Oracle Cloud Infrastructureドキュメント

アイデンティティ・ドメインのあるIAMの詳細

このトピックでは、(アイデンティティ・ドメインのあるテナンシの) IAMへのアクセスを制御するポリシーの記述の詳細を説明します。

リソース・タイプ

authentication-policies

compartments

credentials

domains

dynamic-groups

groups

iamworkrequest

identity-providers

network-sources

policies

tag-defaults

tag-namespaces

tenancies

users

workrequest

サポートされている変数

IAMでは、すべての一般的な変数(すべてのリクエストの一般的な変数を参照)に加えて、ここにリストされている他の変数もサポートしています。

このリソース・タイプの操作... 使用できる変数... 変数タイプ コメント
users target.user.id エンティティ(OCID) CreateUserまたはListUsersとともに使用できません。
target.user.name 文字列 ListUsersとともに使用できません。
target.resource.domain.id エンティティ(OCID)
target.resource.domain.name 文字列
groups target.group.id エンティティ(OCID) CreateGroupまたはListGroupsとともに使用できません。
target.group.name 文字列 ListGroupsとともに使用できません。
target.group.member ブール型

request.userがtarget.groupのメンバーである場合はTrue。

サービスがtarget.groupを作成している場合はFalse。

ListGroupsとともに使用できません。
target.resource.domain.id エンティティ(OCID)
target.resource.domain.name 文字列
dynamic-groups target.dynamicgroup.id エンティティ(OCID) CreateDynamicGroupまたはListDynamicGroupsとともに使用できません。
target.dynamicgroup.name 文字列 CreateDynamicGroupまたはListDynamicGroupsとともに使用できません。
target.resource.domain.id エンティティ(OCID)
target.resource.domain.name 文字列
policies target.policy.id エンティティ(OCID) CreatePolicyまたはListPoliciesとともに使用できません。
target.policy.name 文字列 ListPoliciesとともに使用できません。
target.policy.autoupdate ブール型 ListPoliciesとともに使用できません。
compartments target.compartment.id エンティティ(OCID)

これは、すべてのサービス全体の任意のリクエストで使用できる汎用変数です(すべてのリクエストの一般的な変数を参照)。ただし、ListCompartmentsとともに使用することはできません。

CreateCompartmentの場合、これは親コンパートメント(ルート・コンパートメントなど)の値になります。
target.compartment.name 文字列

これは、すべてのサービス全体の任意のリクエストで使用できる汎用変数です(すべてのリクエストの一般的な変数を参照)。ただし、ListCompartmentsとともに使用することはできません。

 
credentials target.credential.type 文字列 たとえば、「smtp」、「switft」、「secretkey」です。
target.user.id エンティティ(OCID)
target.user.name 文字列
target.resource.domain.id エンティティ(OCID)
target.resource.domain.name 文字列
domain target.domain.id エンティティ(OCID) CreateDomainまたはListDomainsとともに使用できません。
target.domain.name 文字列 ListDomainsとともに使用できません。
tag-namespace target.tag-namespace.id エンティティ(OCID)

この変数は、tag-namespacesリソース・タイプの権限を付与するステートメントでのみサポートされます。この例は、タグとタグ・ネームスペースの概念を参照してください。CreateTagNamespaceまたはListTagNamespacesとともに使用できません。

target.tag-namespace.name 文字列 ListTagNamespacesとともに使用できません。

動詞とリソース・タイプの組合せの詳細

次の表に、各動詞でカバーされている権限およびAPI操作を示します。アクセス・レベルは、inspect > read > use > manageの順に累積されます。表セル内のプラス記号(+)は、その上のセルと比較して増分アクセスを示しますが、「余分なし」は増分アクセスを示しません。

たとえば、コンパートメントのread動詞は、inspect動詞と比較して追加の権限またはAPI操作を含みません。use動詞には、read動詞と同じ権限およびAPI操作と、COMPARTMENT_UPDATE権限およびUpdateCompartment API操作が含まれます。manage動詞には、use動詞と同じ権限およびAPI操作に加えて、COMPARTMENT_CREATE権限と2つのAPI操作が含まれます(CreateCompartmentおよびDeleteCompartment)。

authentication-policies
動詞 権限 完全に対象となるAPI 部分的に対象となるAPI
inspect

AUTHENTICATION_POLICY_INSPECT

GetAuthenticationPolicy

 

なし
read

余分なし

余分なし

なし
use

余分なし

余分なし

なし
manage

USE +

AUTHENTICATION_POLICY_UPDATE

USE +

UpdateAuthenticationPolicy

なし
compartments

コンパートメントを移動する(つまり、MoveCompartment操作を使用する)には、現在のコンパートメントおよび移動先コンパートメントの最下位の共有親コンパートメントに対するmanage all-resources権限を持つグループに属する必要があります。

