Oracle Cloud Infrastructureドキュメント

リソース・マネージャの詳細

リソース・マネージャ・サービスへのアクセスを制御するポリシーの記述の詳細を確認します。

集約リソース・タイプ

orm-family

個々のリソース・タイプ

orm-config-source-providers

orm-jobs

orm-private-endpoints

orm-stacks

orm-template

orm-work-requests

サポートされている変数

リソース・マネージャは、すべての一般的な変数(すべてのリクエストの一般的な変数を参照)とここにリストされている変数をサポートしています。

orm-jobsリソース・タイプでは、次の変数を使用できます。

変数 変数タイプ コメント
target.job.operation 文字列

この変数を使用して、指定されたジョブ・タイプを実行するためのアクセスを制御します。たとえば、PLANおよびAPPLYジョブへのアクセスを制限するには、where any {target.job.operation = 'PLAN', target.job.operation = 'APPLY'}というフレーズを使用します。
target.stack.id 文字列 この変数を使用して、指定したスタックにアクセスを制限します。たとえば、次の句を使用します: where any {target.stack.id = ocid1.ormstack.uniqueid1, target.stack.id = ocid1.ormstack.uniqueid2}

動詞とリソース・タイプの組合せの詳細

次の表に、各動詞でカバーされている権限およびAPI操作を示します。アクセス・レベルは、inspect > read > use > manageの順に累積されます。表セル内のプラス記号(+)は、その上のセルと比較して増分アクセスを示しますが、「余分なし」は増分アクセスを示しません。

orm-config-source-providers
動詞 権限 完全に対象となるAPI 部分的に対象となるAPI
inspect

ORM_CONFIG_SOURCE_PROVIDER_INSPECT

 ListConfigurationSourceProviders

なし
read

INSPECT +

ORM_CONFIG_SOURCE_PROVIDER_READ

 GetConfigurationSourceProvider CreateStack: 構成ソース・プロバイダ(configSourceTypeの値GIT_CONFIG_SOURCE)を使用するスタックを作成する場合、manage orm-stacksも必要です
use

READ +

余分なし

余分なし

なし
manage

USE +

ORM_CONFIG_SOURCE_PROVIDER_CREATE

ORM_CONFIG_SOURCE_PROVIDER_UPDATE

ORM_CONFIG_SOURCE_PROVIDER_MOVE

ORM_CONFIG_SOURCE_PROVIDER_DELETE

CreateConfigurationSourceProvider

UpdateConfigurationSourceProvider

ChangeConfigurationSourceProviderCompartment

DeleteConfigurationSourceProvider

なし
orm-jobs
動詞 権限 完全に対象となるAPI 部分的に対象となるAPI
inspect

ORM_JOB_INSPECT

 ListJobs

なし
read

INSPECT +

ORM_JOB_READ

GetJob

GetJobTfState

GetJobTfConfig

GetJobTfPlan

GetJobLogs

GetJobLogsContent

ListJobAssociatedResources

ListJobOutputs

なし
use

READ +

余分なし

余分なし

なし
manage

USE +

ORM_JOB_MANAGE

UpdateJob

CancelJob

CreateJob (use orm-stacksも必要)
orm-private-endpoints
動詞 権限 完全に対象となるAPI 部分的に対象となるAPI
inspect ORM_PRIVATE_ENDPOINT_INSPECT ListPrivateEndpoints

なし
read

INSPECT +

ORM_PRIVATE_ENDPOINT_READ

GetPrivateEndpoint

GetReachableIp

なし
use

READ +

ORM_PRIVATE_ENDPOINT_UPDATE

UpdatePrivateEndpoint

なし
manage

USE +

ORM_PRIVATE_ENDPOINT_CREATE

ORM_PRIVATE_ENDPOINT_DELETE

ORM_PRIVATE_ENDPOINT_MOVE

ChangePrivateEndpointCompartment

CreatePrivateEndpoint

DeletePrivateEndpoint

なし
orm-stacks
動詞 権限 完全に対象となるAPI 部分的に対象となるAPI
inspect

ORM_STACK_INSPECT

ListResourceDiscoveryServices

ListStacks

ListTerraformVersions

なし
read

INSPECT +

ORM_STACK_READ

GetStack

GetStackTfConfig

GetStackTfState

ListStackAssociatedResources

ListStackResourceDriftDetails

なし
use

READ +

ORM_STACK_USE

余分なし

 CreateJob (manage orm-jobsも必要)
manage

USE +

ORM_STACK_CREATE

ORM_STACK_UPDATE

ORM_STACK_MOVE

ORM_STACK_DELETE

CreateStack (構成ソース・プロバイダを使用しない場合)

UpdateStack

ChangeStackCompartment

DeleteStack

DetectStateDrift

ListTerraformVersions

CreateStack: 構成ソース・プロバイダ(configSourceTypeの値GIT_CONFIG_SOURCE)を使用するスタックを作成する場合、read orm-config-source-providersも必要です
orm-template
動詞 権限 完全に対象となるAPI 部分的に対象となるAPI
inspect ORM_TEMPLATE_INSPECT ListTemplates

