アイデンティティ・ドメインでのIAMポリシーの作成
指定されたテナンシまたはコンパートメント内のOracle Integrationインスタンスと連携する権限をドメイン・グループのユーザーに付与するポリシーを作成します。
このトピックは、アイデンティティ・ドメインを使用するテナンシにのみ適用されます。「アイデンティティ・ドメインの有無によるテナンシの違い」を参照してください。
- ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ポリシー」をクリックします。
- 「ポリシーの作成」をクリックします。
- 「ポリシーの作成」ウィンドウで、名前(たとえば、
IntegrationGroupPolicy
)および説明を入力します。 - 「ポリシー・ビルダー」で、「手動エディタの表示」を選択し、必要なポリシー・ステートメントを入力します。
構文:
-
allow group
domain-name/group_name
to
verb resource-type
in compartment
compartment-name
-
allow group
domain-name/group_name
to
verb resource-type
in tenancy
例:
allow group admin/oci-integration-admins to manage integration-instance in compartment OICCompartment
このポリシー・ステートメントにより、
admin
ドメインのoci-integration-admins
グループが、コンパートメントOICCompartment
のmanage
インスタンスintegration-instance
にできるようになります。ノート
- ドメイン名を省略すると、デフォルト・ドメインが想定されます。
-
ポリシー・ステートメントを定義する場合、(これらのステップで使用される)動詞または(通常はパワー・ユーザーによって使用される)権限を指定できます。
read
権限を持つグループのみなど、様々な権限に対して個別のグループを作成できます。-
read
およびmanage
動詞は、Oracle Integrationに最も適用されます。manage
動詞は、最高の権限(create
、delete
、edit
、move
およびview
)を持ちます。動詞 アクセス read
Oracle Integrationインスタンスとその詳細を表示する権限を含みます。
manage
Oracle Integrationインスタンスのすべての権限を含みます。
ポリシーについてさらに学習するには、次を参照してください:
- Oracle Cloud Infrastructureドキュメントのポリシーの仕組みおよびポリシー・リファレンス
- Oracle IntegrationのIAMポリシーについて
-
- 必要に応じて、メッセージ・メトリックの表示の説明に従って、グループのメンバーがメッセージ・メトリックを表示できるようにするポリシーを追加できます。
例:
allow group oci-integration-admins to read metrics in compartment OICPMCompartment
- カスタム・エンドポイントを使用する場合は、1つ以上のポリシー・ステートメントを追加します。それ以外の場合は、このステップをスキップします。
ボールトおよびシークレットが存在するコンパートメントを指定し、管理者グループにシークレットの管理を許可するポリシーを追加します。インスタンスのカスタム・エンドポイントの構成を参照してください。
Vaultサービスの詳細の説明に従って、
resource-type
で返すリソースを指定する必要があります。また、Oracle Integrationにはread
動詞のみが必要ですが、同じグループがシークレット(アップロード/ライフサイクル操作)も管理する場合はmanage
をお薦めします。例:
-
allow group admin/oci-integration-admins to manage secrets in compartment SecretsCompartment
-
allow group admin/oci-integration-admins to manage vaults in compartment SecretsCompartment
-
- 「作成」をクリックします。ポリシー・ステートメントが検証され、構文エラーが表示されます。