Oracle Cloud Infrastructureドキュメント

共通ポリシー

この項には、組織で使用する共通のポリシーがいくつか含まれています。

ノート

これらのポリシーでは、グループ名とコンパートメント名の例が使用されます。ユーザー固有の名前に置換してください。

ヘルプ・デスクによるユーザーの管理

アクセス・タイプ:ユーザーとその資格証明を作成、更新および削除する機能。これには、ユーザーをグループに配置する機能は含まれません。

ポリシーを作成する場所: テナンシにユーザーが存在するため、テナンシ。 

Allow group HelpDesk to manage users in tenancy
監査者によるリソースの検査

アクセス・タイプ:すべてのコンパートメントのリソースをリストする機能。次の点に注意:

  • IAMポリシーをリストする操作には、ポリシー自体のコンテンツが含まれます
  • ネットワーキング・リソース・タイプのリスト操作はすべての情報(たとえば、セキュリティ・リストおよびルート表の内容)を返します
  • インスタンスをリストする操作には、inspectではなくread動詞が必要で、コンテンツにはユーザーが指定したメタデータが含まれます。
  • 監査サービス・イベントを表示する操作には、inspectではなくread動詞が必要です。

ポリシーを作成する場所: テナンシ内。ポリシー継承の概念上、監査者はテナンシとその下にあるすべてのコンパートメントの両方を検査できます。または、特定のコンパートメントに対してのみ監査者のアクセス権を付与することもできます(テナンシ全体へのアクセス権が不要な場合)。

Allow group Auditors to inspect all-resources in tenancy

Allow group Auditors to read instances in tenancy

Allow group Auditors to read audit-events in tenancy
Autonomous Recovery Serviceの管理者が、保護されたデータベース、リカバリ・サービス・サブネットおよび保護ポリシーを管理できるようにします
アクセス・タイプ:すべてのコンパートメントのAutonomous Recovery Serviceリソースを管理する機能:

  • 保護されたデータベース

  • リカバリ・サービス・サブネット

  • 保護ポリシー

このポリシーは、リカバリ・サービス管理者の単一セットがすべてのコンパートメント内のすべてのリカバリ・サービス・リソースを管理することを許可する場合に適用されます。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメント内のリカバリ・サービス・リソースへのアクセス範囲を減らすには、テナンシのかわりに必要なコンパートメントを指定します。

Allow group RecoveryServiceGroup to manage recovery-service-family in tenancy
コンプライアンス管理者が保護ポリシーを管理できるようにします

アクセス・タイプ:すべてのコンパートメントの保護ポリシーを管理する機能。

このポリシーは、単一のコンプライアンス管理者がすべてのコンパートメント内の保護ポリシーを管理できるようにする場合に適用されます。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメント内の保護ポリシーへのアクセス範囲を減らすには、テナンシのかわりに必要なコンパートメントを指定します。

Allow group ComplianceGroup to manage recovery-service-policy in tenancy
ネットワーク管理者によるクラウド・ネットワークの管理

アクセス・タイプ:ネットワーキング内のすべてのコンポーネントを管理する機能。これには、クラウド・ネットワーク、サブネット、ゲートウェイ、仮想回線、セキュリティ・リスト、ルート表などが含まれます。ネットワーク接続をテストするためにネットワーク管理者がインスタンスを起動する必要がある場合は、ユーザーによるコンピュート・インスタンスの起動を参照してください。

ポリシーを作成する場所: テナンシ内。ポリシー継承の概念上、NetworkAdminsは任意のコンパートメントでクラウド・ネットワークを管理できます。特定のコンパートメントへのアクセスの範囲を減らすには、テナンシのかわりにコンパートメントを指定します。 

Allow group NetworkAdmins to manage virtual-network-family in tenancy

DRGを他のリージョンおよびテナンシのVCNおよびDRGに接続するために使用されるポリシーは、VCN間のルーティングのIAMポリシーを参照してください。

ネットワーク管理者によるロード・バランサの管理

アクセス・タイプ: Load Balancerのすべてのコンポーネントを管理する機能。グループがインスタンスを起動する必要がある場合は、ユーザーによるコンピュート・インスタンスの起動を参照してください。

ポリシーを作成する場所: テナンシ内。ポリシー継承の概念により、NetworkAdminsは、任意のコンパートメント内のロード・バランサを管理できます。特定のコンパートメントへのアクセスの範囲を減らすには、テナンシのかわりにコンパートメントを指定します。 

Allow group NetworkAdmins to manage load-balancers in tenancy

グループがロード・バランサおよびネットワーク・ロード・バランサを管理する場合は、関連するネットワーク・リソースを使用するための追加のポリシーが必要です。

Allow group NetworkAdmins to manage load-balancers in tenancy

Allow group NetworkAdmins to use virtual-network-family in tenancy

Allow group NetworkAdmins to manage instances in tenancy

特定のグループが既存のロード・バランサを更新する(たとえば、バックエンド・セットを変更する)必要があるが、作成や削除はする必要がない場合は、次のステートメントを使用します。

