リソース・マネージャの詳細

リソース・マネージャ・サービスへのアクセスを制御するポリシーの記述の詳細を確認します。

集約リソース・タイプ

orm-family

個々のリソース・タイプ

orm-config-source-providers

orm-jobs

orm-private-endpoints

orm-stacks

orm-template

orm-work-requests

サポートされている変数

リソース・マネージャは、すべての一般的な変数(すべてのリクエストの一般的な変数を参照)とここにリストされている変数をサポートしています。

orm-jobsリソース・タイプでは、次の変数を使用できます。

変数 変数タイプ コメント

target.job.operation

文字列

この変数を使用して、指定されたジョブ・タイプを実行するためのアクセスを制御します。たとえば、PLANおよびAPPLYジョブへのアクセスを制限するには、where any {target.job.operation = 'PLAN', target.job.operation = 'APPLY'}というフレーズを使用します。

target.stack.id

文字列

この変数を使用して、指定したスタックにアクセスを制限します。たとえば、次の句を使用します: where any {target.stack.id = ocid1.ormstack.uniqueid1, target.stack.id = ocid1.ormstack.uniqueid2}

動詞とリソース・タイプの組合せの詳細

次の表に、各動詞でカバーされている権限およびAPI操作を示します。アクセス・レベルは、inspect > read > use > manageの順に累積されます。たとえば、リソースを使用できるグループは、そのリソースを検査して読み取ることもできます。表セル内のプラス記号(+)は、その上のセルと比較して増分アクセスを示しますが、「余分なし」は増分アクセスを示しません。

orm-config-source-providers
動詞 権限 完全に対象となるAPI 部分的に対象となるAPI
inspect

ORM_CONFIG_SOURCE_PROVIDER_INSPECT

ListConfigurationSourceProviders

なし

read

INSPECT +

ORM_CONFIG_SOURCE_PROVIDER_READ

GetConfigurationSourceProvider CreateStack: 構成ソース・プロバイダ(configSourceTypeの値GIT_CONFIG_SOURCE)を使用するスタックを作成する場合、manage orm-stacksも必要です
use

READ +

余分なし

余分なし

なし

manage

USE +

ORM_CONFIG_SOURCE_PROVIDER_CREATE

ORM_CONFIG_SOURCE_PROVIDER_UPDATE

ORM_CONFIG_SOURCE_PROVIDER_MOVE

ORM_CONFIG_SOURCE_PROVIDER_DELETE

CreateConfigurationSourceProvider

UpdateConfigurationSourceProvider

ChangeConfigurationSourceProviderCompartment

DeleteConfigurationSourceProvider

なし

orm-jobs
動詞 権限 完全に対象となるAPI 部分的に対象となるAPI
inspect

ORM_JOB_INSPECT

ListJobs

なし

read

INSPECT +

ORM_JOB_READ

GetJob

GetJobTfState

GetJobTfConfig

GetJobTfPlan

GetJobLogs

GetJobLogsContent

ListJobAssociatedResources

ListJobOutputs

なし

use

READ +

余分なし

余分なし

なし

manage

USE +

ORM_JOB_MANAGE

UpdateJob

CancelJob

CreateJob (use orm-stacksも必要)
orm-private-endpoints
動詞 権限 完全に対象となるAPI 部分的に対象となるAPI
inspect ORM_PRIVATE_ENDPOINT_INSPECT ListPrivateEndpoints

なし

read

INSPECT +

ORM_PRIVATE_ENDPOINT_READ

GetPrivateEndpoint

GetReachableIp

なし

use

READ +

ORM_PRIVATE_ENDPOINT_UPDATE

UpdatePrivateEndpoint

なし

manage

USE +

ORM_PRIVATE_ENDPOINT_CREATE

ORM_PRIVATE_ENDPOINT_DELETE

ORM_PRIVATE_ENDPOINT_MOVE

ChangePrivateEndpointCompartment

CreatePrivateEndpoint

DeletePrivateEndpoint

なし

orm-stacks
動詞 権限 完全に対象となるAPI 部分的に対象となるAPI

inspect

ORM_STACK_INSPECT

ListResourceDiscoveryServices

ListStacks

ListTerraformVersions

なし

read

INSPECT +

ORM_STACK_READ

GetStack

GetStackTfConfig

GetStackTfState

ListStackAssociatedResources

ListStackResourceDriftDetails

なし

use

READ +

ORM_STACK_USE

余分なし

CreateJob (manage orm-jobsも必要)

manage

USE +

ORM_STACK_CREATE

ORM_STACK_UPDATE

ORM_STACK_MOVE

ORM_STACK_DELETE

CreateStack (構成ソース・プロバイダを使用しない場合)

