Oracle Cloud Infrastructureドキュメント

クラウド・ガード・ポリシー

Oracle Cloud Guardにアクセスできるユーザーおよび各ユーザー・グループのアクセスのタイプを制御するには、ポリシーを作成する必要があります。

デフォルトでは、Administratorsグループのユーザーのみがすべてのクラウド・ガード・リソースにアクセスできます。クラウド・ガードに関係する他のすべてのユーザーに対して、クラウド・ガード・リソースに対する適切な権限を割り当てる新しいポリシーを作成する必要があります。

Oracle Cloud Infrastructureポリシーの完全なリストは、ポリシー・リファレンスを参照してください。

リソース・タイプ

クラウド・ガードでは、ポリシーを記述するための集約リソース・タイプと個別リソース・タイプの両方が提供されます。

集約リソース・タイプを使用すると、記述するポリシーの数を少なくできます。たとえば、グループにcloud-guard-detectorsおよびcloud-guard-problemsの管理を許可するかわりに、グループに集約リソース・タイプcloud-guard-familyの管理を許可するポリシーを設定できます。

集約リソース・タイプ 個々のリソース・タイプ
cloud-guard-family

cloud-guard-adhoc-query

cloud-guard-condition-metadata-types

cloud-guard-config

cloud-guard-coverage

cloud-guard-data-mask-rules

cloud-guard-data-sources

cloud-guard-detector-recipes

cloud-guard-detector-rule-definitions

cloud-guard-detectors

cloud-guard-findings

cloud-guard-managed-lists

cloud-guard-metadata

cloud-guard-meta-data-sync

cloud-guard-problems

cloud-guard-recommendations

cloud-guard-resource-profile

cloud-guard-resource-types

cloud-guard-resource-view

cloud-guard-responder-recipes

cloud-guard-responder-rules

cloud-guard-responder-executions

cloud-guard-risk-scores

cloud-guard-saved-query

cloud-guard-schemas

cloud-guard-security-scores

cloud-guard-service-logging

cloud-guard-signals

cloud-guard-summary-event

cloud-guard-target-detector-rules

cloud-guard-targets

cloud-guard-user-preferences

security-policy

security-recipe

security-zone

cloud-guard-family集約リソース・タイプでカバーされるAPIは、前述の表の「個別リソース・タイプ」にリストされているすべてのAPIに相当します。

たとえば、 

allow group cloudguard-admins to manage cloud-guard-family in compartment <x>

...は、次のフォーマットで20個のポリシーを記述することと同じです:

allow group cloudguard-admins to manage <resource_type> in compartment <x>

動詞+リソース・タイプの組合せの詳細

クラウド・ガードの各動詞でカバーされる権限およびAPI操作の表。

アクセス・レベルは、inspect > read > use > manageの順に累積します。表のセルのプラス記号(+)は、そのすぐ上のセルと比較して増分アクセスを示しますが、「追加なし」は増分アクセスを示しません。Oracle Cloud Infrastructureの権限の詳細は、権限を参照してください。

クラウド・ガード非定型問合せ

ここでは、cloud-guard-adhoc-queryリソース・タイプでカバーされるAPIをリストします。APIは、権限ごとにアルファベット順に表示されます。

権限

完全にカバーされるAPI

部分的にカバーされるAPI

検査

CG_ADHOC_QUERY_INSPECT

ListAdhocQueries

なし

読取り

検査+

検査+

なし

CG_ADHOC_QUERY_READ

GetAdhocQuery

ListAdhocQueryResults

GetAdhocQueryResultContent

使用

READ +

READ +

なし

CG_ADHOC_QUERY_CREATE

 CreateAdhocQuery

管理

 追加なし 追加なし
cloud-guard-condition-metadata-types

ここでは、cloud-guard-condition-metadata-typesリソース・タイプでカバーされるAPIをリストします。APIは、権限ごとにアルファベット順に表示されます。

権限

完全にカバーされるAPI

部分的にカバーされるAPI

検査

CG_CONDITION_METADATA_TYPES_INSPECT

ListCloudGuardConditionMetadataType

なし

読取り

 追加なし

INSPECT+

INSPECT+

CG_CONDITION_METADATA_TYPES_READ

 GetCloudGuardConditionMetadataType

使用

 追加なし 追加なし

管理

 追加なし 追加なし
cloud-guard-config

ここでは、cloud-guard-configリソース・タイプでカバーされるAPIをリストします。APIは、権限ごとにアルファベット順に表示されます。

権限

完全にカバーされるAPI

部分的にカバーされるAPI

検査

CG_CONFIG_INSPECT

GetCloudGuard

なし

読取り

調査+

調査+

なし

CG_CONFIG_READ

GetCloudGuard

なし

使用

READ +

READ +

なし

CG_CONFIG_UPDATE

UpdateCloudGuard

なし

管理

 追加なし 追加なし
クラウドガードカバー

ここでは、cloud-guard-coverageリソース・タイプでカバーされるAPIをリストします。APIは、権限ごとにアルファベット順に表示されます。

権限

完全にカバーされるAPI

部分的にカバーされるAPI

検査

CG_COVERAGE_INSPECT

RequestSummarizedCoverage

なし

読取り

追加なし

追加なし

使用

追加なし

追加なし

管理

追加なし

追加なし
クラウドガード・データ・マスク・ルール

ここでは、cloud-guard-data-mask-rulesリソース・タイプでカバーされるAPIをリストします。APIは、権限ごとにアルファベット順に表示されます。

