コンテナ・レジストリの詳細

このトピックでは、Oracle Cloud Infrastructure Registry (コンテナ・レジストリとも呼ばれる)へのアクセスを制御するポリシーの記述の詳細を説明します。

リソース・タイプ

  • repos

reposは、すべてのコンテナ・レジストリ・リソース(リポジトリ、イメージおよびイメージ署名)を対象としています。

サポートされている変数

Oracle Cloud Infrastructure Registryでは、すべての一般的な変数(すべてのリクエストの一般的な変数を参照)とここにリストされている変数をサポートします。

reposリソース・タイプは、次の変数を使用できます。

変数 変数タイプ コメント
target.repo.name 文字列 この変数を使用して、特定のリポジトリへのアクセスを制御します。ポリシーの例は、リポジトリ・アクセスを制御するポリシーを参照してください。

target.resource.tagポリシー変数で指定されたタグを使用してコンテナ・レジストリ・リソースにアクセスするAPI操作を認可する場合は、API操作に適したリソースにタグを適用する必要があります:

API リソースにタグを適用してアクセスを許可できますか。 「はい」の場合、どのリソース
ListContainerRepositories いいえ なし
ListContainerImages いいえ なし
ListContainerImageSignatures いいえ なし
GetContainerConfiguration いいえ なし
GetContainerRepository はい リポジトリ
GetContainerImage はい イメージ
GetContainerImageSignature はい イメージ署名
CreateContainerRepository いいえ なし
DeleteContainerRepository はい リポジトリ
UpdateContainerImage はい イメージ
DeleteContainerImage はい イメージ
RestoreContainerImage はい イメージ
CreateContainerImageSignature いいえ なし
UpdateContainerImageSignature はい イメージ署名
DeleteContainerImageSignature はい イメージ署名
RemoveContainerVersion はい イメージ
UpdateContainerRepository はい リポジトリ
ChangeContainerRepositoryCompartment はい リポジトリ
UpdateContainerConfiguration いいえ なし

動詞とリソース・タイプの組合せの詳細

次の表に、各動詞でカバーされている権限およびAPI操作を示します。アクセス・レベルは、inspect > read > use > manageの順に累積されます。たとえば、リソースを使用できるグループは、そのリソースを検査して読み取ることもできます。表セル内のプラス記号(+)は、その上のセルと比較して増分アクセスを示しますが、「余分なし」は増分アクセスを示しません。

たとえば、reposリソース・タイプに対するread動詞には、inspect動詞と同じ権限およびAPI操作に加え、REPOSITORY_READ権限と多数のAPI操作(GetContainerRepositoryなど)が含まれます。use動詞は、readと比較して引き続き別の権限とAPI操作をカバーします。最後に、manageではuseと比較してより多くの権限および操作をカバーします。

repos

動詞 権限 完全に対象となるAPI 部分的に対象となるAPI
inspect

REPOSITORY_INSPECT

ListContainerRepositories

ListContainerImages

ListContainerImageSignatures

GetContainerConfiguration

なし

read

INSPECT +

REPOSITORY_READ

GetContainerRepository

GetContainerImage

GetContainerImageSignature

なし

use

余分なし

なし

manage

USE +

REPOSITORY_CREATE

REPOSITORY_DELETE

REPOSITORY_UPDATE

REPOSITORY_MANAGE

CreateContainerRepository

DeleteContainerRepository

DeleteContainerImage

RestoreContainerImage

UpdateContainerImage

CreateContainerImageSignature

UpdateContainerImageSignature

DeleteContainerImageSignature

RemoveContainerVersion

UpdateContainerRepository

ChangeContainerRepositoryCompartment

UpdateContainerConfiguration

なし

各API操作に必要な権限

次の表は、API操作を論理的な順序で、リソース・タイプ別にグループ化して示しています。

権限の詳細は、権限を参照してください。

API操作 操作の使用に必要な権限
ListContainerRepositories REPOSITORY_INSPECT
CreateContainerRepository REPOSITORY_CREATE
GetContainerRepository REPOSITORY_READ
UpdateContainerRepository REPOSITORY_MANAGE
DeleteContainerRepository REPOSITORY_DELETE
ChangeContainerRepositoryCompartment REPOSITORY_MANAGE
ListContainerImages REPOSITORY_INSPECT
GetContainerImage REPOSITORY_READ
UpdateContainerImage REPOSITORY_UPDATE
DeleteContainerImage REPOSITORY_UPDATE
RestoreContainerImage REPOSITORY_UPDATE
RemoveContainerVersion REPOSITORY_UPDATE
ListContainerImageSignatures REPOSITORY_INSPECT
GetContainerImageSignature REPOSITORY_READ
CreateContainerImageSignature REPOSITORY_UPDATE
UpdateContainerImageSignature REPOSITORY_UPDATE
DeleteContainerImageSignature REPOSITORY_UPDATE
GetContainerConfiguration REPOSITORY_INSPECT
UpdateContainerConfiguration REPOSITORY_MANAGE