グループ

条件の前にANYまたはALL接頭辞

動的グループを使用する場合は、これらの動的グループのメンバーを定義する一致ルールをすべて確認することをお薦めします。照合ルールの検証が変更されました。一致ルールが複数の条件を評価したが、各条件の前にANYまたはALLの接頭辞が含まれていなかった場合、IAMは接頭辞が暗黙的であるかのように構文を自動的に処理しました。

たとえば、以前は、次の照合ルールを記述していました。

instance.id = 'x', compartment.id = 'y'

次に、一致ルールを次のように記述する必要があります。

ANY {instance.id = 'x', compartment.id = 'y'}

前述の構文には、次のいずれかの場合にリソースが含まれます。

• インスタンスのOCIDはxでした。
• コンパートメントOCIDはyでした。

照合ルールの順次文

一致ルールの順次文(ALL {instance.id = 'x', compartment.id = 'y'、ALL {instance.id = 'x', compartment.id = 'y'}など)を次のようにリライトする必要があります。

ANY {instance.id = 'x', compartment.id = 'y'}

動的グループを定義するための一致ルールの記述を参照してください。

新しいOCIテナント

新しいOCIテナンシが作成されると、IAMデフォルト・ドメインが次のグループで作成されます:

• Administrators:
  • このグループは削除できません。
  • このグループは、すべてのセカンダリIAMアイデンティティ・ドメインとともに、テナンシ全体および子テナンシへの完全な管理アクセス権を付与します。
• All-Domain-Users:
  • このグループは削除できません。
  • すべてのユーザーは、グループが存在するそれぞれのIAMアイデンティティ・ドメインのメンバーです。

アイデンティティ・ドメインを使用してIAMに変換されたIdentity Cloud Serviceインスタンス

Identity Cloud Serviceインスタンスがアイデンティティ・ドメインを使用してIAMに変換される場合、デフォルト・ドメインのグループは次のようになります(セカンダリ・ドメインが作成される場合、グループは前の項のようになります)。

• IDCS_Administrators:
  • このグループは削除できません。
  • このグループは、デフォルトドメインのみへの管理アクセス権を付与します。
• All-Tenant-Users:
  • このグループは削除できません。
  • すべてのユーザーは、デフォルト・アイデンティティ・ドメインのメンバーです。

グループとロール間の関係

この表は、3つの異なるシナリオでのユーザーと管理者グループの名前を示しています。

この図は、管理者とユーザー・グループの名前とロールの関係を示しています。