Internet of Thingsプラットフォームの詳細

Oracle Cloud Infrastructure Internet of Things (IoT)へのアクセスを制御するポリシーの記述の詳細を確認します。

権限はOCIポリシーによって管理されます。ポリシーを初めて使用してポリシーの設定についてさらに学習する場合は、IAMポリシーの仕組みおよびポリシーの開始を参照してください。

ユーザー・ポリシー

これらのポリシーは、IoTリソースにアクセスできるユーザー、および実行できるアクションを定義します。IoTリソースを作成、更新または管理するには、ポリシーに適切な権限が必要です。これは、コンソール、REST API、SDK、CLIまたはその他のインタフェースのいずれを使用する場合にも適用されます。ポリシーは、IoTサービスおよび作業対象のリソースへのアクセス権を明示的に付与する必要があります。「unauthorized」または「permission denied」メッセージが表示された場合は、管理者に連絡して、権限と使用可能なコンパートメントを確認してください。デフォルトでは、AdministratorsグループのメンバーのみがIoTリソースへのフル・アクセス権を持ちます。他のユーザーには、ロールに必要な権限を付与するカスタム・ポリシーが必要です。

IoTリソースを使用するには、ユーザーがグループに属している必要があり、ポリシーはそのグループにコンパートメントまたはテナンシ内の適切な認可を付与する必要があります。

コンソールまたはAPIを使用してポリシーを作成および管理する手順については、ポリシーの操作の概要を参照してください。

リソース・タイプを使用したユーザー・ポリシー構文の例:

指定されたグループが、指定されたコンパートメント内のすべてのIoTリソースを管理できるようにします。

allow group <group-name> to manage iot-family in compartment <compartment-name>

指定されたグループが特定のコンパートメント内のIoTドメイン・グループを読み取るようにします。

allow group <group-name> to read iot-domain-group in compartment <compartment-name>

リソース・タイプ

IoTプラットフォームは、ポリシーを記述するための集計および個々のリソース・タイプを提供します。個々のリソースタイプまたは集約リソースタイプごとにポリシーを付与します。

集約リソース・タイプ

集約リソース・タイプを使用すると、より少ない、より広範なポリシーを作成できます。たとえば、IoTドメインの管理、IoTドメイン・グループ、デジタル・ツイン・モデル、デジタル・ツイン・インスタンス、デジタル・ツイン・アダプタおよびデジタル・ツイン関係にグループを許可する個別のポリシーを記述するかわりに、集約リソース・タイプへのアクセス権を付与する単一のポリシーを記述できます。

IoTドメインを作成するには、関連付けられたIoTドメイン・グループへの読取りアクセス権のポリシーが必要です。

たとえば、管理者にファミリを割り当て、特定のロールに基づいて個々のリソース・タイプをユーザーに割り当てることができます。詳細は、「アクセスの管理およびロールの割当て」を参照してください。

iot-family: これには、次の個々のリソース・タイプのすべての権限が含まれます。
- iot-domain-family
- iot-digital-twin-family
iot-domain-family: これには、次の個々のリソース・タイプのすべての権限が含まれます。
- iot-domain-group
- iot-domain
- iot-work-request
iot-digital-twin-family: これには、次の個々のリソース・タイプのすべての権限が含まれます。
- iot-digital-twin-model
- iot-digital-twin-adapter
- iot-digital-twin-instance
- iot-digital-twin-relationship

個々のリソース・タイプ

個々のリソース・タイプ・ポリシーを使用して、ユーザーが特定のIoTリソースを操作できるようにします。

iot-domain-group
iot-domain
iot-work-request
iot-digital-twin-model
iot-digital-twin-instance
iot-digital-twin-adapter
iot-digital-twin-relationship

