参照してくださいdns
:DNSサービスの詳細を参照してくださいfile-family
:ファイル・ストレージ・サービスの詳細を参照してくださいinstance-family
:コア・サービスの詳細を参照してくださいobject-family
:オブジェクト・ストレージ、アーカイブ・ストレージおよびデータ転送の詳細を参照してくださいvirtual-network-family
:コア・サービスの詳細を参照してくださいvolume-family
:コア・サービスの詳細を参照してください
IAMにはファミリ・リソース・タイプはなく、個々のタイプのみが含まれます。IAMの詳細を参照してください。
すべてのリクエストの一般的な変数
ポリシーに条件を追加する場合は、変数を使用します。詳細は、条件を参照してください。次に、すべてのリクエストに適用される一般的な変数を示します。
名前 | タイプ | 説明 |
---|---|---|
request.user.id
|
エンティティ(OCID) | リクエスト・ユーザーのOCID。 |
request.user.mfaTotpVerified
|
ブール型 |
ユーザーがマルチファクタ認証(MFA)で検証されたかどうか。MFA検証済ユーザーのみにアクセスを制限するには、条件を追加します
MFAの設定の詳細は、マルチファクタ認証の管理を参照してください。 |
request.groups.id
|
エンティティのリスト(OCID) | リクエストしているユーザーが属するグループのOCID。 |
request.permission
|
文字列 | リクエストされている基礎となる権限(権限を参照)。 |
request.operation
|
文字列 | リクエストされているAPI操作名(ListUsersなど)。 |
request.networkSource.name
|
文字列 | リクエストの発行を許可されるIPアドレスを指定するネットワーク・ソース・グループの名前。詳細は、ネットワーク・ソースの管理を参照してください。 |
request.region
|
文字列 |
リクエストが発行されるリージョンの3文字のキー。指定できる値は次のとおりです。
|
request.ad
|
文字列 | リクエストが発行される可用性ドメインの名前。可用性ドメイン名のリストを取得するには、ListAvailabilityDomains操作を使用します。 |
request.principal.compartment.tag
|
文字列 | リクエストしているリソースが属するコンパートメントに適用されたタグが一致しているかどうかが評価されます。使用手順は、タグを使用したアクセスの管理を参照してください。 |
request.principal.group.tag
|
文字列 | ユーザーが属するグループに適用されるタグが一致するかどうかが評価されます。使用手順は、タグを使用したアクセスの管理を参照してください。 |
target.compartment.name
|
文字列 | target.compartment.id で指定されたコンパートメントの名前。 |
target.compartment.id
|
エンティティ(OCID) |
プライマリ・リソースを含むコンパートメントのOCID。 ノート: |
target.resource.compartment.tag
|
リクエストのターゲット・コンパートメントに適用されるタグが評価されます。使用手順は、タグを使用したアクセスの管理を参照してください。 | |
target.resource.tag
|
リクエストのターゲット・リソースに適用されるタグが評価されます。使用手順は、タグを使用したアクセスの管理を参照してください。 |