セキュア・デスクトップ・ポリシー

Oracle Cloud Infrastructureの各サービスは、すべてのインタフェース(コンソール、SDKまたはCLI、およびREST API)で、認証と認可のためにIdentity and Access Management (IAM)と統合されます。

ノート

たとえば、セキュア・デスクトップ・ポリシーおよび必要な動的グループに関する情報は、サービスのポリシーの作成およびユーザー認可のポリシーの作成を参照してください。

テナンシ管理者は、セキュア・デスクトップを許可し、必要なリソースを使用できるように、テナンシ・レベルまたはコンパートメント・レベルでポリシーを作成する必要があります。また、サービスへのユーザー・アクセスを制御するグループ、コンパートメントおよびポリシーも設定する必要があります。サービスのポリシーの作成およびユーザー認可のポリシーの作成を参照してください。

ポリシーの概要は、ポリシーの開始を参照してください。

ノート

ポリシーを作成するには、適切な権限が必要です。テナンシ管理者と協力して、権限を取得するか、ポリシーを作成しましょう。

必要なIAMポリシー

ルート・コンパートメント内

Allow dynamic-group <dynamic-group> to {DOMAIN_READ} in tenancy 
Allow dynamic-group <dynamic-group> to inspect users in tenancy 
Allow dynamic-group <dynamic-group> to inspect compartments in tenancy
Allow dynamic-group <dynamic-group> to use tag-namespaces in tenancy

ルート・コンパートメント内、または管理するデスクトップ・プール・コンパートメントの上のコンパートメント内

Allow dynamic-group <dynamic-group> to use virtual-network-family in compartment <desktops-network-compartment>
Allow dynamic-group <dynamic-group> to {VCN_ATTACH, VCN_DETACH} in compartment <desktops-network-compartment>
Allow dynamic-group <dynamic-group> to manage virtual-network-family in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to read instance-images in compartment <image-compartment>
Allow dynamic-group <dynamic-group> to manage instance-family in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage volume-family in compartment <desktop-compartment> 
Allow dynamic-group <dynamic-group> to manage dedicated-vm-hosts in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage orm-family in compartment <desktop-compartment> 
Allow dynamic-group <dynamic-group> to {VNIC_CREATE, VNIC_DELETE} in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage instance-configurations in compartment <desktop-compartment>

ノート

<desktops-network-compartment>がデスクトップ・プール・コンパートメントの上のコンパートメントの子でない場合は、ルート・コンパートメントにポリシーを指定する必要があります。
プライベートデスクトッププールを作成する予定の場合は、追加のポリシーが必要になることがあります。詳細は、Enabling Private Desktop Accessを参照してください。

デスクトップ管理者向け

Allow group <desktop-administrators> to manage desktop-pool-family in compartment <desktop-compartment>
Allow group <desktop-administrators> to read all-resources in compartment <desktop-compartment>
Allow group <desktop-administrators> to use virtual-network-family in compartment <desktops-network-compartment>
Allow group <desktop-administrators> to use instance-images in compartment <images-compartment>

デスクトップ・ユーザーの場合

コンパートメント内のすべてのデスクトップ・プール:

Allow group <desktop-users> to use published-desktops in compartment <desktop-compartment>

コンパートメント内の特定のデスクトップ・プール:

Allow group <desktop-users> to use published-desktops in compartment <desktop-compartment>
                where all {target.desktoppool.name = '<pool_name>', target.desktoppool.id = '<pool_ocid>'}

セキュア・デスクトップのポリシー詳細

ポリシー・ステートメントでは、動詞、リソース・タイプおよび変数を使用して、サービスおよびリソースへのアクセス権を付与します。また、権限またはAPI操作を使用して、特定の動詞によって付与されるアクセス範囲を縮小することもできます。

権限の詳細は、権限を参照してください。

集約リソース・タイプ

desktop-pool-family

個別のリソース・タイプ

desktop-pool

desktop

サポートされる変数


操作対象のリソース・タイプ...	これらの変数を使用できます...	変数タイプ	コメント
`desktop-pool`	`target.desktopPool.id`	エンティティ(OCID)
`desktop`	`target.desktop.id`	エンティティ(OCID)

動詞とリソース・タイプの組合せの詳細

次の表は、各動詞の対象となる権限およびAPI操作を示しています。アクセス・レベルは、inspect > read > use > manageの順に累積します。表のセルのプラス記号(+)は、そのすぐ上のセルと比較して増分アクセスを示しますが、「追加なし」は増分アクセスを示しません。

デスクトップ・プール


動詞	権限	全部カバーされるAPI	一部的に対象となるAPI
inspect	`DESKTOP_POOL_INSPECT`	`ListDesktopPools`	なし
既読	INSPECT + `DESKTOP_POOL_READ`	`GetDesktopPool` `ListDesktopPoolVolumes` `ListDesktopPoolDesktops` `ListDesktopPoolErrors`	なし
使用	READ +	`UpdateDesktopPool` `StartDesktopPool` `StopDesktopPool`	なし
管理	USE + `DESKTOP_POOL_CREATE` `DESKTOP_POOL_DELETE` `DESKTOP_POOL_MOVE`	`CreateDesktopPool` `DeleteDesktopPool` `ChangeDesktopPoolCompartment`	なし

デスクトップ


動詞	権限	全部カバーされるAPI	一部的に対象となるAPI
inspect	`DESKTOP_INSPECT`	`ListDesktops`	なし
既読	INSPECT + `DESKTOP_READ`	`GetDesktop` `ListDesktopErrors`	なし
使用	READ + `DESKTOP_UPDATE`	`UpdateDesktop` `StartDesktop` `StopDesktop`	なし
管理	USE + `DESKTOP_DELETE`	`DeleteDesktop`	なし

API操作ごとに必要な権限


API操作	操作の使用に必要な権限
`ListDesktopPools`	`DESKTOP_POOL_INSPECT`
`CreateDesktopPool`	`DESKTOP_POOL_CREATE`
`GetDesktopPool`	`DESKTOP_POOL_READ`
`DeleteDesktopPool`	`DESKTOP_POOL_DELETE`
`UpdateDesktopPool`	`DESKTOP_POOL_UPDATE`
`ChangeDesktopPoolCompartment`	`DESKTOP_POOL_MOVE`
`StartDesktopPool`	`DESKTOP_POOL_UPDATE`
`StopDesktopPool`	`DESKTOP_POOL_UPDATE`
`ListDesktopPoolVolumes`	`DESKTOP_POOL_READ`
`ListDesktopPoolDesktops`	`DESKTOP_POOL_READ`
`ListDesktopPoolErrors`	`DESKTOP_POOL_READ`
`ListDesktops`	`DESKTOP_INSPECT`
`GetDesktop`	`DESKTOP_READ`
`DeleteDesktop`	`DESKTOP_DELETE`
`UpdateDesktop`	`DESKTOP_UPDATE`
`StartDesktop`	`DESKTOP_UPDATE`
`StopDesktop`	`DESKTOP_UPDATE`
`ListDesktopErrors`	`DESKTOP_READ`

Oracle Cloud Infrastructureドキュメント