権限

完全にカバーされるAPI

部分的にカバーされるAPI

検査

CG_DATA_MASK_RULE_INSPECT

ListDataMaskRules

なし

読取り

調査+

検査+

なし

CG_DATA_MASK_RULE_READ

GetDataMaskRule

使用

READ +

READ +

なし

CG_DATA_MASK_RULE_UPDATE

UpdateDataMaskRule

管理

なし

USE +

USE +

なし

CG_DATA_MASK_RULE_CREATE

CreateDataMaskRule

CG_DATA_MASK_RULE_DELETE

DeleteDataMaskRule
クラウド・ガード- データ・ソース

ここでは、cloud-guard-data-sourcesリソース・タイプでカバーされるAPIをリストします。APIは、権限ごとにアルファベット順に表示されます。

権限

完全にカバーされるAPI

部分的にカバーされるAPI

検査

CG_DATA_SOURCE_INSPECT

ListDataSources

なし

読取り

検査+

検査+

なし

CG_DATA_SOURCE_READ

GetDataSource

使用

READ +

READ +

なし

CG_DATA_SOURCE_UPDATE

UpdateDataSource

管理

なし

USE +

USE +

なし

CG_DATA_SOURCE_CREATE

CreateDataSource

CG_DATA_SOURCE_DELETE

DeleteDataSource

CG_DATA_SOURCE_MOVE

ChangeDataSourceCompartment
cloud-guard-detectors

ここでは、cloud-guard-detectorsリソース・タイプでカバーされるAPIをリストします。APIは、権限ごとにアルファベット順に表示されます。

権限

完全にカバーされるAPI

部分的にカバーされるAPI

検査

CG_DETECTOR_INSPECT

ListCloudGuardDetectors

なし

ListCloudGuardDetectorRules

読取り

検査+

検査+

なし

CG_DETECTOR_READ

GetCloudGuardDetector

GetCloudGuardDetectorRule

使用

 追加なし 追加なし

管理

 追加なし 追加なし
cloud-guard-detector-recipes

ここでは、cloud-guard-detector-recipesリソース・タイプでカバーされるAPIをリストします。APIは、権限ごとにアルファベット順に表示されます。

権限

完全にカバーされるAPI

部分的にカバーされるAPI

検査

CG_DETECTOR_RECIPE_INSPECT

ListCloudGuardDetectorRecipe

なし

ListCloudGuardDetectorRecipeDetectorRules

読取り

検査+

検査+

なし
CG_DETECTOR_RECIPE_READ

GetCloudGuardDetectorRecipe

GetCloudGuardDetectorRecipeDetectorRule

使用

READ +

READ +

なし

CG_DETECTOR_RECIPE_UPDATE

 UpdateCloudGuardDetectorRecipe

ChangeCloudGuardDetectorRecipeCompartment

UpdateCloudGuardDetectorRecipeDetectorRule

管理

USE +

USE +

なし

CG_DETECTOR_RECIPE_CREATE

CreateCloudGuardDetectorRecipe

CG_DETECTOR_RECIPE_DELETE

DeleteCloudGuardDetectorRecipe
クラウド・ガード・ディテクタ・ルール定義

ここでは、cloud-guard-detector-rule-definitionsリソース・タイプでカバーされるAPIをリストします。APIは、権限ごとにアルファベット順に表示されます。

権限

完全にカバーされるAPI

部分的にカバーされるAPI

検査

CG_DETECTOR_RULE_DEFINITION_INSPECT

ListDetectorRuleDefinitions

なし

読取り

検査+

検査+

なし

CG_DETECTOR_RULE_DEFINITION_READ

GetDetectorRuleDefinition

使用

READ +

READ +

なし

CG_DETECTOR_RULE_DEFINITION_UPDATE

 UpdateDetectorRuleDefinition

管理

USE +

USE +

なし

CG_DETECTOR_RULE_DEFINITION_CREATE

CreateDetectorRuleDefinition

CG_DETECTOR_RULE_DEFINITION_DELETE

DeleteDetectorRuleDefinition
cloud-guard-findings

ここでは、cloud-guard-findingsリソース・タイプでカバーされるAPIをリストします。APIは、権限ごとにアルファベット順に表示されます。

権限

完全にカバーされるAPI

部分的にカバーされるAPI

検査

検査

 追加なし 追加なし

読取り

 追加なし 追加なし

使用

 追加なし 追加なし

管理

CG_FINDING_CREATE

CreateCloudGuardFinding

なし
cloud-guard-managed-lists

ここでは、cloud-guard-managed-listsリソース・タイプでカバーされるAPIをリストします。APIは、権限ごとにアルファベット順に表示されます。