Allow group LBUsers to use load-balancers in tenancy
ユーザーによるコンピュート・インスタンスの起動

アクセス・タイプ:クラウド・ネットワークに起動したインスタンスおよびコンパートメントXYZのサブネットのすべての操作を実行し、コンパートメントABCにすでに存在する既存のボリュームをアタッチ/デタッチする機能。最初のステートメントでは、グループがコンパートメントABCにインスタンス・イメージを作成および管理することもできます。グループでボリュームをアタッチまたはデタッチする必要がない場合は、volume-familyステートメントを削除できます。

ポリシーを作成する場所:このポリシーをテナンシに配置する方法が最も簡単です。各コンパートメント(ABCおよびXYZ)の管理者が、コンパートメントの個々のポリシー・ステートメントを制御できるようにするには、ポリシー・アタッチメントを参照してください。

Allow group InstanceLaunchers to manage instance-family in compartment ABC
Allow group InstanceLaunchers to read app-catalog-listing in tenancy
Allow group InstanceLaunchers to use volume-family in compartment ABC
Allow group InstanceLaunchers to use virtual-network-family in compartment XYZ

ユーザーが新しいクラウド・ネットワークおよびサブネットを作成できるようにするには、ネットワーク管理者によるクラウド・ネットワークの管理を参照してください。

ユーザーがインスタンスを作成する前に特定のシェイプで容量を使用できるかどうかを判断できるようにするには、次のステートメントをポリシーに追加します:

Allow group InstanceLaunchers to manage compute-capacity-reports in tenancy
ユーザーによる特定のカスタム・イメージからのコンピュート・インスタンスの起動

アクセス・タイプ: 指定したカスタム・イメージのみを使用してコンパートメントXYZのクラウド・ネットワークおよびサブネットにインスタンスを起動する機能。ポリシーには、コンパートメントABCにすでに存在する既存のボリュームをアタッチ/デタッチする機能も含まれます。グループでボリュームをアタッチ/デタッチする必要がない場合は、volume-familyステートメントを削除できます。

複数のカスタム・イメージを指定するには、条件を使用できます。

ポリシーを作成する場所:このポリシーをテナンシに配置する方法が最も簡単です。各コンパートメント(ABCおよびXYZ)の管理者が、コンパートメントの個々のポリシー・ステートメントを制御できるようにするには、ポリシー・アタッチメントを参照してください。

Allow group ImageUsers to inspect instance-images in compartment ABC
Allow group ImageUsers to {INSTANCE_IMAGE_READ} in compartment ABC where target.image.id='<image_OCID>'
Allow group ImageUsers to manage instances in compartment ABC
Allow group ImageUsers to read app-catalog-listing in tenancy
Allow group ImageUsers to use volume-family in compartment ABC
Allow group ImageUsers to use virtual-network-family in compartment XYZ
イメージ管理者によるカスタム・イメージの管理

アクセス・タイプ: カスタム・イメージおよびコンピュート・インスタンスのすべての操作を実行する機能。また、コンパートメントYのオブジェクト・ストレージ・バケット、オブジェクトおよびネームスペースのすべての操作(オブジェクトからイメージを作成し、イメージへの事前認証済リクエストを作成するため)、コンパートメントXの既存のボリュームのアタッチ/デタッチ、およびコンパートメントZのクラウド・ネットワークおよびサブネット内でのインスタンスの起動(イメージのベースにする新規インスタンスを作成するため)を実行する機能も含まれます。グループでボリュームをアタッチ/デタッチする必要がない場合は、volume-familyステートメントを削除できます。

ポリシーを作成する場所:このポリシーをテナンシに配置する方法が最も簡単です。各コンパートメント(X、YおよびZ)の管理者が、コンパートメントの個々のポリシー・ステートメントを制御できるようにするには、ポリシー・アタッチメントを参照してください。

Allow group ImageAdmins to manage instances in compartment X
Allow group ImageAdmins to manage instance-images in compartment X
Allow group ImageAdmins to read app-catalog-listing in tenancy
Allow group ImageAdmins to manage object-family in compartment Y
Allow group ImageAdmins to use volume-family in compartment X
Allow group ImageAdmins to use virtual-network-family in compartment Z
ユーザーによるコンピュート・インスタンスの構成、インスタンス・プールおよびクラスタ・ネットワークの管理

アクセス・タイプ:すべてのコンパートメントでインスタンス構成、インスタンス・プールおよびクラスタ・ネットワークをすべて処理する機能。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメントのインスタンス構成、インスタンス・プールおよびクラスタ・ネットワークにアクセスの範囲を狭めるには、テナンシのかわりに対象のコンパートメントを指定します。 

Allow group InstancePoolAdmins to manage compute-management-family in tenancy

グループがテンプレートとして既存のインスタンスを使用してインスタンス構成を作成する必要があり、API、SDK、またはコマンドライン・インタフェース(CLI)を使用してこれを行う場合は、次のステートメントをポリシーに追加します。

Allow group InstancePoolAdmins to read instance-family in tenancy
Allow group InstancePoolAdmins to inspect volumes in tenancy

特定のグループが既存のインスタンス・プールのインスタンスを起動、停止またはリセットする必要があるが、インスタンス・プールを作成または削除する必要がない場合は、次のステートメントを使用します。

Allow group InstancePoolUsers to use instance-pools in tenancy

インスタンス・プールで使用されるリソースにデフォルト・タグが含まれる場合、タグ・ネームスペースOracle-Tagsに対する権限をグループに付与するために、次のステートメントをポリシーに追加します:

