Oracle Cloud Infrastructureドキュメント

テナンシをまたがったストリーミング・リソースへのアクセス

このトピックでは、テナンシが他のテナンシのストリーミング・リソースにアクセスできるようにするポリシーを記述する方法について説明します。

ポリシーを初めて使用する場合は、ポリシーの開始およびストリーミング・サービスの詳細を参照してください。

クロステナンシ・ポリシー

組織は、独自のテナンシを持つ別の組織とストリーミング・リソースを共有する場合があります。これは、会社内の別のビジネス・ユニット、会社の顧客、会社にサービスを提供する会社などの場合があります。このような場合、前述の必須ユーザーとサービス・ポリシーに加えて、クロステナンシ・ポリシーが必要です。

承認、許可および定義ステートメント

リソースにアクセスして共有するには、両方のテナンシの管理者は、アクセスと共有が可能なリソースを明示的に示す特別なポリシー・ステートメントを作成する必要があります。これらの特別なステートメントは、定義承認および許可という語句を使用します。

クロステナンシ・ステートメントで使用される特別な動詞の概要は次のとおりです:

  • 承認: 独自のテナンシ内のグループが他のテナンシ内で実行できる一般的な機能セットを示します。承認ステートメントは、テナンシのリソースを使用する他のテナンシに対して境界を超えるユーザーのグループのテナンシに常に属します。例では、このテナンシをソースと呼びます。
  • 許可: 他のテナンシからグループに付与する独自のテナンシの機能の種類を示します。許可ステートメントは、テナンシに「許可」したテナンシに属します。許可ステートメントは、ソース・テナンシからのリソース・アクセスを必要とし、対応する承認ステートメントで特定されるユーザーのグループを識別します。例では、このテナンシを宛先と呼びます。

  • 定義: 承認および許可ポリシー・ステートメントのテナンシOCIDに別名を割り当てます。許可ステートメントのソースIAMグループOCIDに別名を割り当てるには、宛先テナンシに定義ステートメントも必要です。

    定義ステートメントは、承認または許可ステートメントと同じポリシー・エンティティに含める必要があります。

承認および許可ステートメントは連携して動作しますが、それぞれのテナンシの別々のポリシーに存在します。アクセス権を指定する対応ステートメントがない場合、特定の承認または許可ステートメントはアクセス権を与えません。両方のテナンシから合意が必要です。

ソース・ポリシー

ソース管理者は、宛先テナンシでリソースを管理できるソースIAMグループを承認するポリシー・ステートメントを作成します。

IAMグループのStreamingAdminsグループがテナンシ内のすべてのストリーミング・リソースに対してすべての操作を実行することを承認する広範なポリシー・ステートメントの例を次に示します:

Endorse group StreamingAdmins to manage streams in any-tenancy

テナンシ・アクセスの範囲を狭くするポリシーを記述するには、宛先管理者が宛先テナンシOCIDを指定する必要があります。次の例は、IAMグループのStreamingAdminsグループがDestinationTenancyのストリーミング・リソースのみを管理することを承認するポリシー・ステートメントを示しています:

Define tenancy DestinationTenancy as ocid1.tenancy.oc1..<unique_ID>
Endorse group StreamingAdmins to manage streams in tenancy DestinationTenancy

宛先ポリシー

宛先管理者は、次のポリシー・ステートメントを作成します:

  • ソース・テナンシおよびテナンシのリソースにアクセスできるIAMグループを定義します。ソース管理者がこの情報を提供する必要があります。
  • テナンシでアクセスを許可するストリーミング・リソースにアクセスするために、定義済のソースを許可します。

ソース・テナンシのIAMグループのStreamingAdminsがテナンシ内のすべてのストリーミング・リソースに対してすべての操作を実行することを承認するポリシー・ステートメントの例を次に示します:

Define tenancy SourceTenancy as ocid1.tenancy.oc1..<unique_ID>
Define group StreamingAdmins as ocid1.group.oc1..<unique_ID>
Admit group StreamingAdmins of tenancy SourceTenancy to manage streams in tenancy

次の例は、ソース・テナンシのIAMグループのStreamingAdminsがSharedStreamsコンパートメントのストリーミング・リソースのみを管理することを承認するポリシー・ステートメントを示しています:

Define tenancy SourceTenancy as ocid1.tenancy.oc1..<unique_ID>
Define group StreamingAdmins as ocid1.group.oc1..<unique_ID>
Admit group StreamingAdmins of tenancy SourceTenancy to manage streams in compartment SharedStreams