サポートされている変数

ポリシーに条件を追加するには、OCI一般変数またはサービス固有変数を使用できます。

IoTプラットフォームでは、リソースで使用するすべてのリクエストの一般的な変数がサポートされます。

サービス固有の変数の指定はありません。

動詞とリソース・タイプの組合せの詳細

次の表に、各動詞でカバーされている権限およびAPI操作を示します。アクセスのレベルは、inspectからread、use、manageの順に累積していきます、たとえば、リソースを使用できるグループは、そのリソースを検査して読み取ることもできます。

ポリシーの作成には、様々なOCI動詞とリソース・タイプを使用できます。

特定の権限を使用したポリシーの定義の例:

allow group <group-name> to {IOT_DOMAIN_GROUP_CREATE} in compartment <compartment-name>

allow group <group-name> to
{IOT_DOMAIN_CREATE,IOT_DOMAIN_UPDATE, IOT_DOMAIN_MOVE, IOT_DIGITAL_TWIN_MODEL_CREATE, IOT_DIGITAL_TWIN_ADAPTER_CREATE, IOT_DIGITAL_TWIN_INSTANCE_CREATE, IOT_DIGITAL_TWIN_RELATIONSHIP_CREATE}
in compartment <compartment-name>

アイオットファミリー

次の項では、IoTサービスの各動詞に対応する権限およびAPI操作について説明します。アクセスのレベルは、inspectからread,、use,、manageの順に累積します。

指定されたグループが、指定されたコンパートメント内のすべてのIoTリソースを管理できるようにします。

allow group <group-name> to manage iot-family in compartment <compartment-name>

iot-familyには、次のすべての権限が含まれます。


動詞	権限	完全に対象となるAPI
inspect	IOT_DOMAIN_GROUP_INSPECT IOT_DOMAIN_INSPECT IOT_WORK_REQUEST_INSPECT IOT_DIGITAL_TWIN_MODEL_INSPECT IOT_DIGITAL_TWIN_ADAPTER_INSPECT IOT_DIGITAL_TWIN_RELATIONSHIP_INSPECT	`ListIotDomainGroups` `ListIotDomains` `ListWorkRequests` `ListWorkRequestErrors` `ListWorkRequestLogs` `ListDigitalTwinModels` `ListDigitalTwinAdapters` `ListDigitalTwinInstances` `ListDigitalTwinRelationships`
read	INSPECT + IOT_DOMAIN_GROUP_READ IOT_DOMAIN_READ IOT_WORK_REQUEST_READ IOT_DIGITAL_TWIN_MODEL_READ IOT_DIGITAL_TWIN_ADAPTER_READ IOT_DIGITAL_TWIN_INSTANCE_READ IOT_DIGITAL_TWIN_RELATIONSHIP_READ	`GetIotDomainGroup` `GetIotDomain` `GetWorkRequest` `GetDigitalTwinModel` `GetDigitalTwinModelSpec` `GetDigitalTwinAdapter` `GetDigitalTwinInstance` `GetDigitalTwinInstanceContent` `GetDigitalTwinRelationship`
use	READ + IOT_DOMAIN_GROUP_UPDATE IOT_DOMAIN_UPDATE IOT_DIGITAL_TWIN_MODEL_UPDATE IOT_DIGITAL_TWIN_ADAPTER_UPDATE IOT_DIGITAL_TWIN_INSTANCE_UPDATE IOT_DIGITAL_TWIN_INSTANCE_COMMAND_INVOKE IOT_DIGITAL_TWIN_RELATIONSHIP_UPDATE	`UpdateIotDomainGroup` `ConfigureIotDomainGroupDataAccess` `ConfigureIotDomainGroupDataAccess` `UpdateIotDomain` `ConfigureIotDomainDataAccess` `ChangeIotDomainDataRetentionPeriod` `UpdateDigitalTwinModel` `UpdateDigitalTwinAdapter` `UpdateDigitalTwinInstance` `InvokeRawCommand` `UpdateDigitalTwinRelationship`
manage	USE + IOT_DOMAIN_GROUP_CREATE IOT_DOMAIN_GROUP_DELETE IOT_DOMAIN_GROUP_MOVE IOT_DOMAIN_CREATE IOT_DOMAIN_DELETE IOT_DOMAIN_MOVE IOT_DIGITAL_TWIN_MODEL_CREATE IOT_DIGITAL_TWIN_MODEL_DELETE IOT_DIGITAL_TWIN_ADAPTER_CREATE IOT_DIGITAL_TWIN_ADAPTER_DELETE IOT_DIGITAL_TWIN_INSTANCE_CREATE IOT_DIGITAL_TWIN_INSTANCE_DELETE IOT_DIGITAL_TWIN_RELATIONSHIP_CREATE IOT_DIGITAL_TWIN_RELATIONSHIP_DELETE	`CreateIotDomainGroup` `DeleteIotDomainGroup` `ChangeIotDomainGroupCompartment` `CreateIotDomain` `DeleteIotDomain` `ChangeIotDomainCompartment` `CreateDigitalTwinModel` `DeleteDigitalTwinModel` `CreateDigitalTwinAdapter` `DeleteDigitalTwinAdapter` `CreateDigitalTwinInstance` `DeleteDigitalTwinInstance` `CreateDigitalTwinRelationship` `DeleteDigitalTwinRelationship`

