ファイル・ストレージ・サービスの詳細
このトピックでは、ファイル・ストレージ・サービスへのアクセスを制御するポリシーの書込みの詳細について説明します。
集約リソース・タイプ
-
file-family
個々のリソース・タイプ
file-systemsmount-targetsexport-setsoutbound-connectorsreplicationsreplication-targetsfilesystem-snapshot-policies
コメント
<verb> file-familyを使用するポリシーは、個々のリソース・タイプごとに個別の<verb> <individual resource-type>ステートメントを使用して記述することと同じです。
file-familyに含まれる個々のリソース・タイプについて、各動詞でカバーされているAPI操作の詳細は、動詞とリソース・タイプの組合せの詳細の表を参照してください。
サポートされている変数
サポートされているのは一般的な変数のみです(すべてのリクエストの一般的な変数を参照)。
動詞とリソース・タイプの組合せの詳細
次の表に、各動詞でカバーされている権限およびAPI操作を示します。アクセス・レベルは、inspect > read > use > manageの順に累積されます。表セル内のプラス記号(+)は、その上のセルと比較して増分アクセスを示しますが、「余分なし」は増分アクセスを示しません。
たとえば、file-systemsリソース・タイプに対するread動詞には、inspect動詞と同じ権限およびAPI操作に加え、FILE_SYSTEM_READ権限と多数のAPI操作(GetFileSystem、ListMountTargetsなど)が含まれます。use動詞は、readと比較して、別の権限と一連のAPI操作をカバーします。最後に、manageは、useと比較して2つの追加の権限と操作をカバーします。
| 動詞 | 権限 | 完全に対象となるAPI | 部分的に対象となるAPI |
|---|---|---|---|
| inspect | EXPORT_SET_INSPECT |
ListExportSets
|
なし |
| read | INSPECT + EXPORT_SET_READ |
INSPECT +
|
なし |
| use | 余分なし |
余分なし |
なし |
| manage | USE + EXPORT_SET_CREATE EXPORT_SET_UPDATE EXPORT_SET_DELETE |
USE +
|
(両方とも |
| 動詞 | 権限 | 完全に対象となるAPI | 部分的に対象となるAPI |
|---|---|---|---|
| inspect | FILE_SYSTEM_INSPECT |
ListFileSystems
|
なし |
| read | INSPECT + FILE_SYSTEM_READ |
INSPECT +
|
なし |
| use | READ + FILE_SYSTEM_NFSv3_EXPORT FILE_SYSTEM_NFSv3_UNEXPORT FILE_SYSTEM_CLONE FILE_SYSTEM_REPLICATION_SOURCE FILE_SYSTEM_UPDATE_FILESYSTEM_SNAPSHOT_POLICY |
余分なし |
(両方とも |
| manage | USE + FILE_SYSTEM_CREATE FILE_SYSTEM_UPDATE FILE_SYSTEM_DELETE FILE_SYSTEM_MOVE FILE_SYSTEM_CREATE_SNAPSHOT FILE_SYSTEM_DELETE_SNAPSHOT FILE_SYSTEM_CLONE FILE_SYSTEM_REPLICATION_TARGET |
USE +
|
キー管理マスター暗号化キーを使用して暗号化されたファイル・システムまたはクローンを作成する場合、 ファイル・システムのクローニングでは、 |
| 動詞 | 権限 | 完全に対象となるAPI | 部分的に対象となるAPI |
|---|---|---|---|
| inspect |
FILESYSTEM_SNAPSHOT_POLICY_INSPECT |
ListFilesystemSnapshotPolicies
|
なし |
| read |
INSPECT + FILESYSTEM_SNAPSHOT_POLICY_READ |
ListFilesystemSnapshotPolicies
|
なし |
| use |
READ + FILE_SYSTEM_UPDATE_FILESYSTEM_SNAPSHOT_POLICY |
ListFilesystemSnapshotPolicies
|
|
| manage |
USE + FILESYSTEM_SNAPSHOT_POLICY_CREATE FILESYSTEM_SNAPSHOT_POLICY_UPDATE FILESYSTEM_SNAPSHOT_POLICY_MOVE FILESYSTEM_SNAPSHOT_POLICY_DELETE |
ListFilesystemSnapshotPolicies
|
なし |
| 動詞 | 権限 | 完全に対象となるAPI | 部分的に対象となるAPI |
|---|---|---|---|
| inspect | MOUNT_TARGET_INSPECT |
ListMountTargets
|
なし |
| read | INSPECT + MOUNT_TARGET_READ |
INSPECT +
|
なし |
| use | 余分なし |
余分なし |
なし |
| manage | USE + MOUNT_TARGET_CREATE MOUNT_TARGET_UPDATE MOUNT_TARGET_DELETE MOUNT_TARGET_MOVE |
USE +
(両方とも
|
| 動詞 | 権限 | 完全に対象となるAPI | 部分的に対象となるAPI |
|---|---|---|---|
| inspect |
OUTBOUND_CONNECTOR_INSPECT |
ListOutboundConnectors
|
なし |
| read |
INSPECT + OUTBOUND_CONNECTOR_READ |
INSPECT +
|
なし |
| use |
余分なし |
余分なし |
なし |
| manage |
USE + OUTBOUND_CONNECTOR_CREATE OUTBOUND_CONNECTOR_UPDATE OUTBOUND_CONNECTOR_DELETE OUTBOUND_CONNECTOR_MOVE |
USE +
|
なし |
| 動詞 | 権限 | 完全に対象となるAPI | 部分的に対象となるAPI |
|---|---|---|---|
| inspect |
REPLICATION_INSPECT |
ListReplications
|
なし |
| read |