なし
read

INSPECT +

ORM_TEMPLATE_READ

GetTemplate

GetTemplateLogo

GetTemplateTfConfig

なし
use

READ +

ORM_TEMPLATE_UPDATE

UpdateTemplate

なし
manage

USE +

ORM_TEMPLATE_CREATE

ORM_TEMPLATE_DELETE

ORM_TEMPLATE_MOVE

ChangeTemplateCompartment

CreateTemplate

DeleteTemplate

なし
orm-work-requests
動詞 権限 完全に対象となるAPI 部分的に対象となるAPI
inspect

ORM_WORK_REQUEST_INSPECT

 ListWorkRequests

なし
read

INSPECT +

ORM_WORK_REQUEST_READ

ListWorkRequestErrors

ListWorkRequestLogs

GetWorkRequest

なし
use

READ +

余分なし

余分なし

なし
manage

USE +

余分なし

余分なし

なし

各API操作に必要な権限

次の表に、API操作をアルファベット順に示します。

権限の詳細は、権限を参照してください。

API操作 操作の使用に必要な権限
CancelJob ORM_JOB_MANAGE
ChangeConfigurationSourceProviderCompartment ORM_CONFIG_SOURCE_PROVIDER_MOVE
ChangePrivateEndpointCompartment ORM_PRIVATE_ENDPOINT_MOVE
ChangeStackCompartment ORM_STACK_MOVE
ChangeTemplateCompartment ORM_TEMPLATE_MOVE
CreateConfigurationSourceProvider ORM_CONFIG_SOURCE_PROVIDER_CREATE
CreateJob ORM_JOB_MANAGEとORM_STACK_USE
CreatePrivateEndpoint ORM_PRIVATE_ENDPOINT_CREATE
CreateStack

ORM_STACK_CREATE (構成ソース・プロバイダを使用しない場合)。

構成ソース・プロバイダ(configSourceTypeの値GIT_CONFIG_SOURCE)を使用する場合、ORM_CONFIG_SOURCE_PROVIDER_READも必要です
CreateTemplate ORM_TEMPLATE_CREATE
DeleteConfigurationSourceProvider ORM_CONFIG_SOURCE_PROVIDER_DELETE
DeletePrivateEndpoint ORM_PRIVATE_ENDPOINT_DELETE
DeleteStack ORM_STACK_DELETE
DeleteTemplate ORM_TEMPLATE_DELETE
DetectStateDrift ORM_STACK_UPDATE
GetConfigurationSourceProvider ORM_CONFIG_SOURCE_PROVIDER_READ
GetJob ORM_JOB_READ
GetJobLogs ORM_JOB_READ
GetJobLogsContent ORM_JOB_READ
GetJobTfConfig ORM_JOB_READ
GetJobTfPlan ORM_JOB_READ
GetJobTfState ORM_JOB_READ
GetPrivateEndpoint ORM_PRIVATE_ENDPOINT_READ
GetReachableIp ORM_PRIVATE_ENDPOINT_READ
GetStack ORM_STACK_READ
GetStackTfConfig ORM_STACK_READ
GetStackTfState ORM_STACK_READ
GetTemplate ORM_TEMPLATE_READ
GetTemplateLogo ORM_TEMPLATE_READ
GetTemplateTfConfig ORM_TEMPLATE_READ
GetWorkRequest ORM_WORK_REQUEST_READ
ListConfigurationSourceProviders ORM_CONFIG_SOURCE_PROVIDER_INSPECT
ListJobAssociatedResources ORM_JOB_READ
ListJobOutputs ORM_JOB_READ
ListJobs ORM_JOB_INSPECT
ListPrivateEndpoints ORM_PRIVATE_ENDPOINT_INSPECT
ListResourceDiscoveryServices ORM_STACK_INSPECT
ListStackAssociatedResources ORM_STACK_READ
ListStackResourceDriftDetails ORM_STACK_READ
ListStacks ORM_STACK_INSPECT
ListTemplateCategories なし
ListTemplates ORM_TEMPLATE_INSPECT
ListTerraformVersions ORM_STACK_INSPECT
ListWorkRequestErrors ORM_WORK_REQUEST_READ
ListWorkRequestLogs ORM_WORK_REQUEST_READ
ListWorkRequests ORM_WORK_REQUEST_INSPECT
UpdateConfigurationSourceProvider ORM_CONFIG_SOURCE_PROVIDER_UPDATE
UpdateJob ORM_JOB_MANAGE
UpdatePrivateEndpoint ORM_PRIVATE_ENDPOINT_UPDATE
UpdateStack ORM_STACK_UPDATE
UpdateTemplate ORM_TEMPLATE_UPDATE