グループ

動的グループおよび一致ルールの変更、およびアイデンティティ・ドメインのデフォルト・グループを確認します。

動的グループ

アイデンティティ・ドメインより前に存在していたIAM動的グループは、デフォルトのアイデンティティ・ドメインで引き続き使用できます。動的グループの管理を参照してください。

動的グループの一致ルール

条件の前にANYまたはALL接頭辞

動的グループを使用する場合は、これらの動的グループのメンバーを定義する一致ルールをすべて確認することをお薦めします。照合ルールの検証が変更されました。一致ルールが複数の条件を評価したが、各条件の前にANYまたはALLの接頭辞が含まれていなかった場合、IAMは接頭辞が暗黙的であるかのように構文を自動的に処理しました。

重要

一致ルールをリライトして、必要な接頭辞を含めます。

たとえば、以前は、次の照合ルールを記述していました。

instance.id = 'x', compartment.id = 'y'

次に、一致ルールを次のように記述する必要があります。

ANY {instance.id = 'x', compartment.id = 'y'}

前述の構文には、次のいずれかの場合にリソースが含まれます。

  • インスタンスのOCIDはxでした。
  • コンパートメントOCIDはyでした。

照合ルールの順次文

一致ルールの順次文(ALL {instance.id = 'x', compartment.id = 'y'ALL {instance.id = 'x', compartment.id = 'y'}など)を次のようにリライトする必要があります。

ANY {instance.id = 'x', compartment.id = 'y'}

動的グループを定義するための一致ルールの記述を参照してください。

デフォルト・グループ名

ユーザー・グループおよび管理者グループのデフォルト名は、IAMで作成されたか、Identity Cloud Serviceから変換されたかによって異なります。

新しいOCIテナント

新しいOCIテナンシが作成されると、IAMデフォルト・ドメインが次のグループで作成されます:

  • Administrators:
    • このグループは削除できません。
    • このグループは、すべてのセカンダリIAMアイデンティティ・ドメインとともに、テナンシ全体および子テナンシへの完全な管理アクセス権を付与します。
  • All-Domain-Users:
    • このグループは削除できません。
    • すべてのユーザーは、グループが存在するそれぞれのIAMアイデンティティ・ドメインのメンバーです。
新しいセカンダリ・ドメインが作成されると、次のグループが追加されます。
  • Domain_Administrators:
    • このグループは削除できません。
    • ユーザーがこのグループに追加されると、自動的に「Identity Domain Administrator(アイデンティティ・ドメイン管理者)」ロールに追加されます。
    • Identity Domain Administratorロールにユーザーを追加しても、Domain_Administratorsグループにユーザーは追加されません。
  • All-Domain-Users:
    • このグループは削除できません。
    • すべてのユーザーは、グループが存在するそれぞれのIAMアイデンティティ・ドメインのメンバーです。

アイデンティティ・ドメインを使用してIAMに変換されたIdentity Cloud Serviceインスタンス

Identity Cloud Serviceインスタンスがアイデンティティ・ドメインを使用してIAMに変換される場合、デフォルト・ドメインのグループは次のようになります(セカンダリ・ドメインが作成される場合、グループは前の項のようになります)。

  • IDCS_Administrators:
    • このグループは削除できません。
    • このグループは、デフォルトドメインのみへの管理アクセス権を付与します。
  • All-Tenant-Users:
    • このグループは削除できません。
    • すべてのユーザーは、デフォルト・アイデンティティ・ドメインのメンバーです。

グループとロール間の関係

この表は、3つの異なるシナリオでのユーザーと管理者グループの名前を示しています。

シナリオ ユーザー・グループ名 管理者グループ名
IAMを使用するテナンシの作成。デフォルトのドメインでは、これらの名前が使用されます。 All-Domain-Users Administrators
同じテナンシにセカンダリ・アイデンティティ・ドメインを作成します。 All-Domain-Users Domain_Administrators
Identity Cloud ServiceインスタンスがIAMに変換されたとき。 All-Tenant-Users IDCS_Administrators

この図は、管理者とユーザー・グループの名前とロールの関係を示しています。

変換後のグループの関係を示す図