INSPECT + REPLICATION_READ |
INSPECT +
|
なし |
| use |
余分なし |
余分なし |
なし |
| manage |
USE + REPLICATION_CREATE REPLICATION_UPDATE REPLICATION_DELETE REPLICATION_MOVE |
USE +
|
なし |
各API操作に必要な権限
次の表は、API操作を論理的な順序で、リソース・タイプ別にグループ化して示しています。
権限の詳細は、権限を参照してください。
| API操作 | 操作の使用に必要な権限 |
|---|---|
ListExports
|
EXPORT_SET_READ |
CreateExport
|
EXPORT_SET_UPDATE + FILE_SYSTEM_NFSv3_EXPORT |
GetExport
|
EXPORT_SET_READ |
DeleteExport
|
EXPORT_SET_UPDATE + FILE_SYSTEM_NFSv3_UNEXPORT |
ListExportSets
|
EXPORT_SET_INSPECT |
CreateExportSet
|
EXPORT_SET_CREATE |
GetExportSet
|
EXPORT_SET_READ |
UpdateExportSet
|
EXPORT_SET_UPDATE |
DeleteExportSet
|
EXPORT_SET_DELETE |
ListFileSystems
|
FILE_SYSTEM_INSPECT |
CreateFileSystem
|
FILE_SYSTEM_CREATE ファイル・システムのクローニングには、FILE_SYSTEM_CLONEも必要です ファイル・システムをスナップショット・ポリシーに関連付けるには、FILE_SYSTEM_UPDATE_FILESYSTEM_SNAPSHOT_POLICYも必要です |
GetFileSystem
|
FILE_SYSTEM_READ |
UpdateFileSystem
|
FILE_SYSTEM_UPDATE ファイル・システムをスナップショット・ポリシーに関連付けるには、FILE_SYSTEM_UPDATE_FILESYSTEM_SNAPSHOT_POLICYも必要です |
DeleteFileSystem
|
FILE_SYSTEM_DELETE |
ChangeFileSystemCompartment |
FILE_SYSTEM_MOVE |
GetFilesystemSnapshotPolicy |
FILESYSTEM_SNAPSHOT_POLICY_READ |
ListFilesystemSnapshotPolicies |
FILESYSTEM_SNAPSHOT_POLICY_INSPECT |
CreateFilesystemSnapshotPolicy |
FILESYSTEM_SNAPSHOT_POLICY_CREATE |
UpdateFilesystemSnapshotPolicy |
FILESYSTEM_SNAPSHOT_POLICY_UPDATE |
DeleteFilesystemSnapshotPolicy |
FILESYSTEM_SNAPSHOT_POLICY_DELETE |
MoveFilesystemSnapshotPolicy |
FILESYSTEM_SNAPSHOT_POLICY_MOVE |
ListMountTargets
|
MOUNT_TARGET_INSPECT |
CreateMountTarget
|
MOUNT_TARGET_CREATE + VNIC_CREATE(vnicCompartment) + SUBNET_ATTACH(subnetCompartment) + VNIC_ATTACH(vnicCompartment) + PRIVATE_IP_CREATE (subnetCompartment) + PRIVATE_IP_ASSIGN(subnetCompartment) + VNIC_ASSIGN(subnetCompartment) |
GetMountTarget
|
MOUNT_TARGET_READ |
UpdateMountTarget
|
MOUNT_TARGET_UPDATE |
DeleteMountTarget
|
MOUNT_TARGET_DELETE + VNIC_DELETE(vnicCompartment) + SUBNET_DETACH(subnetCompartment) + VNIC_DETACH(vnicCompartment) + PRIVATE_IP_DELETE(subnetCompartment) + PRIVATE_IP_UNASSIGN(subnetCompartment) + VNIC_UNASSIGN(vnicCompartment) |
ChangeMountTargetCompartment |
MOUNT_TARGET_MOVE |
ListOutboundConnectors |
OUTBOUND_CONNECTOR_INSPECT |
CreateOutboundConnector |
OUTBOUND_CONNECTOR_CREATE |
GetOutboundConnector |
OUTBOUND_CONNECTOR_READ |
UpdateOutboundConnector |
OUTBOUND_CONNECTOR_UPDATE |
DeleteOutboundConnector |
OUTBOUND_CONNECTOR_DELETE |
ChangeOutboundConnectorCompartment |
OUTBOUND_CONNECTOR_MOVE |
ListSnapshots
|
FILE_SYSTEM_READ |
CreateSnapshot
|
FILE_SYSTEM_CREATE_SNAPSHOT |
GetSnapshot
|
FILE_SYSTEM_READ |
DeleteSnapshot
|
FILE_SYSTEM_DELETE_SNAPSHOT |
GetReplication
|
REPLICATION_READ |
ListReplications
|
REPLICATION_INSPECT |
CreateReplication
|
REPLICATION_CREATE + FILE_SYSTEM_REPLICATION_SOURCE (ソース・ファイル・システム) + FILE_SYSTEM_REPLICATION_TARGET (ターゲット・ファイル・システム) |
UpdateReplication
|
REPLICATION_UPDATE |
ChangeReplicationCompartment
|
REPLICATION_MOVE |
DeleteReplication
|
REPLICATION_DELETE |
DeleteReplicationTarget
|
REPLICATION_DELETE |