動詞 権限 完全に対象となるAPI 部分的に対象となるAPI
inspect

COMPARTMENT_INSPECT

ListCompartments

GetCompartment

ListAvailabilityDomains

ListFaultDomains

なし
read

余分なし

余分なし

なし
use

READ +

COMPARTMENT_UPDATE

READ +

UpdateCompartment

GetWorkRequest

なし
manage

USE +

COMPARTMENT_CREATE

COMPARTMENT_DELETE

COMPARTMENT_RECOVER

USE +

CreateCompartment

DeleteCompartment

RecoverCompartment

なし
credentials

credentialsリソース・タイプは、SMTP資格証明のみを参照します。ユーザーに追加できる他の資格証明(認証トークン、APIキー、カスタマ秘密キーなど)を作業する権限は、usersリソース権限に含まれます。

動詞 権限 完全に対象となるAPI 部分的に対象となるAPI
inspect

CREDENTIAL_INSPECT

 ListSmtpCredentials

なし
read

余分なし

余分なし

なし
use

余分なし

余分なし

 

なし
manage

USE +

CREDENTIAL_ADD

CREDENTIAL_UPDATE

CREDENTIAL_REMOVE

USE +

CreateSmtpCredential

UpdateSmtpCredential

DeleteSmtpCredential

なし
domains
動詞 権限 完全に対象となるAPI 部分的に対象となるAPI
inspect

DOMAIN_INSPECT

ListDomains

なし
read

INSPECT +

DOMAIN_READ

DOMAIN_LICENSETYPE_READ

GetDomain

GetDomainLicenseTypes

なし
use

READ +

DOMAIN_UPDATE

IAM_WORKREQUEST_READ

READ +

UpdateDomain

GetIamWorkRequest

なし
manage

USE +

DOMAIN_CREATE

DOMAIN_DELETE

DOMAIN_MOVE

DOMAIN_REPLICATE

DOMAIN_ACTIVATE

DOMAIN_DEACTIVATE

USE +

CreateDomain

DeleteDomain

ChangeDomainCompartment

ChangeSku

ReplicateDomainRegion

ActivateDomain

DeactivateDomain

なし
dynamic-groups
動詞 権限 完全に対象となるAPI 部分的に対象となるAPI
inspect

DYNAMIC_GROUP_INSPECT

ListDynamicGroups

GetDynamicGroup

余分なし
read

余分なし

余分なし

余分なし
use

READ +

DYNAMIC_GROUP_UPDATE

READ +

UpdateDynamicGroup

余分なし
manage

USE +

DYNAMIC_GROUP_CREATE

DYNAMIC_GROUP_DELETE

USE +

CreateDynamicGroup

DeleteDynamicGroup

余分なし
groups
動詞 権限 完全に対象となるAPI 部分的に対象となるAPI
inspect

GROUP_INSPECT

ListGroups

GetGroup

GetUserGroupMembership (inspect usersも必要)

ListIdpGroupMappings, GetIdpGroupMapping (両方ともinspect identity-providersが必要)
read

余分なし

余分なし

余分なし
use

READ +

GROUP_UPDATE

READ +

UpdateGroup

READ +

AddUserToGroup (use usersも必要)

RemoveUserFromGroup (use usersも必要)

AddIdpGroupMapping, DeleteIdpGroupMapping (両方ともmanage identity-providersが必要)
manage

USE +

GROUP_CREATE

GROUP_DELETE

USE +

CreateGroup

DeleteGroup

余分なし
identity-providers
動詞 権限 完全に対象となるAPI 部分的に対象となるAPI
inspect

IDENTITY_PROVIDER_INSPECT

ListIdentityProviders

GetIdentityProvider

ListIdpGroupMappings, GetIdpGroupMapping (両方ともinspect groupsが必要)
read

余分なし

余分なし

余分なし
use

余分なし

余分なし

余分なし
manage

USE +

IDENTITY_PROVIDER_UPDATE

IDENTITY_PROVIDER_CREATE

IDENTITY_PROVIDER_DELETE

USE +

UpdateIdentityProvider

CreateIdentityProvider

DeleteIdentityProvider

USE +

AddIdpGroupMapping, DeleteIdpGroupMapping (両方ともuse groupsが必要)
network-sources
動詞 権限 完全に対象となるAPI 部分的に対象となるAPI
inspect