iotドメイン・ファミリ

指定されたグループが、指定されたコンパートメント内のすべてのIoTドメイン・リソースを管理できるようにします。

allow group <group-name> to manage iot-domain-family in compartment <compartment-name>

ノート

IoTドメインを作成するには、少なくとも関連付けられたIoTドメイン・グループへの読取りアクセスのためのポリシーが必要です。


動詞	権限	完全に対象となるAPI
inspect	IOT_DOMAIN_GROUP_INSPECT IOT_DOMAIN_INSPECT IOT_WORK_REQUEST_INSPECT	`ListIotDomainGroups` `ListIotDomains` `ListWorkRequests` `ListWorkRequestErrors` `ListWorkRequestLogs`
read	INSPECT + IOT_DOMAIN_GROUP_READ IOT_DOMAIN_READ IOT_WORK_REQUEST_READ	`GetIotDomainGroup` `GetIotDomain` `GetWorkRequest`
use	READ + IOT_DOMAIN_GROUP_UPDATE IOT_DOMAIN_UPDATE	`UpdateIotDomainGroup` `ConfigureIotDomainGroupDataAccess` `UpdateIotDomain` `ConfigureIotDomainDataAccess` `ChangeIotDomainDataRetentionPeriod`
manage	USE + IOT_DOMAIN_GROUP_CREATE IOT_DOMAIN_GROUP_DELETE IOT_DOMAIN_GROUP_MOVE IOT_DOMAIN_CREATE IOT_DOMAIN_DELETE IOT_DOMAIN_MOVE	`CreateIotDomainGroup` `DeleteIotDomainGroup` `ChangeIotDomainGroupCompartment` `CreateIotDomain` `DeleteIotDomain` `ChangeIotDomainCompartment`

iot-digital-twinファミリー

指定されたグループが、指定されたコンパートメント内のすべてのIoTデジタル・ツイン・リソースを管理できるようにします。

allow group <group-name> to manage iot-digital-twin-family in compartment <compartment-name>