権限

完全にカバーされるAPI

部分的にカバーされるAPI

検査

CG_MANAGED_LIST_INSPECT

ListCloudGuardManagedLists

なし

ListCloudGuardManagedListTypes

読取り

調査+

調査+

なし

CG_MANAGED_LIST_READ

GetCloudGuardManagedList

使用

READ +

READ +

なし

CG_MANAGED_LIST_UPDATE

 UpdateCloudGuardManagedList

管理

USE +

USE +

なし

CG_MANAGED_LIST_CREATE

CreateCloudGuardManagedList

CG_MANAGED_LIST_DELETE

DeleteCloudGuardManagedList

CG_MANAGED_LIST_MOVE

ChangeManagedListCompartment
クラウド・ガード・メタデータ

ここでは、cloud-guard-metadataリソース・タイプでカバーされるAPIをリストします。APIは、権限ごとにアルファベット順に表示されます。

権限

完全にカバーされるAPI

部分的にカバーされるAPI

検査

CG_METADATA_INSPECT

ListTactics

なし

ListTechniques

読取り

追加なし

追加なし

使用

追加なし

追加なし

管理

追加なし

追加なし
cloud-guard-meta-data-sync

ここでは、cloud-guard-meta-data-syncリソース・タイプでカバーされるAPIをリストします。APIは、権限ごとにアルファベット順に表示されます。

権限

完全にカバーされるAPI

部分的にカバーされるAPI

検査

 追加なし 追加なし

なし

なし

なし

読取り

調査+

調査+

なし

CG_METADATASYNC_READ

GetMetaDataSyncStatus

使用

READ +

READ +

なし

CG_METADATASYNC_UPDATE

 UpdateResourceSync

管理

 追加なし 追加なし
cloud-guard-problems

ここでは、cloud-guard-problemsリソース・タイプでカバーされるAPIをリストします。APIは、権限ごとにアルファベット順に表示されます。

権限

完全にカバーされるAPI

部分的にカバーされるAPI

検査

CG_PROBLEM_INSPECT

ListCloudGuardProblems

なし

ListCloudGuardProblemHistories

ListCloudGuardResponderActivities

RequestCloudGuardSummarizedActivityProblems

読取り

調査+

調査+

なし

CG_PROBLEM_READ

GetCloudGuardProblem

RequestCloudGuardSummarizedProblems

RequestCloudGuardSummarizedTrendProblems

ListCloudGuardImpactedResources

使用

READ +

READ +

なし

CG_PROBLEM_UPDATE

 UpdateCloudGuardBulkProblemStatus

UpdateCloudGuardProblemStatus

TriggerCloudGuardResponder

管理

 追加なし 追加なし
cloud-guard-recommendations

ここでは、cloud-guard-recommendationsリソース・タイプでカバーされるAPIをリストします。APIは、権限ごとにアルファベット順に表示されます。

権限

完全にカバーされるAPI

部分的にカバーされるAPI

検査

CG_RECOMMENDATION_INSPECT

ListCloudGuardRecommendations

なし

読取り

 追加なし 追加なし

使用

 追加なし 追加なし

管理

 追加なし 追加なし
クラウドガードリソースプロファイル

ここでは、cloud-guard-resource-profileリソース・タイプでカバーされるAPIをリストします。APIは、権限ごとにアルファベット順に表示されます。

権限

完全にカバーされるAPI

部分的にカバーされるAPI

検査

CG_RESOURCE_PROFILE_INSPECT

ListResourceProfiles

なし

読取り

調査+

調査+

なし

CG_RESOURCE_PROFILE_READ

GetResourceProfile

ListResourceProfileEndpoints

ListResourceProfileImpactedResources

RequestSummarizedTopTrendResourceRiskScores

RequestSummarizedTrendResourceRiskScores

使用

追加なし

追加なし

管理

追加なし

追加なし
cloud-guard-resource-types

ここでは、cloud-guard-cloud-guard-resource-typesリソース・タイプでカバーされるAPIをリストします。APIは、権限ごとにアルファベット順に表示されます。

権限

完全にカバーされるAPI

部分的にカバーされるAPI

検査

CG_RESOURCE_TYPES_INSPECT

ListCloudGuardResourceTypes

なし

読取り

 追加なし 追加なし

使用

 追加なし 追加なし

管理

 追加なし 追加なし
クラウド・ガード- リソース・ビュー

ここでは、cloud-guard-resource-viewリソース・タイプでカバーされるAPIをリストします。APIは、権限ごとにアルファベット順に表示されます。

権限

完全にカバーされるAPI

部分的にカバーされるAPI

検査

CG_RESOURCE_VIEW_INSPECT

ListResources

なし

読取り

調査+

調査+

なし

CG_RESOURCE_VIEW_READ

GetResource

使用

追加なし

追加なし

管理

追加なし

追加なし
cloud-guard-responder-recipes

ここでは、cloud-guard-cloud-guard-responder-recipesリソース・タイプでカバーされるAPIをリストします。APIは、権限ごとにアルファベット順に表示されます。

権限

完全にカバーされるAPI

部分的にカバーされるAPI

検査

CG_RESPONDER_RECIPE_INSPECT

ListCloudGuardResponderRecipe

なし

ListCloudGuardResponderRecipeResponderRule

読取り

調査+

調査+

なし

CG_RESPONDER_RECIPE_READ

GetCloudGuardResponderRecipe

GetCloudGuardResponderRecipeResponderRule

使用

READ +

READ +

なし

CG_RESPONDER_RECIPE_UPDATE

 UpdateCloudGuardResponderRecipe

ChangeCloudGuardResponderRecipeCompartment

UpdateCloudGuardResponderRecipeResponderRule

管理

USE +

USE +

なし

CG_RESPONDER_RECIPE_CREATE

CreateCloudGuardResponderRecipe

CG_RESPONDER_RECIPE_DELETE

DeleteCloudGuardResponderRecipe

CG_RESPONDER_RECIPE_MOVE

ChangeResponderRecipeCompartment
cloud-guard-responder-executions

ここでは、cloud-guard-responder-executionsリソース・タイプでカバーされるAPIをリストします。APIは、権限ごとにアルファベット順に表示されます。

