グループ

条件前のANYまたはALL接頭辞

動的グループを使用する場合は、これらの動的グループのメンバーを定義する一致ルールをすべて確認することをお薦めします。照合ルールの検証が変更されました。一致ルールが複数の条件を評価したが、各条件の前にANYまたはALLの接頭辞が含まれていなかった場合、IAMは接頭辞が暗黙的に示されたかのように構文を自動的に処理しました。

たとえば、以前に次の照合ルールを記述できます。

instance.id = 'x', compartment.id = 'y'

次に、照合ルールを次のように記述する必要があります。

ANY {instance.id = 'x', compartment.id = 'y'}

前述の構文には、次のいずれかの場合にリソースが含まれます。

• インスタンスOCIDはxでした。
• コンパートメントOCIDはyでした。

照合ルールの順次文

一致ルール内の順次文(ALL {instance.id = 'x', compartment.id = 'y'、ALL {instance.id = 'x', compartment.id = 'y'}など)を次のようにリライトする必要があります。

ANY {instance.id = 'x', compartment.id = 'y'}

動的グループを定義するための一致ルールの記述を参照してください。

新規OCIテナンシ

新しいOCIテナンシが作成されると、IAMデフォルト・ドメインが次のグループで作成されます:

• Administrators:
  • このグループは削除できません。
  • このグループは、すべてのセカンダリIAMアイデンティティ・ドメインとともに、テナンシ全体およびすべての子テナンシへの完全な管理アクセス権を付与します。
• All-Domain-Users:
  • このグループは削除できません。
  • すべてのユーザーは、グループが存在するそれぞれのIAMアイデンティティ・ドメインのメンバーです。

アイデンティティ・ドメインを使用してIAMに変換されたIdentity Cloud Serviceインスタンス

アイデンティティ・ドメインを使用してIdentity Cloud ServiceインスタンスをIAMに変換すると、デフォルト・ドメインのグループは次のようになります(セカンダリ・ドメインが作成されると、グループは前の項のようになります)。

• IDCS_Administrators:
  • このグループは削除できません。
  • このグループは、デフォルト・ドメインのみへの管理アクセス権を付与します。
• All-Tenant-Users:
  • このグループは削除できません。
  • すべてのユーザーは、デフォルトのアイデンティティ・ドメインのメンバーです。

グループとロールの関係

この表は、3つの異なるシナリオでのユーザーおよび管理者グループの名前を示しています。

次の図は、管理者とユーザー・グループの名前とロールの関係を示しています。