UpdateStack

ChangeStackCompartment

DeleteStack

DetectStateDrift

ListTerraformVersions

CreateStack: 構成ソース・プロバイダ(configSourceTypeの値GIT_CONFIG_SOURCE)を使用するスタックを作成する場合、read orm-config-source-providersも必要です
orm-template
動詞 権限 完全に対象となるAPI 部分的に対象となるAPI

inspect

ORM_TEMPLATE_INSPECT ListTemplates

なし

read

INSPECT +

ORM_TEMPLATE_READ

GetTemplate

GetTemplateLogo

GetTemplateTfConfig

なし

use

READ +

ORM_TEMPLATE_UPDATE

UpdateTemplate

なし

manage

USE +

ORM_TEMPLATE_CREATE

ORM_TEMPLATE_DELETE

ORM_TEMPLATE_MOVE

ChangeTemplateCompartment

CreateTemplate

DeleteTemplate

なし

orm-work-requests
動詞 権限 完全に対象となるAPI 部分的に対象となるAPI

inspect

ORM_WORK_REQUEST_INSPECT

ListWorkRequests

なし

read

INSPECT +

ORM_WORK_REQUEST_READ

ListWorkRequestErrors

ListWorkRequestLogs

GetWorkRequest

なし

use

READ +

余分なし

余分なし

なし

manage

USE +

余分なし

余分なし

なし

各API操作に必要な権限

次の表に、API操作をアルファベット順に示します。

権限の詳細は、権限を参照してください。

API操作 操作の使用に必要な権限

CancelJob

ORM_JOB_MANAGE

ChangeConfigurationSourceProviderCompartment

ORM_CONFIG_SOURCE_PROVIDER_MOVE

ChangePrivateEndpointCompartment

ORM_PRIVATE_ENDPOINT_MOVE

ChangeStackCompartment

ORM_STACK_MOVE

ChangeTemplateCompartment

ORM_TEMPLATE_MOVE

CreateConfigurationSourceProvider

ORM_CONFIG_SOURCE_PROVIDER_CREATE

CreateJob

ORM_JOB_MANAGE and ORM_STACK_USE

CreatePrivateEndpoint

ORM_PRIVATE_ENDPOINT_CREATE

CreateStack

構成ソース・プロバイダを使用しない場合はORM_STACK_CREATE

構成ソース・プロバイダ(configSourceTypeの値GIT_CONFIG_SOURCE)を使用する場合、ORM_CONFIG_SOURCE_PROVIDER_READも必要です

p

ORM_TEMPLATE_CREATE

DeleteConfigurationSourceProvider

ORM_CONFIG_SOURCE_PROVIDER_DELETE

DeletePrivateEndpoint

ORM_PRIVATE_ENDPOINT_DELETE

DeleteStack

ORM_STACK_DELETE

DeleteTemplate

ORM_TEMPLATE_DELETE

DetectStateDrift

ORM_STACK_UPDATE

GetConfigurationSourceProvider

ORM_CONFIG_SOURCE_PROVIDER_READ

GetJob

ORM_JOB_READ

GetJobLogs

ORM_JOB_READ

GetJobLogsContent

ORM_JOB_READ

GetJobTfConfig

ORM_JOB_READ

GetJobTfPlan

ORM_JOB_READ

GetJobTfState

ORM_JOB_READ

GetPrivateEndpoint

ORM_PRIVATE_ENDPOINT_READ

GetReachableIp

ORM_PRIVATE_ENDPOINT_READ

GetStack

ORM_STACK_READ

GetStackTfConfig

ORM_STACK_READ

GetStackTfState

ORM_STACK_READ

GetTemplate

ORM_TEMPLATE_READ

GetTemplateLogo

ORM_TEMPLATE_READ

GetTemplateTfConfig

ORM_TEMPLATE_READ

GetWorkRequest

ORM_WORK_REQUEST_READ

ListConfigurationSourceProviders

ORM_CONFIG_SOURCE_PROVIDER_INSPECT

ListJobAssociatedResources

ORM_JOB_READ

ListJobOutputs

ORM_JOB_READ

ListJobs

ORM_JOB_INSPECT

ListPrivateEndpoints

ORM_PRIVATE_ENDPOINT_INSPECT

ListResourceDiscoveryServices

ORM_STACK_INSPECT

ListStackAssociatedResources

ORM_STACK_READ

ListStackResourceDriftDetails

ORM_STACK_READ

ListStacks

ORM_STACK_INSPECT

ListTemplateCategories

なし

ListTemplates

ORM_TEMPLATE_INSPECT

ListTerraformVersions

ORM_STACK_INSPECT

ListWorkRequestErrors

ORM_WORK_REQUEST_READ

ListWorkRequestLogs

ORM_WORK_REQUEST_READ

ListWorkRequests

ORM_WORK_REQUEST_INSPECT

UpdateConfigurationSourceProvider

ORM_CONFIG_SOURCE_PROVIDER_UPDATE

UpdateJob

ORM_JOB_MANAGE

UpdatePrivateEndpoint

ORM_PRIVATE_ENDPOINT_UPDATE

UpdateStack

ORM_STACK_UPDATE

UpdateTemplate

ORM_TEMPLATE_UPDATE