Allow group InstancePoolUsers to use tag-namespaces in tenancy where target.tag-namespace.name = 'oracle-tags'

インスタンス・プールで使用されるインスタンス構成が容量予約でインスタンスを起動する場合は、次のステートメントをポリシーに追加します:

Allow service compute_management to use compute-capacity-reservations in tenancy

インスタンス・プールを作成するためにインスタンス構成で使用されているブート・ボリュームがKMSキーを使用して暗号化されている場合は、次のステートメントをポリシーに追加します

allow service compute, blockstorage, compute_management to use key-family in compartment <compartment_id/<tenant_id>>
ユーザーによるCompute自動スケーリング構成の管理

アクセス・タイプ:自動スケーリング構成を作成、更新および削除する機能。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメントの自動スケーリング構成のみにアクセス範囲を減らすには、テナンシのかわりに対象のコンパートメントを指定します。 

Allow group AutoscalingAdmins to manage auto-scaling-configurations in tenancy
Allow group AutoscalingAdmins to manage instance-pools in tenancy
ユーザーによるパートナ・イメージ・カタログのイメージのリスト化およびサブスクライブ

アクセス・タイプ:パートナ・イメージ・カタログ内のイメージのサブスクリプションをリストし、作成する機能。パートナ・イメージ・カタログのイメージを使用してインスタンスを作成する機能は含まれていません(ユーザーによるコンピュート・インスタンスの起動を参照)。

ポリシーを作成する場所: テナンシ内。特定のコンパートメントのサブスクリプションの作成のみにアクセス範囲を狭めるには、3番目のステートメントでテナンシのかわりにそのコンパートメントを指定します。

Allow group CatalogSubscribers to inspect app-catalog-listing in tenancy
Allow group CatalogSubscribers to read app-catalog-listing in tenancy
Allow group CatalogSubscribers to manage app-catalog-listing in tenancy
ユーザーによるコンピュート・インスタンス・コンソール接続の作成

アクセス・タイプ: インスタンス・コンソール接続を作成する機能。

ポリシーを作成する場所: テナンシ内。

Allow group <group_name> to manage instance-console-connection in tenancy
Allow group <group_name> to read instance in tenancy
ユーザーによる専用仮想マシンのコンピュート・ホストの管理

アクセス・タイプ:専用仮想マシン・ホストを作成、更新および削除する機能、および専用仮想マシン・ホストのインスタンスを起動する機能。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメントの専用仮想マシン・ホストおよびインスタンスのみにアクセス範囲を減らすには、テナンシのかわりに、そのコンパートメントを指定します。 

Allow group DedicatedVMHostAdmins to manage dedicated-vm-hosts in tenancy
Allow group DedicatedVMHostAdmins to manage instances in tenancy
ユーザーによる専用仮想マシン・ホストのコンピュート・インスタンスの起動

アクセス・タイプ:専用仮想マシン・ホストのインスタンスを起動する機能。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメントの専用仮想マシン・ホストおよびインスタンスのみにアクセス範囲を減らすには、テナンシのかわりに、そのコンパートメントを指定します。 

Allow group DedicatedVMHostAdmins to use dedicated-vm-hosts in tenancy
Allow group DedicatedVMHostAdmins to manage instances in tenancy
ボリューム管理者によるブロック・ボリューム、バックアップおよびボリューム・グループの管理

アクセス・タイプ:リージョン間でボリューム・バックアップをコピーする場合を除き、すべてのコンパートメントのブロック・ストレージ・ボリューム、ボリューム・バックアップおよびボリューム・グループのすべての操作を実行する機能。これは、単一セットのボリューム管理者がすべてのコンパートメントのすべてのボリューム、ボリューム・バックアップおよびボリューム・グループを管理する場合に意味を持ちます。インスタンスからボリュームをアタッチ/デタッチするには、2番目のステートメントが必要です。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメントのボリューム/バックアップおよびインスタンスのみにアクセス範囲を減らすには、テナンシのかわりにそのコンパートメントを指定します。 

Allow group VolumeAdmins to manage volume-family in tenancy

Allow group VolumeAdmins to use instance-family in tenancy

グループがリージョン間でボリューム・バックアップおよびブート・ボリューム・バックアップをコピーする必要もある場合、次のステートメントをポリシーに追加します:

Allow group VolumeAdmins to use volume-backups in tenancy where request.permission='VOLUME_BACKUP_COPY'
Allow group VolumeAdmins to use boot-volume-backups in tenancy where request.permission='BOOT_VOLUME_BACKUP_COPY'
ボリューム・バックアップ管理者によるバックアップのみの管理

アクセス・タイプ:ボリューム・バックアップのすべての操作を実行する機能。ボリューム自体の作成や管理はできません。これは、単一セットのボリューム・バックアップ管理者がすべてのコンパートメントのすべてのボリューム・バックアップを管理する場合に意味を持ちます。最初のステートメントは、バックアップされるボリュームに必要なアクセスを付与し、2番目のステートメントではバックアップの作成(およびバックアップの削除)が可能です。3番目のステートメントでは、ユーザー定義のバックアップ・ポリシーの作成と管理が可能です。4番目のステートメントでは、バックアップ・ポリシーの割当ておよび削除が可能です。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメント内のボリュームおよびバックアップのみにアクセス範囲を減らすには、テナンシのかわりにそのコンパートメントを指定します。 