権限

完全にカバーされるAPI

部分的にカバーされるAPI

検査

CG_RESPONDER_EXECUTION_INSPECT

ListCloudGuardResponderExecution

なし

読取り

調査+

調査+

なし

CG_RESPONDER_EXECUTION_READ

GetCloudGuardResponderExecution

RequestCloudGuardSummarizedResponderExecutions

RequestCloudGuardSummarizedTrendResponderExecutions

使用

READ +

READ +

なし

CG_RESPONDER_EXECUTION_UPDATE

 ExecuteCloudGuardResponderExecution

管理

 追加なし 追加なし
cloud-guard-risk-scores

ここでは、cloud-guard-risk-scoresリソース・タイプでカバーされるAPIをリストします。APIは、権限ごとにアルファベット順に表示されます。

権限

完全にカバーされるAPI

部分的にカバーされるAPI

検査

CG_RISK_SCORES_INSPECT

RequestCloudGuardSummarizedRiskScores

なし

RequestCloudGuardRiskScores

読取り

 追加なし 追加なし

使用

 追加なし 追加なし

管理

 追加なし 追加なし
クラウド・ガード保存済問合せ

ここでは、cloud-guard-saved-queryリソース・タイプでカバーされるAPIをリストします。APIは、権限ごとにアルファベット順に表示されます。

権限

完全にカバーされるAPI

部分的にカバーされるAPI

検査

CG_SAVED_QUERY_INSPECT

ListSavedQueries

なし

読取り

調査+

調査+

なし

CG_SAVED_QUERY_READ

GetSavedQuery

使用

READ +

READ +

なし

CG_SAVED_QUERY_UPDATE

 UpdateSavedQuery

管理

USE +

USE +

なし

CG_SAVED_QUERY_CREATE

CreateSavedQuery

CG_SAVED_QUERY_DELETE

DeleteSavedQuery

CG_SAVED_QUERY_MOVE

ChangeWlpSavedQueryCompartment
クラウド・ガード・スキーマ

ここでは、cloud-guard-schemasリソース・タイプでカバーされるAPIをリストします。APIは、権限ごとにアルファベット順に表示されます。

権限

完全にカバーされるAPI

部分的にカバーされるAPI

検査

CG_SCHEMA_INSPECT

ListSchemas

なし

読取り

調査+

調査+

なし

CG_SCHEMA_READ

GetSchema

使用

READ +

READ +

なし

CG_SCHEMA_UPDATE

 UpdateSchema

管理

USE +

USE +

なし

CG_SCHEMA_CREATE

CreateSchema

CG_SCHEMA_DELETE

DeleteSchema
cloud-guard-security-scores

ここでは、cloud-guard-security-scoresリソース・タイプでカバーされるAPIをリストします。APIは、権限ごとにアルファベット順に表示されます。

権限

完全にカバーされるAPI

部分的にカバーされるAPI

検査

CG_SECURITY_SCORES_INSPECT

RequestCloudGuardSummarizedSecurityScores

なし

RequestCloudGuardSummarizedTrendSecurityScores

RequestCloudGuardSecurityScores

RequestSecurityScoreSummarizedTrend

読取り

 追加なし 追加なし

使用

 追加なし 追加なし

管理

 追加なし 追加なし
クラウド・ガード・サービス・ロギング

ここでは、cloud-guard-service-loggingリソース・タイプでカバーされるAPIをリストします。APIは、権限ごとにアルファベット順に表示されます。

権限

完全にカバーされるAPI

部分的にカバーされるAPI

検査

検査

ListCloudGuardProblems

追加なし

読取り

調査+

調査+

なし

CG_SERVICE_LOGGING_READ

GetServiceLogging

使用

READ +

READ +

なし

CG_SERVICE_LOGGING_UPDATE

 UpdateServiceLogging

管理

USE +

USE +

なし

CG_SERVICE_LOGGING_CREATE

CreateServiceLogging

CG_SERVICE_LOGGING_DELETE

DeleteServiceLogging
cloud-guard-signals

ここでは、cloud-guard-signalsリソース・タイプでカバーされるAPIをリストします。APIは、権限ごとにアルファベット順に表示されます。

権限

完全にカバーされるAPI

部分的にカバーされるAPI

検査

 追加なし 追加なし

読取り

 追加なし 追加なし

使用

 追加なし 追加なし

管理

USE +

USE +

なし

CG_SIGNAL_CREATE

CreateCloudGuardSignal
cloud-guard-summary-event

ここでは、cloud-guard-summary-eventリソース・タイプでカバーされるAPIをリストします。APIは、権限ごとにアルファベット順に表示されます。