動詞	権限	完全に対象となるAPI
inspect	IOT_DIGITAL_TWIN_MODEL_INSPECT IOT_DIGITAL_TWIN_ADAPTER_INSPECT IOT_DIGITAL_TWIN_RELATIONSHIP_INSPECT	`ListDigitalTwinModels` `ListDigitalTwinAdapters` `ListDigitalTwinInstances` `ListDigitalTwinRelationships`
read	INSPECT + IOT_DIGITAL_TWIN_MODEL_READ IOT_DIGITAL_TWIN_ADAPTER_READ IOT_DIGITAL_TWIN_INSTANCE_READ IOT_DIGITAL_TWIN_RELATIONSHIP_READ	`GetDigitalTwinModel` `GetDigitalTwinModelSpec` `GetDigitalTwinAdapter` `GetDigitalTwinInstance` `GetDigitalTwinInstanceContent` `GetDigitalTwinRelationship`
use	READ + IOT_DIGITAL_TWIN_MODEL_UPDATE IOT_DIGITAL_TWIN_ADAPTER_UPDATE IOT_DIGITAL_TWIN_INSTANCE_UPDATE IOT_DIGITAL_TWIN_INSTANCE_COMMAND_INVOKE IOT_DIGITAL_TWIN_RELATIONSHIP_UPDATE	`UpdateDigitalTwinModel` `UpdateDigitalTwinAdapter` `UpdateDigitalTwinInstance` `InvokeRawCommand` `UpdateDigitalTwinRelationship`
manage	USE + IOT_DIGITAL_TWIN_MODEL_CREATE IOT_DIGITAL_TWIN_MODEL_DELETE IOT_DIGITAL_TWIN_ADAPTER_CREATE IOT_DIGITAL_TWIN_ADAPTER_DELETE IOT_DIGITAL_TWIN_INSTANCE_CREATE IOT_DIGITAL_TWIN_INSTANCE_DELETE IOT_DIGITAL_TWIN_RELATIONSHIP_CREATE IOT_DIGITAL_TWIN_RELATIONSHIP_DELETE	`CreateDigitalTwinModel` `DeleteDigitalTwinModel` `CreateDigitalTwinAdapter` `DeleteDigitalTwinAdapter` `CreateDigitalTwinInstance` `DeleteDigitalTwinInstance` `CreateDigitalTwinRelationship` `DeleteDigitalTwinRelationship`

iotドメイン・グループ

指定されたグループが、指定されたコンパートメント内のすべてのIoTドメイン・グループ・リソースを管理できるようにします。

allow group <group-name> to manage iot-domain-group in compartment <compartment-name>


動詞	権限	完全に対象となるAPI
inspect	IOT_DOMAIN_GROUP_INSPECT	`ListIotDomainGroups`
read	INSPECT + IOT_DOMAIN_GROUP_READ	`GetIotDomainGroup`
use	READ + IOT_DOMAIN_GROUP_UPDATE	`UpdateIotDomainGroup` `ConfigureIotDomainGroupDataAccessDetails`
manage	USE + IOT_DOMAIN_GROUP_CREATE IOT_DOMAIN_GROUP_DELETE IOT_DOMAIN_GROUP_MOVE	`CreateIotDomainGroup` `DeleteIotDomainGroup` `ChangeIotDomainGroupCompartment`

iotドメイン

指定されたグループが、指定されたコンパートメント内のすべてのIoTドメイン・リソースを管理できるようにします。

allow group <group-name> to manage iot-domain in compartment <compartment-name>


動詞	権限	完全に対象となるAPI
inspect	IOT_DOMAIN_INSPECT	`ListIotDomains`
read	INSPECT + IOT_DOMAIN_READ	`GetIotDomain`
use	READ + IOT_DOMAIN_UPDATE	`UpdateIotDomain` `UpdateIotDomainConfigureIotDomainDataAccess` `ChangeIotDomainDataRetentionPeriod`
manage	USE + IOT_DOMAIN_GROUP_CREATE IOT_DOMAIN_GROUP_DELETE IOT_DOMAIN_GROUP_MOVE	`CreateIotDomain` `DeleteIotDomain` `ChangeIotDomainCompartment`

オットワーク要求

指定されたグループが、指定されたコンパートメント内のすべてのIoT作業リクエスト・リソースを管理できるようにします。

allow group <group-name> to manage iot-work-request in compartment <compartment-name>


動詞	権限	完全に対象となるAPI
inspect	IOT_WORK_REQUEST_INSPECT	`ListWorkRequests` `ListWorkRequestErrors` `ListWorkRequestLogs`
read	INSPECT+ IOT_WORK_REQUEST_READ	`GetWorkRequest`

iot-digital-twinモデル

指定されたグループが、指定されたコンパートメント内のすべてのIoTデジタル・ツイン・モデル・リソースを管理できるようにします。

allow group <group-name> to inspect iot-digital-twin-model in compartment <compartment-name>