Allow group VolumeBackupAdmins to use volumes in tenancy

Allow group VolumeBackupAdmins to manage volume-backups in tenancy

Allow group VolumeBackupAdmins to manage backup-policies in tenancy

Allow group VolumeBackupAdmins to manage backup-policy-assignments in tenancy

グループがコンソールを使用する場合、次のポリシーによりユーザー・エクスペリエンスが向上します。

Allow group VolumeBackupAdmins to use volumes in tenancy

Allow group VolumeBackupAdmins to manage volume-backups in tenancy

Allow group VolumeBackupAdmins to inspect volume-attachments in tenancy

Allow group VolumeBackupAdmins to inspect instances in tenancy

Allow group VolumeBackupAdmins to manage backup-policies in tenancy

Allow group VolumeBackupAdmins to manage backup-policy-assignments in tenancy

最後の2つのステートメントは、ボリューム・バックアップを管理するために必要ありません。ただし、コンソールで特定のボリュームに関するすべての情報および使用可能なバックアップ・ポリシーを表示できます。

ブート・ボリューム・バックアップ管理者によるバックアップのみの管理

アクセス・タイプ: ブート・ボリューム・バックアップのすべての操作を実行する機能。ブート・ボリューム自体の作成と管理はできません。これは、単一セットのブート・ボリューム・バックアップ管理者がすべてのコンパートメントのすべてのブート・ボリューム・バックアップを管理する場合に意味を持ちます。最初のステートメントは、バックアップされるブート・ボリュームに必要なアクセスを付与し、2番目のステートメントはバックアップの作成(およびバックアップの削除)を可能にします。3番目のステートメントでは、ユーザー定義のバックアップ・ポリシーの作成と管理が可能です。4番目のステートメントでは、バックアップ・ポリシーの割当ておよび削除が可能です。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメント内のブート・ボリュームおよびバックアップのみにアクセス範囲を減らすには、テナンシのかわりにそのコンパートメントを指定します。 

Allow group BootVolumeBackupAdmins to use volumes in tenancy

Allow group BootVolumeBackupAdmins to manage boot-volume-backups in tenancy

Allow group BootVolumeBackupAdmins to manage backup-policies in tenancy

Allow group BootVolumeBackupAdmins to manage backup-policy-assignments in tenancy

グループがコンソールを使用する場合、次のポリシーによりユーザー・エクスペリエンスが向上します。

Allow group BootVolumeBackupAdmins to use volumes in tenancy

Allow group BootVolumeBackupAdmins to manage boot-volume-backups in tenancy

Allow group BootVolumeBackupAdmins to inspect instances in tenancy

Allow group BootVolumeBackupAdmins to manage backup-policies in tenancy

Allow group BootVolumeBackupAdmins to manage backup-policy-assignments in tenancy

最後の2つのステートメントは、ボリューム・バックアップを管理するために必要ありません。ただし、コンソールで特定のブート・ボリュームに関するすべての情報および使用可能なバックアップ・ポリシーを表示できます。

ユーザーによるボリューム・グループの作成

アクセス・タイプ:ボリューム・グループをボリューム・セットから作成する機能。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメント内のボリュームおよびボリューム・グループのみにアクセス範囲を減らすには、テナンシのかわりにそのコンパートメントを指定します。

Allow group VolumeGroupCreators to inspect volumes in tenancy
Allow group VolumeGroupCreators to manage volume-groups in tenancy
ユーザーによるボリューム・グループのクローニング

アクセス・タイプ:既存のボリューム・グループからボリューム・グループをクローニングする機能。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメント内のボリュームおよびボリューム・グループのみにアクセス範囲を減らすには、テナンシのかわりにそのコンパートメントを指定します。

Allow group VolumeGroupCloners to inspect volumes in tenancy
Allow group VolumeGroupCloners to manage volume-groups in tenancy
Allow group VolumeGroupCloners to manage volumes in tenancy
ユーザーによるボリューム・グループ・バックアップの作成

アクセス・タイプ:ボリューム・グループ・バックアップを作成する機能。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメントにあるボリューム/バックアップおよびボリューム・グループ/ボリューム・グループ・バックアップのみにアクセス範囲を減らすには、テナンシのかわりに、そのコンパートメントを指定します。

Allow group VolumeGroupBackupAdmins to inspect volume-groups in tenancy
Allow group VolumeGroupBackupAdmins to manage volumes in tenancy
Allow group VolumeGroupBackupAdmins to manage volume-group-backups in tenancy
Allow group VolumeGroupBackupAdmins to manage volume-backups in tenancy
ユーザーによるボリューム・グループ・バックアップのリストア

アクセス・タイプ:ボリューム・グループ・バックアップをリストアしてボリューム・グループを作成する機能。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメントにあるボリューム/バックアップおよびボリューム・グループ/ボリューム・グループ・バックアップのみにアクセス範囲を減らすには、テナンシのかわりに、そのコンパートメントを指定します。

Allow group VolumeGroupBackupAdmins to inspect volume-group-backups in tenancy
Allow group VolumeGroupBackupAdmins to read volume-backups in tenancy
Allow group VolumeGroupBackupAdmins to manage volume-groups in tenancy
Allow group VolumeGroupBackupAdmins to manage volumes in tenancy
ユーザーによるファイル・システムの作成、管理および削除

