ポリシーの既知の問題の拒否

IAMでテナンシのポリシーを拒否を初めて有効にすると、ユーザー、グループおよび動的グループに対するタグベースの拒否ポリシーが完全に有効になるまで最大24時間かかる場合があります。

IAM拒否ポリシーは、アイデンティティ・ドメイン管理ロール(アイデンティティ・ドメイン管理者、セキュリティ管理者、ユーザー・マネージャなど)をオーバーライドしません。

IAMは、ターゲット・タグを使用するポリシーを拒否しても、これらのアクションがコンソールから開始されたときに、ユーザー、グループまたは動的グループの削除は防止されません。

例:

deny group low-privilege-peter to manage dynamic-groups in tenancy where target.resource.tag.{tagNamespace}.{tagKeyDefinition}='<value>'

IAMはポリシーを拒否し、コンソール、SDKまたはAPI全体でtarget.dynamicgroup.idまたはtarget.dynamicgroup.nameを使用するポリシーを適用しません。

タグを使用してアクセスを管理するには、次の2つの方法があります。

• リクエスト元のリソースに適用されたタグ(リソースがアクセスをリクエストしているタグ)を使用。
• ターゲット・リソースに適用されたタグ(アクセスが制限されているリソースのタグ)を使用。

「タグを使用したアクセスの管理」を参照してください

deny group low-privilege-peter to manage dynamic-groups in tenancy where target.dynamicgroup.id = '<dynamicGroupOCID>'

deny group low-privilege-peter to manage dynamic-groups in tenancy where target.dynamicgroup.name = '<dynamicGroupName>'