Oracle Cloud Infrastructureドキュメント

グループ、動的グループおよびポリシーの作成

ユーザーがテナンシ内のリソース・アナリティクスのインスタンスを管理する方法を制御できます。

通常、テナンシにユーザー・グループを作成し、そのグループに特定のコンパートメント内のサービスを管理する権限を付与し、リソース・アナリティクス・インスタンスのリソース・プリンシパルにテナンシのリソース・メタデータを監視する権限を付与します。

1. グループと動的グループの作成

  1. リソース・アナリティクス・インスタンス用に選択したコンパートメントのOCIDを取得します。
    この例では、resource-analytics-compartmentのOCIDです。
  2. アイデンティティ・ドメインで:
    1. resource-analytics-adminsというグループを作成します。これには、リソース・アナリティクス・インスタンスとテナンシ・アタッチメント、Autonomous AI DatabasesおよびAnalytics Cloudインスタンスを管理するユーザーが含まれます。
    2. 必要に応じて、ユーザーをグループに追加します。
    3. resource-analytics-instancesという動的グループを作成します。
    4. 動的グループに次のルールを追加して、最終的にresource-analytics-compartmentコンパートメントに作成するリソース・アナリティクス・インスタンスと一致させます:
      all {resource.type = 'resanalyticsinstance', resource.compartment.id = '<resource-analytics-compartment-ocid>'}

    テナンシのドメインへのユーザー、グループおよび動的グループの追加の詳細は、ユーザーの管理グループの管理および動的グループの管理を参照してください。

    アイデンティティ・ドメインをサポートしていない古いテナンシについては、ユーザーの管理グループの管理および動的グループの管理を参照してください。

2. ポリシーの作成

ユーザー・グループおよび動的グループを作成した後、グループ・メンバーがリソース・アナリティクス・インスタンスを管理し、テナンシのサブスクライブ済リージョンのセットを検査し、テナンシ内のリソースのメタデータを監視およびレポートできるように、それらのグループに権限(権限)を指定する必要があります。グループに対する権限は、IAMポリシーの形式で提供します。

IAMポリシーは、Oracle Cloud Infrastructure (OCI)テナンシのリソースの制御を制御します。ポリシーには、1つ以上のポリシー・ステートメントが含まれます。

ポリシーを作成するには:

テナンシへのポリシーの追加の詳細は、ポリシーの使用の概要を参照してください。アイデンティティ・ドメインをサポートしていない古いテナンシについては、ポリシーの管理を参照してください。

ポリシー・ビルダーを使用したポリシーの作成

ポリシー・ビルダーを使用してテナンシのポリシーを作成する場合は、リソース・アナリティクス・ポリシー・テンプレートを利用します。ポリシー・テンプレートには、OCIのサービスでタスクまたは一連の関連タスクを実行する権限を付与するために必要なすべてのステートメントが含まれます。

各リソース・アナリティクス・ポリシー・テンプレートに含まれるステートメントの詳細は、ポリシー・ビルダーのポリシー・テンプレートを参照してください。アイデンティティ・ドメインをサポートしていない古いテナンシについては、共通ポリシーを参照してください。

ポリシー・ビルダーを使用したポリシーの作成

ポリシー・ビルダーを使用して3つのポリシーを作成します:
  • リソース・アナリティクス・インスタンスによるリソース・アナリティクス・リソースの管理 - リソース・アナリティクス・インスタンスで、リソース・メタデータ、コンパートメント、自律型AIデータベース、仮想ネットワーク・ファミリ、アナリティクス・インスタンスの作業リクエストおよびアナリティクス・インスタンスなどのリソース・アナリティクス・リソースを管理できます。
  • 管理者によるリソース・アナリティクス・リソースの管理 - 管理者がリソース・アナリティクス・ファミリ、仮想ネットワーク・ファミリ、自律型AIデータ・ウェアハウス、作業リクエストなどのリソース・アナリティクス・リソースを管理できるようにします。
  • 管理者がテナンシのサブスクライブ済リージョンのセットを検査 - 管理者がテナンシのサブスクライブ済リージョンのセットを検査できるようにします。

これらのステップに従います。

  1. 「リソース分析」ページで、「詳細の表示」を選択して、「初回使用の前提条件の構成」パネルを表示します。
  2. 「ポリシーの作成」セクションで、「ポリシー・ビルダー」を選択して、アイデンティティおよびセキュリティの「ポリシー」ページに移動します。
  3. 「ポリシーの作成」を選択します。
    1. ポリシーの名前と説明を入力し、ルート・コンパートメントを選択します。
    2. 「ポリシーのユース・ケース」で、「リソース分析」を選択します。
    3. 「共通ポリシー・テンプレート」で、「リソース分析インスタンスによるリソース分析リソースの管理」を選択します。
    4. アイデンティティ・ドメインを選択します。
    5. resource-analytics-instances動的グループを選択します。
    6. 「作成」を選択します。
  4. アイデンティティおよびセキュリティの「ポリシー」ページで、「ポリシーの作成」を選択します。
    1. ポリシーの名前と説明を入力し、resource-analytics-compartmentまたはその上にある任意のコンパートメントを選択します。
    2. 「ポリシーのユース・ケース」で、「リソース分析」を選択します。
    3. 「共通ポリシー・テンプレート」で、「管理者によるリソース分析リソースの管理」を選択します。
    4. アイデンティティ・ドメインを選択します。
    5. resource-analytics-adminsグループを選択します。
    6. 「作成」を選択します。
  5. アイデンティティおよびセキュリティの「ポリシー」ページで、「ポリシーの作成」を選択します。
    1. ポリシーの名前と説明を入力し、ルート・コンパートメントを選択します。
    2. 「ポリシーのユース・ケース」で、「リソース分析」を選択します。
    3. 「共通ポリシー・テンプレート」で、「管理者によるテナンシのサブスクライブ済リージョンのセットの検査」を選択します。
    4. アイデンティティ・ドメインを選択します。
    5. resource-analytics-adminsグループを選択します。
    6. 「作成」を選択します。
  6. アイデンティティおよびセキュリティの「ポリシー」ページで、すべてのポリシーが作成されていることを確認します。

