セキュアデスクトップポリシー

Oracle Cloud Infrastructureの各サービスは、すべてのインタフェース(コンソール、SDKまたはCLI、およびREST API)で認証および認可のためにアイデンティティおよびアクセス管理(IAM)と統合されます。

ノート

たとえば、セキュア・デスクトップ・ポリシーおよび必要な動的グループに関する情報は、サービスのポリシーの作成およびユーザー認可のポリシーの作成を参照してください。

テナンシ管理者は、セキュア・デスクトップを許可し、必要なリソースを使用するために、テナンシ・レベルまたはコンパートメント・レベルのいずれかでポリシーを作成する必要があります。また、サービスへのユーザー・アクセスを制御するグループ、コンパートメントおよびポリシーも設定する必要があります。サービスのポリシーの作成およびユーザー認可のポリシーの作成を参照してください。

ポリシーの概要は、ポリシーの開始を参照してください。

ノート

ポリシーを作成するには、適切な権限が必要です。テナンシ管理者と協力して、権限を取得するか、ポリシーを作成してください。

必要なIAMポリシー

ルート・コンパートメント内

Allow dynamic-group <dynamic-group> to {DOMAIN_INSPECT, DOMAIN_READ} in tenancy 
Allow dynamic-group <dynamic-group> to inspect users in tenancy 
Allow dynamic-group <dynamic-group> to inspect compartments in tenancy
Allow dynamic-group <dynamic-group> to use tag-namespaces in tenancy
ルート・コンパートメント内、または管理するデスクトップ・プール・コンパートメントの上にあるコンパートメント
Allow dynamic-group <dynamic-group> to use virtual-network-family in compartment <desktops-network-compartment>
Allow dynamic-group <dynamic-group> to {VCN_ATTACH, VCN_DETACH} in compartment <desktops-network-compartment>
Allow dynamic-group <dynamic-group> to manage virtual-network-family in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to read instance-images in compartment <image-compartment>
Allow dynamic-group <dynamic-group> to manage instance-family in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage volume-family in compartment <desktop-compartment> 
Allow dynamic-group <dynamic-group> to manage dedicated-vm-hosts in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage orm-family in compartment <desktop-compartment> 
Allow dynamic-group <dynamic-group> to {VNIC_CREATE, VNIC_DELETE} in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage instance-configurations in compartment <desktop-compartment>
ノート

  • <desktops-network-compartment>がデスクトップ・プール・コンパートメントの上のコンパートメントの子でない場合は、ルート・コンパートメントでポリシーを指定する必要があります。
  • プライベートデスクトッププールを作成する場合は、追加のポリシーが必要になることがあります。詳細は、プライベート・デスクトップ・アクセスの有効化を参照してください。

デスクトップ管理者向け

Allow group <desktop-administrators> to manage desktop-pool-family in compartment <desktop-compartment>
Allow group <desktop-administrators> to read all-resources in compartment <desktop-compartment>
Allow group <desktop-administrators> to use virtual-network-family in compartment <desktops-network-compartment>
Allow group <desktop-administrators> to use instance-images in compartment <images-compartment>

デスクトップ・ユーザー用

コンパートメント内のすべてのデスクトップ・プール:

Allow group <desktop-users> to use published-desktops in compartment <desktop-compartment>

コンパートメント内の特定のデスクトップ・プール:

Allow group <desktop-users> to use published-desktops in compartment <desktop-compartment>
                where all {target.desktoppool.name = '<pool_name>', target.desktoppool.id = '<pool_ocid>'}

セキュア・デスクトップのポリシー詳細

ポリシー・ステートメントでは、動詞、リソース・タイプおよび変数を使用して、サービスおよびリソースへのアクセス権を付与します。また、権限またはAPI操作を使用して、特定の動詞で許可されるアクセス範囲を減らすこともできます。

権限の詳細は、権限を参照してください。

集約リソース・タイプ

desktop-pool-family

個々のリソースタイプ

desktop-pool

desktop

サポートされている変数

操作対象のリソース・タイプ...

使用できる変数...

変数タイプ

コメント
desktop-pool target.desktopPool.id エンティティ(OCID)
desktop target.desktop.id エンティティ(OCID)

動詞とリソース・タイプの組合せの詳細

次の表に、各動詞の対象となる権限およびAPI操作を示します。アクセス・レベルは、inspect > read > use > manageの順に累積します。表のセルのプラス記号(+)は、そのすぐ上のセルと比較して増分アクセスを示しますが、「追加なし」は増分アクセスを示しません。

デスクトップ・プール
動詞 権限 完全にカバーされるAPI 部分的にカバーされるAPI

inspect

DESKTOP_POOL_INSPECT

ListDesktopPools

指定しない

読取り

INSPECT +

DESKTOP_POOL_READ

GetDesktopPool

ListDesktopPoolVolumes

ListDesktopPoolDesktops

ListDesktopPoolErrors

指定しない

使用

READ +

UpdateDesktopPool

StartDesktopPool

StopDesktopPool

指定しない

管理

USE +

DESKTOP_POOL_CREATE

DESKTOP_POOL_DELETE

DESKTOP_POOL_MOVE

CreateDesktopPool

DeleteDesktopPool

ChangeDesktopPoolCompartment

指定しない

デスクトップ
動詞 権限 完全にカバーされるAPI 部分的にカバーされるAPI

inspect

DESKTOP_INSPECT

ListDesktops

指定しない

読取り

INSPECT +

DESKTOP_READ

GetDesktop

ListDesktopErrors

指定しない

使用

READ +

DESKTOP_UPDATE

UpdateDesktop

StartDesktop

StopDesktop

指定しない

管理

USE +

DESKTOP_DELETE

DeleteDesktop

指定しない

API操作ごとに必要な権限

API操作 操作の使用に必要な権限
ListDesktopPools DESKTOP_POOL_INSPECT
CreateDesktopPool DESKTOP_POOL_CREATE
GetDesktopPool DESKTOP_POOL_READ
DeleteDesktopPool DESKTOP_POOL_DELETE
UpdateDesktopPool DESKTOP_POOL_UPDATE
ChangeDesktopPoolCompartment DESKTOP_POOL_MOVE
StartDesktopPool DESKTOP_POOL_UPDATE
StopDesktopPool DESKTOP_POOL_UPDATE
ListDesktopPoolVolumes DESKTOP_POOL_READ
ListDesktopPoolDesktops DESKTOP_POOL_READ
ListDesktopPoolErrors DESKTOP_POOL_READ
ListDesktops DESKTOP_INSPECT
GetDesktop DESKTOP_READ
DeleteDesktop DESKTOP_DELETE
UpdateDesktop DESKTOP_UPDATE
StartDesktop DESKTOP_UPDATE
StopDesktop DESKTOP_UPDATE
ListDesktopErrors DESKTOP_READ