セキュアデスクトップポリシー

Oracle Cloud Infrastructureの各サービスは、すべてのインタフェース(コンソール、SDKまたはCLI、およびREST API)で認証および認可のためにアイデンティティおよびアクセス管理(IAM)と統合されます。

ノート

たとえば、セキュア・デスクトップ・ポリシーおよび必要な動的グループに関する情報は、サービスのポリシーの作成およびユーザー認可のポリシーの作成を参照してください。

テナンシ管理者は、セキュア・デスクトップを許可し、必要なリソースを使用するために、テナンシ・レベルまたはコンパートメント・レベルのいずれかでポリシーを作成する必要があります。また、サービスへのユーザー・アクセスを制御するグループ、コンパートメントおよびポリシーも設定する必要があります。サービスのポリシーの作成およびユーザー認可のポリシーの作成を参照してください。

ポリシーの概要は、ポリシーの開始を参照してください。

ノート

ポリシーを作成するには、適切な権限が必要です。テナンシ管理者と協力して、権限を取得するか、ポリシーを作成してください。

必要なIAMポリシー

ルート・コンパートメント内

Allow dynamic-group <dynamic-group> to {DOMAIN_INSPECT, DOMAIN_READ} in tenancy 
Allow dynamic-group <dynamic-group> to inspect users in tenancy 
Allow dynamic-group <dynamic-group> to inspect compartments in tenancy
Allow dynamic-group <dynamic-group> to use tag-namespaces in tenancy

ルート・コンパートメント内、または管理するデスクトップ・プール・コンパートメントの上にあるコンパートメント

Allow dynamic-group <dynamic-group> to use virtual-network-family in compartment <desktops-network-compartment>
Allow dynamic-group <dynamic-group> to {VCN_ATTACH, VCN_DETACH} in compartment <desktops-network-compartment>
Allow dynamic-group <dynamic-group> to manage virtual-network-family in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to read instance-images in compartment <image-compartment>
Allow dynamic-group <dynamic-group> to manage instance-family in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage volume-family in compartment <desktop-compartment> 
Allow dynamic-group <dynamic-group> to manage dedicated-vm-hosts in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage orm-family in compartment <desktop-compartment> 
Allow dynamic-group <dynamic-group> to {VNIC_CREATE, VNIC_DELETE} in compartment <desktop-compartment>
Allow dynamic-group <dynamic-group> to manage instance-configurations in compartment <desktop-compartment>

ノート

<desktops-network-compartment>がデスクトップ・プール・コンパートメントの上のコンパートメントの子でない場合は、ルート・コンパートメントでポリシーを指定する必要があります。
プライベートデスクトッププールを作成する場合は、追加のポリシーが必要になることがあります。詳細は、プライベート・デスクトップ・アクセスの有効化を参照してください。

デスクトップ管理者向け

Allow group <desktop-administrators> to manage desktop-pool-family in compartment <desktop-compartment>
Allow group <desktop-administrators> to read all-resources in compartment <desktop-compartment>
Allow group <desktop-administrators> to use virtual-network-family in compartment <desktops-network-compartment>
Allow group <desktop-administrators> to use instance-images in compartment <images-compartment>

デスクトップ・ユーザー用

コンパートメント内のすべてのデスクトップ・プール:

Allow group <desktop-users> to use published-desktops in compartment <desktop-compartment>

コンパートメント内の特定のデスクトップ・プール:

Allow group <desktop-users> to use published-desktops in compartment <desktop-compartment>
                where all {target.desktoppool.name = '<pool_name>', target.desktoppool.id = '<pool_ocid>'}

セキュア・デスクトップのポリシー詳細

ポリシー・ステートメントでは、動詞、リソース・タイプおよび変数を使用して、サービスおよびリソースへのアクセス権を付与します。また、権限またはAPI操作を使用して、特定の動詞で許可されるアクセス範囲を減らすこともできます。

権限の詳細は、権限を参照してください。

集約リソース・タイプ

desktop-pool-family

個々のリソースタイプ

desktop-pool

desktop

サポートされている変数


操作対象のリソース・タイプ...	使用できる変数...	変数タイプ	コメント
`desktop-pool`	`target.desktopPool.id`	エンティティ(OCID)
`desktop`	`target.desktop.id`	エンティティ(OCID)

動詞とリソース・タイプの組合せの詳細

次の表に、各動詞の対象となる権限およびAPI操作を示します。アクセス・レベルは、inspect > read > use > manageの順に累積します。表のセルのプラス記号(+)は、そのすぐ上のセルと比較して増分アクセスを示しますが、「追加なし」は増分アクセスを示しません。

デスクトップ・プール


動詞	権限	完全にカバーされるAPI	部分的にカバーされるAPI
inspect	`DESKTOP_POOL_INSPECT`	`ListDesktopPools`	指定しない
読取り	INSPECT + `DESKTOP_POOL_READ`	`GetDesktopPool` `ListDesktopPoolVolumes` `ListDesktopPoolDesktops` `ListDesktopPoolErrors`	指定しない
使用	READ +	`UpdateDesktopPool` `StartDesktopPool` `StopDesktopPool`	指定しない
管理	USE + `DESKTOP_POOL_CREATE` `DESKTOP_POOL_DELETE` `DESKTOP_POOL_MOVE`	`CreateDesktopPool` `DeleteDesktopPool` `ChangeDesktopPoolCompartment`	指定しない

デスクトップ


動詞	権限	完全にカバーされるAPI	部分的にカバーされるAPI
inspect	`DESKTOP_INSPECT`	`ListDesktops`	指定しない
読取り	INSPECT + `DESKTOP_READ`	`GetDesktop` `ListDesktopErrors`	指定しない
使用	READ + `DESKTOP_UPDATE`	`UpdateDesktop` `StartDesktop` `StopDesktop`	指定しない
管理	USE + `DESKTOP_DELETE`	`DeleteDesktop`	指定しない

API操作ごとに必要な権限


API操作	操作の使用に必要な権限
`ListDesktopPools`	`DESKTOP_POOL_INSPECT`
`CreateDesktopPool`	`DESKTOP_POOL_CREATE`
`GetDesktopPool`	`DESKTOP_POOL_READ`
`DeleteDesktopPool`	`DESKTOP_POOL_DELETE`
`UpdateDesktopPool`	`DESKTOP_POOL_UPDATE`
`ChangeDesktopPoolCompartment`	`DESKTOP_POOL_MOVE`
`StartDesktopPool`	`DESKTOP_POOL_UPDATE`
`StopDesktopPool`	`DESKTOP_POOL_UPDATE`
`ListDesktopPoolVolumes`	`DESKTOP_POOL_READ`
`ListDesktopPoolDesktops`	`DESKTOP_POOL_READ`
`ListDesktopPoolErrors`	`DESKTOP_POOL_READ`
`ListDesktops`	`DESKTOP_INSPECT`
`GetDesktop`	`DESKTOP_READ`
`DeleteDesktop`	`DESKTOP_DELETE`
`UpdateDesktop`	`DESKTOP_UPDATE`
`StartDesktop`	`DESKTOP_UPDATE`
`StopDesktop`	`DESKTOP_UPDATE`
`ListDesktopErrors`	`DESKTOP_READ`

Oracle Cloud Infrastructureドキュメント