この図は、エンタープライズ・ランディング・ゾーン・アーキテクチャ全体のIAMポリシーの分散を示しています。ルート・コンパートメントのテナンシには、管理者IAMインスタンスとクラウド・ガードIAMインスタンスが含まれます。管理者IAM内には、ユーザー・グループ管理者、ブレーク・ガラス・ユーザーおよびテナント管理ポリシーがあります。Cloud Guard IAMには、次のポリシーが含まれます:

• cloud_guard_operators_policy
• cloud_guard_analysis_policy
• cloud_guard_architects_policies

テナンシ内のネストは親コンパートメント(レベル1)です。これはランディング・ゾーン・ホームで、単一レベル2の共通インフラ・コンパートメントが含まれています。レベル2のコンパートメントには、次のレベル3のコンパートメントが含まれます:

• ネットワーク・コンパートメント。それ自体には、VCN管理者とワークロード・ユーザーの個別のIAMインスタンスが含まれます。
  • VCN管理者IAMインスタンスは、仮想ネットワーク管理者のアイデンティティ・ポリシーを管理し、OCIランディング・ゾーンVCNAdminPoliciesを強制します。
  • ワークロード・ユーザーIAMは、グループのアイデンティティ・ポリシーを管理し、OCIランディング・ゾーンLBUserPolicyを強制します。
• セキュリティ管理ポリシーを強制するセキュリティ管理者IAM。

Common Infraコンパートメント内は、第2レベル2のApplicationsコンパートメントです。このコンパートメントは、A、BおよびCの3つのサブコンパートメントに分割されます。これらの各コンパートメントには、特定のロールに対する次のアイデンティティ・ポリシーが含まれます:

• ワークロード管理IAMの場合: OCI- LZ- WorkLLoadAdminPolicy。
• ワークロード・ユーザーIAMの場合: Workload- userおよびOCI- LZ- WorkLLoadUserPolicy。
• ワークロード・ストレージ管理IAMの場合: Workload- Storage- AdminsおよびOCI- LZ- WorkloadStorageAdminPolicy。
• ワークロード・ストレージ・ユーザーIAMの場合: security- admins- policyおよびOCI- LZ- WorkloadStorageUserPolicy。