動詞	権限	完全に対象となるAPI
inspect	IOT_DIGITAL_TWIN_MODEL_INSPECT	`ListDigitalTwinModels`
read	INSPECT+ IOT_DIGITAL_TWIN_MODEL_READ	`GetDigitalTwinModel` `GetDigitalTwinModelSpec`
use	READ + IOT_DIGITAL_TWIN_MODEL_UPDATE	`UpdateDigitalTwinModel`
manage	USE + IOT_DIGITAL_TWIN_MODEL_CREATE IOT_DIGITAL_TWIN_MODEL_DELETE	`CreateDigitalTwinModel` `DeleteDigitalTwinModel`

iot-digital-twinアダプタ

指定されたグループが、指定されたコンパートメント内のすべてのIoTデジタル・ツイン・アダプタ・リソースを管理できるようにします。

allow group <group-name> to use iot-digital-twin-adapter in compartment <compartment-name>


動詞	権限	完全に対象となるAPI
inspect	IOT_DIGITAL_TWIN_ADAPTER_INSPECT	`ListDigitalTwinAdapters`
read	INSPECT+ IOT_DIGITAL_TWIN_ADAPTER_READ	`GetDigitalTwinAdapter`
use	READ + IOT_DIGITAL_TWIN_ADAPTER_UPDATE	`UpdatetDigitalTwinAdapter`
manage	USE + IOT_DIGITAL_TWIN_ADAPTER_CREATE IOT_DIGITAL_TWIN_ADAPTER_DELETE	`CreateDigitalTwinAdapter` `DeleteDigitalTwinAdapter`

iot-digital-twin-instance

指定されたグループが、指定されたコンパートメント内のすべてのIoTデジタル・ツイン・インスタンス・リソースを管理できるようにします。

allow group <group-name> to read iot-digital-twin-instance in compartment <compartment-name>


動詞	権限	完全に対象となるAPI
inspect	IOT_DIGITAL_TWIN_INSTANCE_INSPECT	`ListDigitalTwinInstances`
read	INSPECT+ IOT_DIGITAL_TWIN_INSTANCE_READ	`GetDigitalTwinInstance` `GetDigitalTwinInstanceContent`
	read + IOT_DIGITAL_TWIN_INSTANCE_UPDATE	`UpdateDigitalTwinInstance`
use	READ + IOT_DIGITAL_TWIN_INSTANCE_COMMAND_INVOKE	`InvokeRawCommand`
manage	USE + IOT_DIGITAL_TWIN-INSTANCE_CREATE IOT_DIGITAL_TWIN-INSTANCE_DELETE	`CreateDigitalTwinInstance` `DeleteDigitalTwinInstance`

iot-digital-twinの関係

指定されたグループが、指定されたコンパートメント内のすべてのIoTデジタル・ツイン関係リソースを管理できるようにします。

allow group <group-name> to manage iot-digital-twin-relationship in compartment <compartment-name>


動詞	権限	完全に対象となるAPI
inspect	IOT_DIGITAL_TWIN_RELATIONSHIP_INSPECT	`ListDigitalTwinRelationships`
read	INSPECT + IOT_DIGITAL_TWIN_RELATIONSHIP_READ	`GetDigitalTwinRelationship`
use	READ + IOT_DIGITAL_TWIN_RELATIONSHIP_UPDATE	`UpdateDigitalTwinRelationship`
manage	USE + IOT_DIGITAL_TWIN_RELATIONSHIP_CREATE IOT_DIGITAL_TWIN_RELATIONSHIP_DELETE	`CreateDigitalTwinRelationship` `DeleteDigitalTwinRelationship`

Oracle Cloud Infrastructureドキュメント