セキュアデスクトップポリシー
Oracle Cloud Infrastructureの各サービスは、すべてのインタフェース(コンソール、SDKまたはCLI、およびREST API)で認証および認可のためにアイデンティティおよびアクセス管理(IAM)と統合されます。
テナンシ管理者は、セキュア・デスクトップを許可し、必要なリソースを使用するために、テナンシ・レベルまたはコンパートメント・レベルのいずれかでポリシーを作成する必要があります。また、サービスへのユーザー・アクセスを制御するグループ、コンパートメントおよびポリシーも設定する必要があります。サービスのポリシーの作成およびユーザー認可のポリシーの作成を参照してください。
ポリシーの概要は、ポリシーの開始を参照してください。
ポリシーを作成するには、適切な権限が必要です。テナンシ管理者と協力して、権限を取得するか、ポリシーを作成してください。
必要なIAMポリシー
ルート・コンパートメント内
Allow dynamic-group <dynamic-group> to {DOMAIN_INSPECT, DOMAIN_READ} in tenancy
Allow dynamic-group <dynamic-group> to inspect users in tenancy
Allow dynamic-group <dynamic-group> to inspect compartments in tenancy
Allow dynamic-group <dynamic-group> to use tag-namespaces in tenancy
ルート・コンパートメント内、または管理するデスクトップ・プール・コンパートメントの上にあるコンパートメントAllow dynamic-group <dynamic-group> to use virtual-network-family in compartment <desktops-network-compartment>
Allow dynamic-group <dynamic-group> to {VCN_ATTACH, VCN_DETACH} in compartment <desktops-network-compartment>
Allow dynamic-group <dynamic-group> to manage virtual-network-family in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to read instance-images in compartment <image-compartment>
Allow dynamic-group <dynamic-group> to manage instance-family in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage volume-family in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage dedicated-vm-hosts in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage orm-family in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to {VNIC_CREATE, VNIC_DELETE} in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage instance-configurations in compartment <desktop-compartment>
- <desktops-network-compartment>がデスクトップ・プール・コンパートメントの上のコンパートメントの子でない場合は、ルート・コンパートメントでポリシーを指定する必要があります。
- プライベートデスクトッププールを作成する場合は、追加のポリシーが必要になることがあります。詳細は、プライベート・デスクトップ・アクセスの有効化を参照してください。
デスクトップ管理者向け
Allow group <desktop-administrators> to manage desktop-pool-family in compartment <desktop-compartment>
Allow group <desktop-administrators> to read all-resources in compartment <desktop-compartment>
Allow group <desktop-administrators> to use virtual-network-family in compartment <desktops-network-compartment>
Allow group <desktop-administrators> to use instance-images in compartment <images-compartment>
デスクトップ・ユーザー用
コンパートメント内のすべてのデスクトップ・プール:
Allow group <desktop-users> to use published-desktops in compartment <desktop-compartment>
コンパートメント内の特定のデスクトップ・プール:
Allow group <desktop-users> to use published-desktops in compartment <desktop-compartment>
where all {target.desktoppool.name = '<pool_name>', target.desktoppool.id = '<pool_ocid>'}
セキュア・デスクトップのポリシー詳細
ポリシー・ステートメントでは、動詞、リソース・タイプおよび変数を使用して、サービスおよびリソースへのアクセス権を付与します。また、権限またはAPI操作を使用して、特定の動詞で許可されるアクセス範囲を減らすこともできます。
権限の詳細は、権限を参照してください。
集約リソース・タイプ
desktop-pool-family
個々のリソースタイプ
desktop-pool
desktop
サポートされている変数
操作対象のリソース・タイプ... |
使用できる変数... |
変数タイプ |
コメント |
---|---|---|---|
desktop-pool |
target.desktopPool.id |
エンティティ(OCID) | |
desktop |
target.desktop.id |
エンティティ(OCID) |
動詞とリソース・タイプの組合せの詳細
次の表に、各動詞の対象となる権限およびAPI操作を示します。アクセス・レベルは、inspect
> read
> use
> manage
の順に累積します。表のセルのプラス記号(+)は、そのすぐ上のセルと比較して増分アクセスを示しますが、「追加なし」は増分アクセスを示しません。
動詞 | 権限 | 完全にカバーされるAPI | 部分的にカバーされるAPI |
---|---|---|---|
inspect |
|
|
指定しない |
読取り |
INSPECT +
|
|
指定しない |
使用 |
READ + |
|
指定しない |
管理 |
USE +
|
|
指定しない |
動詞 | 権限 | 完全にカバーされるAPI | 部分的にカバーされるAPI |
---|---|---|---|
inspect |
|
|
指定しない |
読取り |
INSPECT +
|
|
指定しない |
使用 |
READ +
|
|
指定しない |
管理 |
USE +
|
|
指定しない |
API操作ごとに必要な権限
API操作 | 操作の使用に必要な権限 |
---|---|
ListDesktopPools |
DESKTOP_POOL_INSPECT |
CreateDesktopPool |
DESKTOP_POOL_CREATE |
GetDesktopPool |
DESKTOP_POOL_READ |
DeleteDesktopPool |
DESKTOP_POOL_DELETE |
UpdateDesktopPool |
DESKTOP_POOL_UPDATE |
ChangeDesktopPoolCompartment |
DESKTOP_POOL_MOVE |
StartDesktopPool |
DESKTOP_POOL_UPDATE |
StopDesktopPool |
DESKTOP_POOL_UPDATE |
ListDesktopPoolVolumes |
DESKTOP_POOL_READ |
ListDesktopPoolDesktops |
DESKTOP_POOL_READ |
ListDesktopPoolErrors |
DESKTOP_POOL_READ |
ListDesktops |
DESKTOP_INSPECT |
GetDesktop |
DESKTOP_READ |
DeleteDesktop |
DESKTOP_DELETE |
UpdateDesktop |
DESKTOP_UPDATE |
StartDesktop |
DESKTOP_UPDATE |
StopDesktop |
DESKTOP_UPDATE |
ListDesktopErrors |
DESKTOP_READ |