アクセス・タイプ: ファイル・システムまたはファイル・システム・クローンを作成、管理または削除する機能。ファイル・システムの管理機能には、名前の変更や削除、またはファイル・システムからの切断などが含まれます。

ポリシーを作成する場所:ファイル・システムを作成、管理または削除する機能をポリシー継承を介してすべてのコンパートメントに容易に付与できるようにするため、テナンシ。これらの管理機能の有効範囲を特定のコンパートメント内のファイル・システムに限定するには、テナンシのかわりにそのコンパートメントを指定します。

Allow group StorageAdmins to manage file-family in tenancy
ユーザーによるファイル・システムの作成

アクセス・タイプ: ファイル・システムまたはファイル・システム・クローンを作成する機能。

ポリシーを作成する場所:ファイル・システムを作成する機能がポリシー継承を介してすべてのコンパートメントに容易に付与されるようにするため、テナンシ。これらの管理機能の有効範囲を特定のコンパートメント内のファイル・システムに限定するには、テナンシのかわりにそのコンパートメントを指定します。

Allow group Managers to manage file-systems in tenancy

Allow group Managers to read mount-targets in tenancy

2つ目のステートメントは、ユーザーがコンソールを使用してファイル・システムを作成する場合に必要です。コンソールに、新しいファイル・システムを関連付けることができるマウント・ターゲットのリストを表示できます。

オブジェクト・ストレージ管理者によるバケットおよびオブジェクトの管理

アクセス・タイプ:すべてのコンパートメントのオブジェクト・ストレージ・バケットおよびオブジェクトのすべての操作を実行する機能。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメント内のバケットおよびオブジェクトのみにアクセス範囲を減らすには、テナンシのかわりにそのコンパートメントを指定します。 

Allow group ObjectAdmins to manage buckets in tenancy

Allow group ObjectAdmins to manage objects in tenancy
ユーザーによるオブジェクトのオブジェクト・ストレージ・バケットへの書込み

アクセス・タイプ:コンパートメントABCの任意のオブジェクト・ストレージ・バケットにオブジェクトを書き込む機能(クライアントが定期的にログ・ファイルをバケットに書き込む必要がある場合が考えられます)。これには、コンパートメント内のバケットのリスト、バケット内のオブジェクトのリスト、およびバケット内の新規オブジェクトの作成が含まれます。2つ目のステートメントでは、manage動詞による広範なアクセス権を付与しますが、このアクセス権はステートメントの末尾の条件を使用したOBJECT_INSPECTおよびOBJECT_CREATE 権限のみにスコープ指定されます。

ポリシーを作成する場所: このポリシーをテナンシに配置する方法が最も簡単です。コンパートメントABCの管理者がポリシーを制御するには、ポリシー・アタッチメントを参照してください。

Allow group ObjectWriters to read buckets in compartment ABC

Allow group ObjectWriters to manage objects in compartment ABC where any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}

特定のバケットに限定されたアクセス: 特定のコンパートメント内の特定のバケットへのアクセスを制限するには、条件where target.bucket.name='<bucket_name>'を追加します。次のポリシーによって、ユーザーは特定のコンパートメント内のすべてのバケットをリストできますが、リストできるのはBucketAのオブジェクトのみで、BucketAにのみオブジェクトをアップロードできます。

Allow group ObjectWriters to read buckets in compartment ABC

Allow group ObjectWriters to manage objects in compartment ABC where all {target.bucket.name='BucketA', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}}

特定の定義済タグを持つバケットに限定されたアクセス: 指定されたコンパートメント内の特定のタグを持つバケットへのアクセスを制限するには、条件where target.bucket.tag.<TagNamespace>.<TagKeyDefinition>='<TagValue>'を追加します。次のポリシーによって、ユーザーはコンパートメントABC内のすべてのバケットをリストできますが、タグMyTagNamespace.TagKey='MyTagValue'を持つバケット内のオブジェクトのみをリストして、バケットにオブジェクトをアップロードできます:

Allow group ObjectWriters to read buckets in compartment ABC
Allow group ObjectWriters to manage objects in compartment ABC where all {target.bucket.tag.MyTagNamespace.TagKey='MyTagValue', any {request.permission='OBJECT_CREATE', request.permission='OBJECT_INSPECT'}}

条件の使用の詳細は、高度なポリシーの機能を参照してください。

ユーザーによるオブジェクト・ストレージ・バケットからのオブジェクトのダウンロード

アクセス・タイプ:コンパートメントABCの任意のオブジェクト・ストレージ・バケットからオブジェクトをダウンロードする機能。これには、コンパートメント内のバケットのリスト、バケット内のオブジェクトのリスト、およびバケット内の既存オブジェクトの読取りが含まれます。

ポリシーを作成する場所:このポリシーをテナンシに配置する方法が最も簡単です。コンパートメントABCの管理者がポリシーを制御するには、ポリシー・アタッチメントを参照してください。