権限

完全にカバーされるAPI

部分的にカバーされるAPI

検査

 追加なし 追加なし

読取り

 追加なし 追加なし

使用

 追加なし 追加なし

管理

USE +

USE +

なし

CG_SUMMARY_EVENT_CREATE

AddSummaryEvent
cloud-guard-targets

ここでは、cloud-guard-targetsリソース・タイプでカバーされるAPIをリストします。APIは、権限ごとにアルファベット順に表示されます。

権限

完全にカバーされるAPI

部分的にカバーされるAPI

検査

CG_TARGET_INSPECT

ListCloudGuardTargets

なし

ListCloudGuardTargetDetectorRecipes

ListCloudGuardTargetDetectorRecipeDetectorRules

読取り

調査+

調査+

なし

CG_TARGET_READ

GetCloudGuardTarget

ListCloudGuardTargetResponderRecipes

GetCloudGuardTargetResponderRecipe

ListCloudGuardTargetResponderRecipeResponderRules

GetCloudGuardTargetResponderRecipeResponderRule

GetCloudGuardTargetDetectorRecipe

GetCloudGuardTargetDetectorRecipeDetectorRule

使用

READ +

READ +

なし

CG_TARGET_UPDATE

 UpdateCloudGuardTarget

UpdateCloudGuardTargetDetectorRule

CreateCloudGuardTargetResponderRecipe

ChangeCloudGuardTargetResponderRecipeCompartment

UpdateCloudGuardTargetResponderRecipe

UpdateCloudGuardTargetResponderRecipeResponderRule

CreateCloudGuardTargetDetectorRecipe

ChangeCloudGuardTargetDetectorRecipeCompartment

UpdateCloudGuardTargetDetectorRecipe

管理

USE +

USE +

なし

CG_TARGET_CREATE

CreateCloudGuardTarget

CG_TARGET_DELETE

DeleteCloudGuardTarget

DeleteCloudGuardTargetResponderRecipe

DeleteCloudGuardTargetDetectorRecipe
cloud-guard-user-preferences

ここでは、cloud-guard-user-preferencesリソース・タイプでカバーされるAPIをリストします。APIは、権限ごとにアルファベット順に表示されます。

権限

完全にカバーされるAPI

部分的にカバーされるAPI

検査

CG_USER_PREFERENCE_INSPECT

GetCloudGuardUserPreference

なし

読取り

 追加なし 追加なし

使用

READ +

READ +

なし

USE +

USE +

なし

CG_USER_PREFERENCE_UPDATE

ReplaceCloudGuardUserPreference

管理

 追加なし 追加なし
クラウド・ガード作業リクエスト

ここでは、cloud-guard-work-requestsリソース・タイプでカバーされるAPIをリストします。APIは、権限ごとにアルファベット順に表示されます。

権限

完全にカバーされるAPI

部分的にカバーされるAPI

検査

CG_WORK_REQUEST_INSPECT

LListWorkRequests

なし

読取り

調査+

調査+

なし

CG_WORK_REQUEST_READ

GetWorkRequest

ListWorkRequestErrors

ListWorkRequestLogs

使用

追加なし

追加なし

管理

USE +

USE +

なし

CG_WORK_REQUEST_DELETE

CancelWorkRequest
セキュリティ・ポリシー

API操作

操作の使用に必要な権限
GetSecurityPolicy SECURITY_RECIPE_READ
security-recipe

ここでは、security-recipeリソース・タイプでカバーされるAPIをリストします。APIは、権限ごとにアルファベット順に表示されます。

動詞 権限 全部カバーされるAPI 一部カバーされるAPI
inspect SECURITY_RECIPE_INSPECT ListSecurityRecipes なし
read

inspect+

SECURITY_RECIPE_READ

 GetSecurityRecipe なし
use

read+

SECURITY_RECIPE_UPDATE

 UpdateSecurityRecipe なし
manage

use+

SECURITY_RECIPE_CREATE

SECURITY_RECIPE_DELETE

CreateSecurityRecipe

DeleteSecurityRecipe

 なし
security-zone

ここでは、security-zoneリソース・タイプでカバーされるAPIをリストします。APIは、権限ごとにアルファベット順に表示されます。

動詞 権限 全部カバーされるAPI 一部カバーされるAPI
inspect SECURITY_ZONE_INSPECT ListSecurityZones なし
read

