プロセス自動化のIAMポリシーについて

Oracle Cloud Infrastructure Identity and Access Management (IAM)を使用して、テナンシ内のリソースへのアクセスを制御します。たとえば、Oracle Cloud Infrastructure Process Automationインスタンスの作成と管理をユーザーに許可するポリシーを作成できます。

Oracle Cloud Infrastructureコンソールを使用してIAMポリシーを作成します。Oracle Cloud Infrastructureドキュメントのポリシーの管理を参照してください。

リソース・タイプ

プロセス自動化に使用できるリソース・タイプはprocess-automation-instanceです。

サポートされている変数

process-automation-instanceリソース・タイプには次の変数を使用できます。

サポートされている変数	変数	変数タイプ	説明
すべてのリクエストに対してサービスによって提供される必須変数	`target.compartment.id`	`ENTITY`	リクエストのプライマリ・リソースのOCID
	`request.operation`	`STRING`	リクエストの操作ID (例: `GetUser`)
	`target.resource.kind`	`STRING`	リクエストのプライマリ・リソースのリソース種類名
リクエストごとにSDKによって提供される自動変数	`request.user.id`	`ENTITY`	ユーザーが開始したリクエスト用。コール・ユーザーのOCID。
	`request.groups.id`	`LIST(ENTITY)`	ユーザーが開始したリクエスト用。`request.user.id`のグループのOCIDs。
	`target.compartment.name`	`STRING`	`target.compartment.id`で指定されたコンパートメントの名前
	`target.tenant.id`	`ENTITY`	ターゲット・テナントIDのOCID
IAM認可によって暗黙的に計算される動的変数	`request.principal.group.tag.tagNS.tagKey`	`STRING`	プリンシパルがメンバーであるグループの各タグの値。
	`request.principal.compartment.tag.tagNS.tagKey`	`STRING`	プリンシパルを含むコンパートメントの各タグの値。
	`target.resource.tag.tagNS.tagKey`	`STRING`	ターゲット・リソースの各タグの値。(各リクエストでサービスから提供される`tagSlug`に基づいて計算されます。)
	`target.resource.compartment.tag.tagNS.tagKey`	`STRING`	ターゲット・リソースを含むコンパートメントの各タグの値。(各リクエストでサービスから提供される`tagSlug`に基づいて計算されます。)

動詞+リソース・タイプの組合せの詳細

この表は、各動詞の対象となる権限およびAPI操作を示しています。アクセス・レベルは、INSPECTからREAD、USE、MANAGEの順に累積します。

動詞	このサイトの設定	全部カバーされるAPI	一部カバーされるAPI
`INSPECT`	`PROCESS_AUTOMATION_INSTANCE_INSPECT`	`ListProcessInstances` `ListWorkRequests`	なし
`READ`	`INSPECT`から継承: `PROCESS_AUTOMATION_INSTANCE_INSPECT` `PROCESS_AUTOMATION_INSTANCE_READ`	`GetProcessInstance` `GetWorkRequest`	なし
`USE`	`READ`から継承: `PROCESS_AUTOMATION_INSTANCE_INSPECT` `PROCESS_AUTOMATION_INSTANCE_READ` `PROCESS_AUTOMATION_INSTANCE_UPDATE`	`UpdateProcessInstances`	なし
`MANAGE`	`USE`から継承: `PROCESS_AUTOMATION_INSTANCE_INSPECT` `PROCESS_AUTOMATION_INSTANCE_READ` `PROCESS_AUTOMATION_INSTANCE_UPDATE` `PROCESS_AUTOMATION_INSTANCE_CREATE` `PROCESS_AUTOMATION_INSTANCE_DELETE` `PROCESS_AUTOMATION_INSTANCE_MOVE`	`CreateProcessInstance` `DeleteProcessInstance` `ChangeProcessCompartment`	なし

API操作ごとに必要な権限

この表には、プロセスの自動化に使用できるAPI操作と、各操作を使用するために必要な権限がリストされています。

API操作	操作の使用に必要な権限
`ListProcessInstances`	`PROCESS_AUTOMATION_INSTANCE_INSPECT`
`GetProcessInstance`	`PROCESS_AUTOMATION_INSTANCE_READ`
`CreateProcessInstance`	`PROCESS_AUTOMATION_INSTANCE_CREATE`
`DeleteProcessInstance`	`PROCESS_AUTOMATION_INSTANCE_DELETE`
`UpdateProcessInstances`	`PROCESS_AUTOMATION_INSTANCE_UPDATE`
`ListWorkRequests`	`PROCESS_AUTOMATION_INSTANCE_INSPECT`
`GetWorkRequest`	`PROCESS_AUTOMATION_INSTANCE_READ`
`ChangeProcessCompartment`	`PROCESS_AUTOMATION_INSTANCE_MOVE`