Allow group ObjectReaders to read buckets in compartment ABC

Allow group ObjectReaders to read objects in compartment ABC

特定のバケットに限定されたアクセス:特定のコンパートメント内の特定のバケットへのアクセスを制限するには、条件where target.bucket.name='<bucket_name>'を追加します。次のポリシーによって、ユーザーは特定のコンパートメントのすべてのバケットをリストできますが、BucketAのオブジェクトのみを読み取ることができ、BucketAからのダウンロードのみ可能です。

Allow group ObjectReaders to read buckets in compartment ABC

Allow group ObjectReaders to read objects in compartment ABC where target.bucket.name='BucketA'

特定の定義済タグを持つバケットに限定されたアクセス

指定されたコンパートメント内の特定のタグを持つバケットへのアクセスを制限するには、条件where target.bucket.tag.<TagNamespace>.<TagKeyDefinition>='<TagValue>'を追加します。次のポリシーによって、ユーザーはコンパートメントABC内のすべてのバケットをリストできますが、タグMyTagNamespace.TagKey='MyTagValue'を持つバケット内のオブジェクトのみを読み取り、バケットからオブジェクトをダウンロードできます:

Allow group ObjectReaders to read buckets in compartment ABC
Allow group ObjectReaders to read objects in compartment ABC where target.bucket.tag.MyTagNamespace.TagKey='MyTagValue'

条件の使用の詳細は、高度なポリシーの機能を参照してください。

顧客管理キーで暗号化されたObject Storageの顧客データにユーザーがアクセスできるようにします

アクセス・タイプ: 顧客管理キーを作成する機能。これは、お客様が管理するキーで暗号化されたデータにアクセスするためのポリシーを設定する機能で構成されています。

allow group <group_in_tenancy> to manage vaults in compartment <key_located_compartment>
allow group <group_in_tenancy> to manage keys in compartment <key_located_compartment>
allow group <group_in_tenancy> to manage key-delegate in compartment <key_located_compartment>
allow group <group_in_tenancy> to use object-family in compartment <key_located_compartment>
allow service objectstorage-<region_name> to use keys in compartment <key_located_compartment>

前述のポリシー例の最後の文はリージョン固有です。つまり、顧客はリージョンごとにこの文を繰り返し記述する必要があります。利便性ポリシーの設定には、次のポリシー設定例を使用できます。

allow group <group_in_tenancy> to manage vaults in compartment <key_located_compartment>
allow group <group_in_tenancy> to manage keys in compartment <key_located_compartment>
allow group <group_in_tenancy> to manage key-delegate in compartment <key_located_compartment>
allow group <group_in_tenancy> to use object-family in compartment <key_located_compartment>
allow any-group to use keys in compartment <key_located_compartment> where all {request.principal.type = 'service', request.service.name = /objectstorage-*/}
オブジェクト・ストレージ・バケット内のフォルダへのフル・アクセスをユーザーに許可します

アクセス・タイプ:ユーザーのグループがオブジェクト・ストレージ・バケットおよびそのオブジェクトに対してすべてのアクションを実行する機能。

ポリシーを作成する場所:ユーザーが存在するテナンシ。

ALLOW group test-group TO manage objects IN TENANCY where all {target.bucket.name = 'test-bucket', target.object.name = 'prod/*'}
オブジェクト・ストレージ・バケット内のフォルダへの読取り専用アクセスをユーザーに許可します

アクセス・タイプ:ユーザーのグループがオブジェクト・ストレージ・バケットとそのオブジェクトへの読取り専用アクセス権を持つ機能。

ポリシーを作成する場所:ユーザーが存在するテナンシ。

ALLOW group test-group TO manage objects IN TENANCY where all {target.bucket.name = 'test-bucket', target.object.name = 'prod/*', any{request.permission='OBJECT_INSPECT', request.permission='OBJECT_READ'}}
オブジェクト・ストレージ・バケット内のフォルダへの書込みアクセスをユーザーに許可(読取りや削除は不可)

アクセス・タイプ:ユーザー・グループがバケット内のオブジェクトのフォルダへの書込み専用アクセス権を持つ機能 ユーザーは、バケット内のオブジェクトのリストを表示したり、そこに含まれるオブジェクトを削除することはできません。

ポリシーを作成する場所:ユーザーが存在するテナンシ。

ALLOW group test-group TO manage objects IN TENANCY where all {target.bucket.name = 'test-bucket', target.object.name = 'prod/*', any{request.permission='OBJECT_CREATE'}}
オブジェクト・ストレージ・バケット内のフォルダへの読取り/書込みアクセス権をユーザーに付与します(リストや上書きはありません)。

アクセス・タイプ:ユーザーのグループが、オブジェクト・ストレージ・バケット内のオブジェクトのフォルダへの読取りおよび書込みアクセス権を持つ機能。ユーザーは、フォルダ内のオブジェクトのリストを生成したり、フォルダ内の既存のオブジェクトを上書きすることはできません。

ポリシーを作成する場所:ユーザーが存在するテナンシ。

ALLOW group test-group TO manage objects IN TENANCY where all {target.bucket.name = 'test-bucket', target.object.name = 'prod/*', any{request.permission='OBJECT_CREATE', request.permission='OBJECT_READ'}}
オブジェクト・ストレージ・バケット内のオブジェクト・パターンへのすべてのアクセス権をユーザーに付与します