inspect+

SECURITY_ZONE_READ

 GetSecurityZone なし
use

read+

SECURITY_ZONE_ATTACH

SECURITY_ZONE_DETACH

SECURITY_ZONE_UPDATE

AddCompartment

RemoveCompartment

UpdateSecurityZone

 なし
manage

use+

SECURITY_ZONE_CREATE

SECURITY_ZONE_DELETE

CreateSecurityZone

DeleteSecurityZone

 なし

API操作ごとに必要な権限

リソース・タイプ別にグループ化されたAPI操作を論理的順序でリストした表。

リソース・タイプは、リソース・タイプの「個別リソース・タイプ」列にリストされています。

権限の詳細は、権限を参照してください。

クラウド・ガード非定型問合せ

API操作

操作の使用に必要な権限

ListAdhocQueries

CG_ADHOC_QUERY_INSPECT

GetAdhocQuery

CG_ADHOC_QUERY_READ

ListAdhocQueryResults

CG_ADHOC_QUERY_READ

GetAdhocQueryResultContent

CG_ADHOC_QUERY_READ

CreateAdhocQuery

CG_ADHOC_QUERY_CREATE
cloud-guard-condition-metadata-types

API操作

操作の使用に必要な権限

ListCloudGuardConditionMetadataType

CG_CONDITION_METADATA_TYPES_INSPECT

GetCloudGuardConditionMetadataType

CG_CONDITION_METADATA_TYPES_READ
cloud-guard-config

API操作

操作の使用に必要な権限

GetCloudGuard

CG_CONFIG_INSPECT

CG_CONFIG_READ

UpdateCloudGuard

CG_CONFIG_UPDATE
クラウドガードカバー

API操作

操作の使用に必要な権限

RequestSummarizedCoverage

CG_COVERAGE_INSPECT
クラウドガード・データ・マスク・ルール

API操作

操作の使用に必要な権限

CreateDataMaskRule

CG_DATA_MASK_RULE_CREATE

DeleteDataMaskRule

CG_DATA_MASK_RULE_DELETE

GetDataMaskRule

CG_DATA_MASK_RULE_READ

ListDataMaskRules

CG_DATA_MASK_RULE_INSPECT

UpdateDataMaskRule

CG_DATA_MASK_RULE_UPDATE
クラウド・ガード- データ・ソース

API操作

操作の使用に必要な権限

ChangeDataSourceCompartment

CG_DATA_SOURCE_MOVE

CreateDataSource

CG_DATA_SOURCE_CREATE

DeleteDataSource

CG_DATA_SOURCE_DELETE

GetDataSource

CG_CONFIG_READ

ListDataSources

CG_DATA_SOURCE_INSPECT

UpdateDataSource

CG_DATA_SOURCE_UPDATE
cloud-guard-detectors

API操作

操作の使用に必要な権限

ListCloudGuardDetectors

CG_DETECTOR_INSPECT

ListCloudGuardDetectorRules

CG_DETECTOR_INSPECT

GetCloudGuardDetector

CG_DETECTOR_READ

GetCloudGuardDetectorRule

CG_DETECTOR_READ
cloud-guard-detector-recipes

API操作

操作の使用に必要な権限

ListCloudGuardDetectorRecipe

CG_DETECTOR_RECIPE_INSPECT
GetCloudGuardDetectorRecipe

CG_DETECTOR_RECIPE_READ

CreateCloudGuardDetectorRecipe

CG_DETECTOR_RECIPE_CREATE

UpdateCloudGuardDetectorRecipe

CG_DETECTOR_RECIPE_UPDATE

DeleteCloudGuardDetectorRecipe

CG_DETECTOR_RECIPE_DELETE

ChangeDetectorRecipeCompartment

CG_DETECTOR_RECIPE_MOVE
クラウド・ガード・ディテクタ・ルール定義

API操作

操作の使用に必要な権限

CreateDetectorRuleDefinition

CG_DETECTOR_RULE_DEFINITION_CREATE

DeleteDetectorRuleDefinition

CG_DETECTOR_RULE_DEFINITION_DELETE

GetDetectorRuleDefinition

CG_DETECTOR_RULE_DEFINITION_READ

ListDetectorRuleDefinitions

CG_DETECTOR_RULE_DEFINITION_INSPECT

UpdateDetectorRuleDefinition

CG_DETECTOR_RULE_DEFINITION_UPDATE
cloud-guard-findings

API操作

操作の使用に必要な権限

CreateCloudGuardFinding

CG_FINDING_CREATE
cloud-guard-managed-lists

API操作

操作の使用に必要な権限

ListCloudGuardManagedLists

CG_MANAGED_LIST_INSPECT

ListCloudGuardManagedListTypes

CG_MANAGED_LIST_INSPECT

GetCloudGuardManagedList

CG_MANAGED_LIST_READ

CreateCloudGuardManagedList

CG_MANAGED_LIST_CREATE

UpdateCloudGuardManagedList

CG_MANAGED_LIST_UPDATE

DeleteCloudGuardManagedList

CG_MANAGED_LIST_DELETE

ChangeManagedListCompartment

CG_MANAGED_LIST_MOVE
クラウド・ガード・メタデータ

API操作

操作の使用に必要な権限

ListTactics

CG_METADATA_INSPECT

ListTechniques

CG_METADATA_INSPECT
cloud-guard-meta-data-sync

API操作

操作の使用に必要な権限

UpdateResourceSync

CG_METADATASYNC_UPDATE

GetMetaDataSyncStatus

CG_METADATASYNC_READ
cloud-guard-problems

API操作

操作の使用に必要な権限

ListCloudGuardProblems

CG_PROBLEM_INSPECT

ListCloudGuardProblemHistories

CG_PROBLEM_INSPECT

ListCloudGuardResponderActivities

CG_PROBLEM_INSPECT

GetCloudGuardProblem

CG_PROBLEM_READ

RequestCloudGuardSummarizedProblems

CG_PROBLEM_READ

