KMSキーを使用したブロック・ストレージ暗号化のIAMポリシーの作成

ブロック・ストレージおよびビッグ・データ・サービスがコンパートメント内のKMSキーを使用できるようにするOracle Cloud Infrastructure Identity and Access Management (IAM)ポリシーを作成します。

ビッグ・データ・サービスには次のものが最小限必要です。

• 次のポリシー・ステートメントを含むポリシー:

  allow service blockstorage to use keys in compartment <name_of_compartment> where target.key.id='<ocid_of_key>'

  このポリシー・ステートメントは、<name_of_compartment>内のKMSキーをターゲット・キーID <ocid_of_key>とともに使用する権限をブロック・ストレージに付与します。

• 次のポリシー・ステートメントを含むポリシー:

  allow service bdsprod to use key-delegate in compartment <name_of_compartment> where target.key.id='<ocid_of_key>'

  このポリシー・ステートメントは、ターゲット・キーIDが<ocid_of_key>の<name_of_compartment>のKMSキーをキー委任する権限をビッグ・データ・サービスに付与します。

• 次のポリシー・ステートメントを含むポリシー:

  allow service bdsprod to read keys in compartment <name_of_compartment> where target.key.id='<ocid_of_key>'

  このポリシー・ステートメントは、ターゲット・キーIDが<ocid_of_key>の<name_of_compartment>のKMSキーを読み取る権限をビッグ・データ・サービスに付与します。

• 次のポリシー・ステートメントを含むポリシー:

  allow group <user-group> to use key-delegate in compartment <name_of_compartment> where target.key.id='<ocid_of_key>'

  このポリシー・ステートメントは、<user-group>に、ターゲット・キーIDが<ocid_of_key>の<name_of_compartment>のKMSキーをキー委任する権限を付与します。