NETWORK_SOURCE_INSPECT

ListNetworkSources

GetNetworkSource

余分なし
read

余分なし

余分なし

余分なし
use

READ +

NETWORK_SOURCE_UPDATE

READ +

UpdateNetworkSource

余分なし
manage

USE +

NETWORK_SOURCE_CREATE

NETWORK_SOURCE_DELETE

USE +

CreateNetworkSource

DeleteNetworkSource

余分なし
policies
動詞 権限 完全に対象となるAPI 部分的に対象となるAPI
inspect

POLICY_READ

ListPolicies

GetPolicy

なし
read

余分なし

余分なし

なし
use

余分なし

余分なし

ノート:ポリシーを更新する機能は、manage policiesでのみ使用できます。

なし
manage

USE +

POLICY_UPDATE

POLICY_CREATE

POLICY_DELETE

USE +

UpdatePolicy

CreatePolicy

DeletePolicy

なし
tag-namespaces
動詞 権限 完全に対象となるAPI 部分的に対象となるAPI
inspect

TAG_NAMESPACE_INSPECT

BulkEditTags

ListTagNamespaces

GetTagNamespace

ListTags

ListCostTrackingTags

GetTag

GetTaggingWorkRequest

ListTaggingWorkRequest

ListTaggingWorkRequestErrors

ListTaggingWorkRequestLogs

なし
read

余分なし

余分なし

なし
use

READ +

TAG_NAMESPACE_USE

ノート:リソースの定義済タグを適用、更新または削除するには、ユーザーにリソースに対する権限およびタグ・ネームスペースを使用する権限が付与されている必要があります。

READ +

CreateTag

UpdateTag

なし
manage

USE +

TAG_NAMESPACE_UPDATE

TAG_NAMESPACE_CREATE

TAG_NAMESPACE_MOVE

TAG_NAMESPACE_DELETE

USE +

UpdateTagNamespace

CreateTagNamespace

ChangeTagNamespaceCompartment

CascadeDeleteTagNamespace

DeleteTagNamespace

DeleteTag

BulkDeleteTags

なし
tag-defaults
動詞 権限 完全に対象となるAPI 部分的に対象となるAPI
inspect

TAG_DEFAULT_INSPECT

TAG_NAMESPACE_READ

(両方の権限を使用)

ListTagDefaults

GetTagDefault

 

なし
read

余分なし

余分なし

なし
use

余分なし

余分なし

なし
manage

INSPECT +

TAG_DEFAULT_CREATE

TAG_DEFAULT_UPDATE

TAG_DEFAULT_DELETE

USE +

CreateTagDefault

UpdateTagDefault

DeleteTagDefault

 

なし
tenancies
動詞 権限 完全に対象となるAPI 部分的に対象となるAPI
inspect

TENANCY_INSPECT

ListRegionSubscriptions

GetTenancy

ListRegions

 

なし
read

余分なし

余分なし

なし
use

READ +

TENANCY_UPDATE

余分なし

なし
manage

USE +

TENANCY_UPDATE

USE +

CreateRegionSubscription

なし
users

ユーザーのSMTP資格証明を作業するにはcredentialsリソース・タイプの権限が必要であることに注意してください。

動詞 権限 完全に対象となるAPI 部分的に対象となるAPI
inspect

USER_INSPECT

ListUsers

GetUser

GetUserGroupMembership (inspect groupsも必要)
read

INSPECT +

USER_READ

INSPECT +

ListApiKeys

ListSwiftPasswords

ListAuthTokens

ListCustomerSecretKeys

ListOAuthClientCredentials

ListMfaTotpDevices

余分なし
use

READ +

USER_UPDATE

READ +

UpdateUser

READ +

AddUserToGroup (use groupsも必要)

RemoveUserFromGroup (use groupsも必要)
manage

USE +

USER_CREATE

USER_DELETE

USER_UNBLOCK

USER_APIKEY_ADD

USER_APIKEY_REMOVE

USER_UIPASS_SET

USER_UIPASS_RESET

USER_SWIFTPASS_SET

USER_SWIFTPASS_RESET

USER_SWIFTPASS_REMOVE

USER_AUTHTOKEN_SET

USER_AUTHTOKEN_RESET

USER_AUTHTOKEN_REMOVE

USER_OAUTH2_CLIENT_CRED_CREATE

USER_OAUTH2_CLIENT_CRED_UPDATE

USER_OAUTH2_CLIENT_CRED_REMOVE

USER_SECRETKEY_ADD

USER_SECRETKEY_UPDATE

USER_SECRETKEY_REMOVE

USER_SUPPORT_ACCOUNT_LINK

USER_SUPPORT_ACCOUNT_UNLINK

USER_TOTPDEVICE_ADD

USER_TOTPDEVICE_REMOVE

USER_TOTPDEVICE_UPDATE

USE +

CreateUser

DeleteUser

UpdateUserState

UploadApiKey

DeleteApiKey

CreateOrResetUIPassword

UpdateSwiftPassword

CreateSwiftPassword

DeleteSwiftPassword

 