RequestCloudGuardSummarizedTrendProblems

CG_PROBLEM_READ

ListCloudGuardImpactedResources

CG_PROBLEM_READ

UpdateCloudGuardBulkProblemStatus

CG_PROBLEM_UPDATE

UpdateCloudGuardProblemStatus

CG_PROBLEM_UPDATE

TriggerCloudGuardResponder

CG_PROBLEM_UPDATE
cloud-guard-recommendations

API操作

操作の使用に必要な権限

ListCloudGuardRecommendations

CG_RECOMMENDATION_INSPECT
クラウドガードリソースプロファイル

API操作

操作の使用に必要な権限

GetResourceProfile

CG_RESOURCE_PROFILE_READ

ListResourceProfileEndpoints

CG_RESOURCE_PROFILE_READ

ListResourceProfileImpactedResources

CG_RESOURCE_PROFILE_READ

ListResourceProfiles

CG_RESOURCE_PROFILE_INSPECT

RequestSummarizedTopTrendResourceRiskScores

CG_RESOURCE_PROFILE_READ

RequestSummarizedTrendResourceRiskScores

CG_RESOURCE_PROFILE_READ
cloud-guard-resource-types

API操作

操作の使用に必要な権限

ListCloudGuardResourceTypes

CG_RESOURCE_TYPES_INSPECT
クラウド・ガード- リソース・ビュー

API操作

操作の使用に必要な権限

ListResources

CG_RESOURCE_VIEW_INSPECT

GetResource

CG_RESOURCE_VIEW_READ
cloud-guard-responder-recipes

API操作

操作の使用に必要な権限

ListCloudGuardResponderRecipe

CG_RESPONDER_RECIPE_INSPECT

ListCloudGuardResponderRecipeResponderRule

CG_RESPONDER_RECIPE_INSPECT

GetCloudGuardResponderRecipe

CG_RESPONDER_RECIPE_READ

GetCloudGuardResponderRecipeResponderRule

CG_RESPONDER_RECIPE_READ

CreateCloudGuardResponderRecipe

CG_RESPONDER_RECIPE_CREATE

UpdateCloudGuardResponderRecipe

CG_RESPONDER_RECIPE_UPDATE

ChangeCloudGuardResponderRecipeCompartment

CG_RESPONDER_RECIPE_UPDATE

UpdateCloudGuardResponderRecipeResponderRule

CG_RESPONDER_RECIPE_UPDATE

DeleteCloudGuardResponderRecipe

CG_RESPONDER_RECIPE_DELETE

ChangeResponderRecipeCompartment

CG_RESPONDER_RECIPE_MOVE
cloud-guard-responder-rules

API操作

操作の使用に必要な権限

ListCloudGuardResponderRules

CG_RESPONDER_RULE_INSPECT

GetCloudGuardResponderRule

CG_RESPONDER_RULE_READ
cloud-guard-responder-executions

API操作

操作の使用に必要な権限

ListCloudGuardResponderExecution

CG_RESPONDER_EXECUTION_INSPECT

GetCloudGuardResponderExecution

CG_RESPONDER_EXECUTION_READ

RequestCloudGuardSummarizedResponderExecutions

CG_RESPONDER_EXECUTION_READ

RequestCloudGuardSummarizedTrendResponderExecutions

CG_RESPONDER_EXECUTION_READ

ExecuteCloudGuardResponderExecution

CG_RESPONDER_EXECUTION_UPDATE

SkipCloudGuardBulkResponderExecution

CG_RESPONDER_EXECUTION_UPDATE

SkipCloudGuardResponderExecution

CG_RESPONDER_EXECUTION_UPDATE
cloud-guard-risk-scores

API操作

操作の使用に必要な権限

RequestCloudGuardSummarizedRiskScores

CG_RISK_SCORES_INSPECT

RequestCloudGuardRiskScores

CG_RISK_SCORES_INSPECT
クラウド・ガード保存済問合せ

API操作

操作の使用に必要な権限

ChangeSavedQueryCompartment

CG_SAVED_QUERY_MOVE

CreateSavedQuery

CG_SAVED_QUERY_CREATE

DeleteSavedQuery

CG_SAVED_QUERY_DELETE

GetSavedQuery

CG_SAVED_QUERY_READ

ListSavedQueries

CG_SAVED_QUERY_INSPECT

UpdateSavedQuery

CG_SAVED_QUERY_INSPECT
クラウド・ガード・スキーマ

API操作

操作の使用に必要な権限

CreateSchema

CG_SCHEMA_CREATE

DeleteSchema

CG_SCHEMA_DELETE

GetSchema

CG_SCHEMA_READ

ListSchemas

CG_SCHEMA_INSPECT

UpdateSchema

CG_SCHEMA_UPDATE
cloud-guard-security-scores

API操作

操作の使用に必要な権限

RequestCloudGuardSummarizedSecurityScores

CG_SECURITY_SCORES_INSPECT

RequestCloudGuardSummarizedTrendSecurityScores

CG_SECURITY_SCORES_INSPECT

RequestCloudGuardSecurityScores

CG_SECURITY_SCORES_INSPECT

RequestSecurityScoreSummarizedTrend

CG_SECURITY_SCORES_INSPECT
クラウド・ガード・サービス・ロギング

API操作

操作の使用に必要な権限

CreateServiceLogging

CG_SERVICE_LOGGING_CREATE

DeleteServiceLogging

CG_SERVICE_LOGGING_DELETE

GetServiceLogging

CG_SERVICE_LOGGING_READ

UpdateCloudGuard

CG_SERVICE_LOGGING_CREATE
cloud-guard-signals

API操作

操作の使用に必要な権限

CreateCloudGuardSignal

