OCI IAMポリシーは、admitおよびendorseの概念を使用して、クロステナンシ・アクセスを有効にします。ソース・テナンシのコンピュート・インスタンス(VendorA)に、宛先テナンシのLog Analytics (CompanyABC)にアクセスする権限を付与する場合、両方のテナンシの管理者は、次のようにIAMポリシーを作成する必要があります。

1. ソース・テナンシでのインスタンス・プリンシパルと動的グループの設定(VendorA):

   インスタンス・プリンシパル機能を使用すると、インスタンスからサービス・コールを実行できます。OCIコンピュート・インスタンスには、コンピュート・インスタンスの動的グループと、インスタンスが実行できる操作を認可するポリシーを作成することで、OCI APIと対話する権限があります。

   動的グループ(oci_la_dgなど)を作成して、ポリシーで定義された権限でコンパートメント内のインスタンスを認可します。

   Any {instance.compartment.id = 'ocid1.compartment.oc1..aaaaabcd',instance.compartment.id = 'ocid1.compartment.oc1..aaaaadef'}

2. ソース・テナンシにポリシーを作成します(VendorA):

   Define tenancy CompanyABC as ocid1.tenancy.oc1..aaaaaaaaabc
   Endorse dynamic-group oci_la_dg to manage loganalytics-features-family in tenancy CompanyABC
   Endorse dynamic-group oci_la_dg to manage loganalytics-resources-family in tenancy CompanyABC
   Endorse dynamic-group oci_la_dg to manage management-dashboard-family in tenancy CompanyABC
   Endorse dynamic-group oci_la_dg to read compartments in tenancy CompanyABC

3. 宛先テナンシにポリシーを作成します(CompanyABC):

   Define tenancy VendorA as ocid1.tenancy.oc1..aaaaavendora
   Define dynamic-group oci_la_dg as ocid1.dynamicgroup.oc1..aaaaaaaavendora
   Admit dynamic-group oci_la_dg of tenancy VendorA to manage loganalytics-features-family in tenancy
   Admit dynamic-group oci_la_dg of tenancy VendorA to manage loganalytics-resources-family in tenancy
   Admit dynamic-group oci_la_dg of tenancy VendorA to manage management-dashboard-family in tenancy 
   Admit dynamic-group oci_la_dg of tenancy VendorA to read compartments in tenancy

4. 権限が付与されたインスタンスからLog Analytics APIを実行できるようになったことを確認します。

Endorse、AdmitおよびDefine文の詳細は、オブジェクト・ストレージのドキュメントを参照してください。動的グループに加えて、これらのステートメントもグループに適用できます。