手動エディタを使用したポリシーの作成

ポリシー・ビルダーを使用して、管理者グループおよび動的グループに割り当てるポリシーを作成しない場合は、次の手順に従います。ポリシーは、Defaultドメインにいるか、別のドメインにいるかに応じて、異なる文で作成します。

ヒント

ポリシーを手動で作成する場合は、次に示すポリシー・ステートメントをresource-analytics-adminsグループとresource-analytics-instances動的グループの両方についてコピーすることが多くなります。必要に応じて、管理者グループおよびインスタンスの3つのポリシー・ステートメント・セットのいずれかまたはすべてを、ルートの1つのポリシーに組み合せることができます。

デフォルト・ドメインでの管理者グループのポリシーの作成

次のステップは、Defaultドメインを使用している場合にのみ実行します。
  1. resource-analytics-adminsグループにリソース・アナリティクス・インスタンスの管理を許可するには、リソース・アナリティクス・インスタンスを作成するコンパートメント(resource-analytics-compartment)以上の次のステートメントを使用してポリシーを作成します:
    allow group resource-analytics-admins to manage resource-analytics-family in compartment resource-analytics-compartment
allow group resource-analytics-admins to use virtual-network-family in compartment resource-analytics-compartment
allow group resource-analytics-admins to manage autonomous-data-warehouses in compartment resource-analytics-compartment
allow group resource-analytics-admins to inspect work-requests in compartment resource-analytics-compartment
  2. resource-analytics-adminsグループがテナンシのサブスクライブ済リージョン・セットを検査できるようにするには、ルート・コンパートメントに次のステートメントを含むポリシーを作成します: 
    allow group resource-analytics-admins to inspect tenancies in tenancy

デフォルト以外のアイデンティティ・ドメインでの管理者グループのポリシーの作成

テナンシがアイデンティティ・ドメインをサポートし、グループresource-analytics-adminsのアイデンティティ・ドメインがDefaultではなく、MyDomainなどの別の名前の場合は、修飾名構文を使用してグループを参照します。
  1. resource-analytics-adminsグループにリソース・アナリティクス・インスタンスの管理を許可するには、リソース・アナリティクス・インスタンスを作成するコンパートメント(resource-analytics-compartment)以上の次のステートメントを使用してポリシーを作成します:
    allow group 'MyDomain'/'resource-analytics-admins' to manage resource-analytics-family in compartment resource-analytics-compartment
allow group 'MyDomain'/'resource-analytics-admins' to use virtual-network-family in compartment resource-analytics-compartment
allow group 'MyDomain'/'resource-analytics-admins' to manage autonomous-data-warehouses in compartment resource-analytics-compartment
allow group 'MyDomain'/'resource-analytics-admins' to inspect work-requests in compartment resource-analytics-compartment
  2. resource-analytics-adminsグループがテナンシのサブスクライブ済リージョン・セットを検査できるようにするには、ルート・コンパートメントに次のステートメントを含むポリシーを作成します: 
    allow group 'MyDomain'/'resource-analytics-admins' to inspect tenancies in tenancy

デフォルト・ドメインでのリソース・アナリティクス・インスタンスのポリシーの作成

次のステップは、Defaultドメインを使用している場合にのみ実行します。
resource-analytics-instances動的グループがテナンシ内のリソースのメタデータを監視およびレポートできるようにするには、ルート・コンパートメントに次のステートメントを含むポリシーを作成します:
allow dynamic-group resource-analytics-instances to read resource-metadata in tenancy
allow dynamic-group resource-analytics-instances to read compartments in tenancy
allow dynamic-group resource-analytics-instances to read autonomous-databases in compartment resource-analytics-compartment
allow dynamic-group resource-analytics-instances to use virtual-network-family in compartment resource-analytics-compartment
allow dynamic-group resource-analytics-instances to read analytics-instance-work-requests in compartment resource-analytics-compartment
allow dynamic-group resource-analytics-instances to manage analytics-instances in compartment resource-analytics-compartment

デフォルト以外のアイデンティティ・ドメインでのリソース・アナリティクス・インスタンスのポリシーの作成

テナンシでアイデンティティ・ドメインがサポートされており、動的グループresource-analytics-instancesのアイデンティティ・ドメインがDefaultではなく、別の名前(MyDomainなど)の場合は、修飾名構文を使用して動的グループを参照します。
resource-analytics-instances動的グループがテナンシ内のリソースのメタデータを監視およびレポートできるようにするには、ルート・コンパートメントに次のステートメントを含むポリシーを作成します:
allow dynamic-group 'MyDomain'/'resource-analytics-instances' to read resource-metadata in tenancy
allow dynamic-group 'MyDomain'/'resource-analytics-instances' to read compartments in tenancy
allow dynamic-group 'MyDomain'/'resource-analytics-instances' to read autonomous-databases in compartment resource-analytics-compartment
allow dynamic-group 'MyDomain'/'resource-analytics-instances' to use virtual-network-family in compartment resource-analytics-compartment
allow dynamic-group 'MyDomain'/'resource-analytics-instances' to read analytics-instance-work-requests in compartment resource-analytics-compartment
allow dynamic-group 'MyDomain'/'resource-analytics-instances' to manage analytics-instances in compartment resource-analytics-compartment