アクセス・タイプ:指定したユーザーが、オブジェクト・ストレージ・バケット内の指定したパターンと一致するすべてのオブジェクトへのフル・アクセス権を持つ機能。

ポリシーを作成する場所:ユーザーが存在するテナント内。

ALLOW any-group TO manage objects IN TENANCY where all {target.bucket.name = 'test-bucket', target.object.name = '*.pdf', request.user.id='ocid1.user.oc1..exampleuniqueID'}
データベース管理者によるOracle Cloudデータベース・システムの管理
アクセス・タイプ: すべてのコンパートメントの次のシステム・タイプおよびそれに関連するリソースのすべての操作を実行する機能:
  • 専用インフラストラクチャ上のExadata Database Serviceインスタンス
  • ベア・メタルDBシステム
  • 仮想マシンDBシステム

これは、単一セットのデータベース管理者がすべてのコンパートメントのすべてのベア・メタル、仮想マシンおよびExadataシステムを管理する場合に意味を持ちます。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメント内のデータベース・システムのみにアクセス範囲を狭めるには、テナンシのかわりにそのコンパートメントを指定します。 

Allow group DatabaseAdmins to manage database-family in tenancy
データベース管理者がExadata Database Service on Cloud@Customerインスタンスを管理できるようにします

アクセス・タイプ: すべてのコンパートメントのExadata Database Service on Cloud@Customerリソースのすべての操作を実行する機能。これは、単一セットのデータベース管理者がすべてのコンパートメントのすべてのExadata Database Service on Cloud@Customerシステムを管理する場合に意味を持ちます。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。アクセスの範囲をExadata Database Service on Cloud@Customerのみに減らすには

特定のコンパートメント内のシステム、テナンシのかわりにそのコンパートメントを指定します。 

Allow group ExaCCAdmins to manage database-family in tenancy
データベース管理者によるMySQL Databaseリソースの管理

アクセス・タイプ:

すべてのコンパートメントのMySQL DatabaseおよびMySQL HeatWaveリソースのすべての操作を実行する機能。MySQL Database DBシステムを作成および管理するには、テナンシのVCN、サブネットおよびタグ・ネームスペースへの制限付きアクセスも必要です。

ポリシーを作成する場所: ポリシー継承によってすべてのコンパートメントにアクセス権が付与されるようにするため、テナンシ。
Allow group <group_name> to {
  	COMPARTMENT_INSPECT, 
    VCN_READ, 
    SUBNET_READ, SUBNET_ATTACH, SUBNET_DETACH, 
    NETWORK_SECURITY_GROUP_UPDATE_MEMBERS,
    VNIC_CREATE, VNIC_UPDATE, VNIC_DELETE, VNIC_ASSOCIATE_NETWORK_SECURITY_GROUP
  } in tenancy | compartment <compartment_name> | compartment <compartment_ocid>
  Allow group <group_name> to manage mysql-family in tenancy | compartment <compartment_name> | compartment <compartment_ocid>
  Allow group <group_name> to use tag-namespaces in tenancy
データベース管理者によるOracle Cloud外部データベース・リソースの管理
アクセス・タイプ: すべてのコンパートメント内の次のOCI 外部データベース・リソースを使用してすべての操作を実行する機能:
  • OCI外部コンテナ・データベース・リソース
  • OCI外部プラガブル・データベース・リソース
  • OCI外部非コンテナ・データベース・リソース
  • OCI外部データベース・コネクタ

これは、単一セットのデータベース管理者がすべてのコンパートメントのすべてのOCI外部データベース・リソースを管理する場合に意味を持ちます。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメント内のOCI外部データベース・リソースのみにアクセス範囲を減らすには、テナンシのかわりにそのコンパートメントを指定します。 

Allow group OnPremDatabaseAdmins to manage external-database-family in tenancy
データベース管理者およびフリート管理者によるAutonomous Databaseの管理

アクセス・タイプ:すべてのコンパートメントのAutonomous Databaseインスタンスのすべての操作を実行する機能。単一セットのデータベース管理者がすべてのコンパートメントのすべてのAutonomous Databaseデータベースを管理する場合に適用されます。

ポリシーを作成する場所: ポリシー継承を介してすべてのコンパートメントにアクセス権が付与されるようにするため、テナンシ。特定のコンパートメントのAutonomous Databaseのみにアクセス範囲を狭めるには、テナンシのかわりにそのコンパートメントを指定します。

例1: 専用Exadataインフラストラクチャ上のAutonomous Databaseに関連付けられたユーザー・ロールの場合。Autonomous Databaseフリート管理者が任意のワークロード・タイプにアクセスして、次の専用Exadataインフラストラクチャ・リソースを管理できるようにします: Autonomous Container DatabaseおよびAutonomous VMクラスタ。

Allow group DatabaseAdmins to manage autonomous-database-family in tenancy
ヒント

autonomous-database-family集約リソース・タイプは、専用ExadataインフラストラクチャAutonomous Databaseをプロビジョニングするために必要なcloud-exadata-infrastructuresリソース・タイプをカバーしていません。クラウドExadataインフラストラクチャの権限の詳細は、専用インフラストラクチャ上のExadata Database Serviceのポリシー詳細を参照してください。クラウドExadataインフラストラクチャ・リソースをカバーするサンプル・ポリシーについては、データベース管理者によるOracle Cloudデータベース・システムの管理を参照してください。