UpdateAuthToken

CreateAuthToken

DeleteAuthToken

CreateOAuthClientCredential

UpdateOAuthClientCredential

DeleteOAuthClientCredential

CreateSecretKey

UpdateCustomerSecretKey

DeleteCustomerSecretKey

CreateOAuthClientCredential

UpdateAuthClientCredential

DeleteOAuthClientCredential

LinkSupportAccount

UnlinkSupportAccount

CreateMfaTotpDevice

ActivateMfaTotpDevice

DeleteMfaTotpDevice

余分なし

各API操作に必要な権限

次の表は、API操作を論理的な順序で、リソース・タイプ別にグループ化して示しています。

権限の詳細は、権限を参照してください。

API操作 操作の使用に必要な権限
ListRegions TENANCY_INSPECT
ListRegionSubscriptions TENANCY_INSPECT
CreateRegionSubscription TENANCY_UPDATE
GetTenancy TENANCY_INSPECT
ListDomains DOMAIN_INSPECT
GetDomain DOMAIN_READ
CreateDomain DOMAIN_CREATE
ActivateDomain DOMAIN_ACTIVATE
UpdateDomain DOMAIN_UPDATE
ReplicateDomainRegion DOMAIN_REPLICATE
ChangeDomainCompartment DOMAIN_MOVE
GetDomainLicenseTypes DOMAIN_LICENSETYPE_READ
ChangeSku DOMAIN_MOVE
DeactivateDomain DOMAIN_DEACTIVATE
DeleteDomain DOMAIN_DELETE
GetAuthenticationPolicy AUTHENTICATION_POLICY_INSPECT
UpdateAuthenticationPolicy AUTHENTICATION_POLICY_UPDATE
ListAvailabilityDomains COMPARTMENT_INSPECT
ListFaultDomains COMPARTMENT_INSPECT
ListCompartments COMPARTMENT_INSPECT
GetCompartment COMPARTMENT_INSPECT
UpdateCompartment COMPARTMENT_UPDATE
CreateCompartment COMPARTMENT_CREATE
RecoverCompartment COMPARTMENT_RECOVER
DeleteCompartment COMPARTMENT_DELETE
MoveCompartment MoveCompartment操作と関連する単一の権限はありません。この操作には、現在のコンパートメントおよび宛先コンパートメントの最下位の共有親コンパートメントに対するmanage all-resources権限が必要です。
GetWorkRequest COMPARTMENT_READ
ListUsers USER_INSPECT
GetUser USER_INSPECT
UpdateUser USER_UPDATE
UpdateUserState USER_UPDATEとUSER_UNBLOCK
CreateUser

USER_CREATE
DeleteUser USER_DELETE
CreateOrResetUIPassword USER_UPDATEとUSER_UIPASS_RESET
ListApiKeys USER_READ
UploadApiKey