CG_SIGNAL_CREATE
cloud-guard-summary-event

API操作

操作の使用に必要な権限

AddSummaryEvent

CG_SUMMARY_EVENT_CREATE
cloud-guard-targets

API操作

操作の使用に必要な権限

ListCloudGuardTargets

CG_TARGET_INSPECT

ListCloudGuardTargetDetectorRecipes

CG_TARGET_INSPECT

ListCloudGuardTargetDetectorRecipeDetectorRules

CG_TARGET_INSPECT

GetCloudGuardTarget

CG_TARGET_READ

ListCloudGuardTargetResponderRecipes

CG_TARGET_READ

GetCloudGuardTargetResponderRecipe

CG_TARGET_READ

ListCloudGuardTargetResponderRecipeResponderRules

CG_TARGET_READ

GetCloudGuardTargetResponderRecipeResponderRule

CG_TARGET_READ

GetCloudGuardTargetDetectorRecipe

CG_TARGET_READ

GetCloudGuardTargetDetectorRecipeDetectorRule

CG_TARGET_READ

CreateCloudGuardTarget

CG_TARGET_CREATE

UpdateCloudGuardTarget

CG_TARGET_UPDATE

UpdateCloudGuardTargetDetectorRule

CG_TARGET_UPDATE

CreateCloudGuardTargetResponderRecipe

CG_TARGET_UPDATE

ChangeCloudGuardTargetResponderRecipeCompartment

CG_TARGET_UPDATE

UpdateCloudGuardTargetResponderRecipe

CG_TARGET_UPDATE

UpdateCloudGuardTargetResponderRecipeResponderRule

CG_TARGET_UPDATE

CreateCloudGuardTargetDetectorRecipe

CG_TARGET_UPDATE

ChangeCloudGuardTargetDetectorRecipeCompartment

CG_TARGET_UPDATE

UpdateCloudGuardTargetDetectorRecipe

CG_TARGET_UPDATE

UpdateCloudGuardTargetDetectorRecipeDetectorRule

CG_TARGET_UPDATE

DeleteCloudGuardTarget

CG_TARGET_DELETE

DeleteCloudGuardTargetResponderRecipe

CG_TARGET_DELETE

DeleteCloudGuardTargetDetectorRecipe

CG_TARGET_DELETE
cloud-guard-user-preferences

API操作

操作の使用に必要な権限

GetCloudGuardUserPreference

CG_USER_PREFERENCE_INSPECT

ReplaceCloudGuardUserPreference

CG_USER_PREFERENCE_UPDATE
クラウド・ガード作業リクエスト

API操作

操作の使用に必要な権限

CancelWorkRequest

CG_WORK_REQUEST_DELETE

GetWorkRequest

CG_WORK_REQUEST_READ

ListWorkRequestErrors

CG_WORK_REQUEST_READ

ListWorkRequestLogs

CG_WORK_REQUEST_READ

セキュリティ・ポリシー

API操作

操作の使用に必要な権限
GetSecurityPolicy SECURITY_RECIPE_READ
security-recipe

API操作

操作の使用に必要な権限
ListSecurityRecipes SECURITY_RECIPE_INSPECT
GetSecurityRecipe SECURITY_RECIPE_READ
CreateSecurityRecipe SECURITY_RECIPE_CREATE
UpdateSecurityRecipe SECURITY_RECIPE_UPDATE
DeleteSecurityRecipe SECURITY_RECIPE_DELETE
security-zone

API操作

操作の使用に必要な権限
ListSecurityZones SECURITY_ZONE_INSPECT
GetSecurityZone SECURITY_ZONE_READ
CreateSecurityZone SECURITY_ZONE_CREATE
UpdateSecurityZone SECURITY_ZONE_UPDATE
DeleteSecurityZone SECURITY_ZONE_DELETE
AddCompartment SECURITY_ZONE_ATTACH
RemoveCompartment SECURITY_ZONE_DETACH

ポリシーの作成

クラウド・ガードのREST APIコールをサポートするポリシーを作成するステップ。

ポリシーの作成方法を次に示します:

  1. コンソールのナビゲーション・メニューを開いて「アイデンティティとセキュリティ」を選択し、「アイデンティティ」をクリックしてから「ポリシー」をクリックします。
  2. ポリシーの作成をクリックします。
  3. ポリシーの名前と説明を入力します。
    機密情報を入力しないでください。
  4. 「ステートメント」フィールドに、次のフォーマットでポリシー・ルールを入力します:

    allow service cloudguard to <verb> <resource_type> in <compartment or tenancy details>

  5. 「作成」をクリックします。

ポリシーの作成の詳細は、ポリシーの仕組みおよびポリシー・リファレンスを参照してください。

ポリシーの例

例を使用して、クラウド・ガードのIAMポリシーについて説明します。

  • グループSecurityAdminsのユーザーに、テナンシ全体のあらゆるクラウド・ガード・リソースの作成、更新および削除を許可します:

    Allow group SecurityAdmins to manage cloud-guard-family in tenancy

  • グループSecurityAdminsのユーザーが、テナンシ全体のすべてのセキュリティ・ゾーンおよびレシピを作成、更新および削除できるようにします:

    Allow group SecurityAdmins to manage security-zone in tenancy
Allow group SecurityAdmins to manage security-recipe in tenancy

  • グループSecurityAuditorsのユーザーが、コンパートメントSecurityArtifacts内のセキュリティ・ゾーンおよびレシピを表示できるようにします:

    Allow group SecurityAuditors to read security-zone in compartment SecurityArtifacts
Allow group SecurityAuditors to read security-recipe in compartment SecurityArtifacts

その他のポリシーの例は、ユーザーのポリシー・ステートメントを参照してください。