USER_UPDATEとUSER_APIKEY_ADD

DeleteApiKey USER_UPDATEとUSER_APIKEY_REMOVE
ListAuthTokens USER_READ
UpdateAuthToken USER_UPDATEとUSER_AUTHTOKEN_RESET
CreateAuthToken USER_UPDATEとUSER_AUTHTOKEN_SET
DeleteAuthToken USER_UPDATEとUSER_AUTHTOKEN_REMOVE
ListSwiftPasswords USER_READ
UpdateSwiftPassword USER_UPDATEとUSER_SWIFTPASS_RESET
CreateSwiftPassword USER_UPDATEとUSER_SWIFTPASS_SET
DeleteSwiftPassword USER_UPDATEとUSER_SWIFTPASS_REMOVE
ListCustomerSecretKeys USER_READ
CreateSecretKey USER_UPDATEとUSER_SECRETKEY_ADD
UpdateCustomerSecretKey USER_UPDATEとUSER_SECRETKEY_UPDATE
DeleteCustomerSecretKey USER_UPDATEとUSER_SECRETKEY_REMOVE
CreateOAuthClientCredential USER_UPDATEとUSER_OAUTH2_CLIENT_CRED_CREATE
UpdateOAuthClientCredential USER_UPDATEとUSER_OAUTH2_CLIENT_CRED_UPDATE
ListOAuthClientCredentials USER_READ
DeleteOAuthClientCredential USER_UPDATEとUSER_OAUTH2_CLIENT_CRED_REMOVE
LinkSupportAccount USER_SUPPORT_ACCOUNT_LINK
UnlinkSupportAccount USER_SUPPORT_ACCOUNT_UNLINK
CreateSmtpCredential CREDENTIAL_ADD
ListSmtpCredentials CREDENTIAL_INSPECT
UpdateSmtpCredential CREDENTIAL_UPDATE
DeleteSmtpCredential CREDENTIAL_REMOVE
ListUserGroupMemberships GROUP_INSPECTとUSER_INSPECT
GetUserGroupMembership USER_INSPECTとGROUP_INSPECT
AddUserToGroup GROUP_UPDATEとUSER_UPDATE
RemoveUserFromGroup GROUP_UPDATEとUSER_UPDATE
ListGroups GROUP_INSPECT
GetGroup GROUP_INSPECT
UpdateGroup GROUP_UPDATE
CreateGroup GROUP_CREATE
DeleteGroup GROUP_DELETE
ListDynamicGroups DYNAMIC_GROUP_INSPECT
GetDynamicGroup DYNAMIC_GROUP_INSPECT
UpdateDynamicGroup DYNAMIC_GROUP_UPDATE
CreateDynamicGroup DYNAMIC_GROUP_CREATE
DeleteDynamicGroup DYNAMIC_GROUP_DELETE
GetNetworkSource NETWORK_SOURCE_INSPECT
ListNetworkSources NETWORK_SOURCE_INSPECT
CreateNetworkSource NETWORK_SOURCE_CREATE
UpdateNetworkSource NETWORK_SOURCE_UPDATE
DeleteNetworkSource NETWORK_SOURCE_DELETE
ListPolicies POLICY_READ
GetPolicy POLICY_READ
UpdatePolicy POLICY_UPDATE
CreatePolicy POLICY_CREATE
DeletePolicy POLICY_DELETE
ListIdentityProviders IDENTITY_PROVIDER_INSPECT
GetIdentityProvider IDENTITY_PROVIDER_INSPECT
UpdateIdentityProvider IDENTITY_PROVIDER_UPDATE
CreateIdentityProvider IDENTITY_PROVIDER_CREATE
DeleteIdentityProvider IDENTITY_PROVIDER_DELETE
ListIdpGroupMappings IDENTITY_PROVIDER_INSPECTとGROUP_INSPECT
GetIdpGroupMapping IDENTITY_PROVIDER_INSPECTとGROUP_INSPECT
AddIdpGroupMapping IDENTITY_PROVIDER_UPDATEとGROUP_UPDATE
DeleteIdpGroupMapping IDENTITY_PROVIDER_UPDATEとGROUP_UPDATE
ListIamWorkRequests IAM_WORKREQUEST_INSPECT
GetIamWorkRequest IAM_WORKREQUEST_READ
ListWorkRequestErrors IAM_WORKREQUEST_INSPECT
ListIamWorkRequestLogs IAM_WORKREQUEST_INSPECT
ListTagNamespaces TAG_NAMESPACE_INSPECT
ListTaggingWorkRequest TAG_NAMESPACE_INSPECT
ListTaggingWorkRequestErrors TAG_NAMESPACE_INSPECT
ListTaggingWorkRequestLogs TAG_NAMESPACE_INSPECT
GetTaggingWorkRequest TAG_NAMESPACE_INSPECT
GetTagNamespace TAG_NAMESPACE_INSPECT
CreateTagNamespace TAG_NAMESPACE_CREATE
UpdateTagNamespace TAG_NAMESPACE_UPDATE
ChangeTagNamespaceCompartment TAG_NAMESPACE_MOVE
CascadeDeleteTagNamespace

TAG_NAMESPACE_DELETE
DeleteTagNamespace

TAG_NAMESPACE_DELETE
ListTags TAG_NAMESPACE_INSPECT
BulkEditTags TAG_NAMESPACE_INSPECT
ListCostTrackingTags TAG_NAMESPACE_INSPECT
GetTag TAG_NAMESPACE_INSPECT
CreateTag TAG_NAMESPACE_USE
UpdateTag TAG_NAMESPACE_USE
DeleteTag TAG_NAMESPACE_DELETE
BulkDeleteTags

TAG_NAMESPACE_DELETE
ListTagDefaults TAG_DEFAULT_INSPECT
GetTagDefault TAG_DEFAULT_INSPECT
CreateTagDefault TAG_DEFAULT_MANAGE
UpdateTagDefault TAG_DEFAULT_MANAGE
DeleteTagDefault TAG_DEFAULT_MANAGE