Autonomous VMクラスタおよびAutonomous Container Databaseリソース・タイプへのアクセスを制限する必要がある場合(専用Exadataインフラストラクチャにのみ適用)、Autonomous Databaseおよびそのバックアップのみへのアクセスを許可する個別のポリシー・ステートメントをデータベース管理者用に作成することでこれを実行できます。ポリシー・ステートメントで指定できるリソース・タイプは1つのみであるため、データベース・リソースとバックアップ・リソースに対して別々のステートメントを作成する必要があります。

例2: 専用Exadataインフラストラクチャ上のAutonomous Databaseの場合。Autonomous Databaseデータベース管理者による様々なワークロード・タイプのデータベースおよびバックアップへのアクセスを可能にしますが、Autonomous Container Database、Autonomous VMクラスタおよびクラウドExadataインフラストラクチャ・リソースへのアクセスは拒否します。

Allow group ADB-Admins to manage autonomous-database in tenancy
Allow group ADB-Admins to manage autonomous-backup in tenancy

特定のワークロード・タイプにデータベースおよびバックアップのアクセス範囲を減らすには、where句を使用します。

例3: 専用Exadataインフラストラクチャ上のAutonomous Databaseの場合。Autonomous Databaseアクセスを特定のワークロード・タイプのデータベースおよびバックアップに制限します。

Allow group ADB-Admins to manage autonomous-databases in tenancy where target.workloadType = 'workload_type'
Allow group ADB-Admins to manage autonomous-backups in tenancy where target.workloadType = 'workload_type'

前述のコード例で、workload_typeは、次の表にリストされている文字列の1つです。

Autonomous Databaseワークロード・タイプの文字列
データベース・ワークロード・タイプ ポリシーのworkload_type文字列
トランザクション処理および混合ワークロード用のAutonomous Database OLTP
分析およびデータ・ウェアハウス用のAutonomous Database DW
Autonomous JSON Database AJD
Oracle APEXアプリケーション開発 APEX
セキュリティ管理者によるボールト、キーおよびシークレットの管理

アクセス・タイプ: すべてのコンパートメントのボールト・サービスのすべての操作を実行する機能。これは、単一のセキュリティ管理者セットにより、すべてのコンパートメント内のすべてのボールト、キーおよびシークレット・コンポーネント(シークレット、シークレット・バージョンおよびシークレット・バンドルを含む)を管理する場合に意味があります。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメント内のボールト、キーおよびシークレット・コンポーネントのみにアクセス範囲を減らすには、テナンシのかわりにそのコンパートメントを指定します。ボールト、キーまたはシークレット・コンポーネントのみにアクセス範囲を減らすには、必要に応じて、個々のリソース・タイプまたは集約リソース・タイプに関連するポリシー・ステートメントのみを含めます。

Allow group SecurityAdmins to manage vaults in tenancy

Allow group SecurityAdmins to manage keys in tenancy

Allow group SecurityAdmins to manage secret-family in tenancy
セキュリティ管理者によるコンパートメント内の特定のボールト内のすべてのキーの管理

アクセス・タイプ:コンパートメントABC内の特定のボールト内のキーのすべての操作を実行する機能。

ポリシーを作成する場所:このポリシーをテナンシに配置する方法が最も簡単です。個々のコンパートメント(ABC)の管理者がコンパートメントの個々のポリシー・ステートメントを制御するには、ポリシー・アタッチメントを参照してください。

Allow group SecurityAdmins to manage keys in compartment ABC where target.vault.id='<vault_OCID>'
セキュリティ管理者によるコンパートメントの特定のキーの使用

アクセス・タイプ:コンパートメント内の特定のキーを使用して暗号化操作をリスト、表示および実行する機能。

ポリシーを作成する場所:このポリシーをテナンシに配置する方法が最も簡単です。個々のコンパートメント(ABC)の管理者がコンパートメントの個々のポリシー・ステートメントを制御するには、ポリシー・アタッチメントを参照してください。

Allow group SecurityAdmins to use keys in compartment ABC where target.key.id='<key_OCID>'
ユーザー・グループによるコンパートメントのキーの使用の委任

アクセス・タイプ: オブジェクト・ストレージ・バケット、ブロック・ボリューム・ボリューム、ファイル・ストレージ・ファイル・システム、Kubernetesクラスタまたはストリーミング・ストリーム・プールを、特定のコンパートメントで使用することを許可された特定のキーと関連付ける機能。このポリシーでは、指定されたグループのユーザーは、そのキー自体を使用する権限を持っていません。関連付けにより、オブジェクト・ストレージブロック・ボリュームファイル・ストレージContainer Engine for Kubernetesまたはストリーミングはキーを使用して、ユーザーにかわって次のことを実行できます:

  • 暗号化されたバケット、ボリュームまたはファイル・システムを作成または更新し、バケット、ボリュームまたはファイル・システム内のデータを暗号化または復号化します。
  • Kubernetesシークレットがetcdキー/値ストアへの保存時に暗号化されるKubernetesクラスタを作成します。
  • ストリーム・プールを作成して、ストリーム・プール内のストリームのデータを暗号化します。

このポリシーでは、オブジェクト・ストレージブロック・ボリュームファイル・ストレージContainer Engine for Kubernetesまたはストリーミングがキーを使用して暗号操作を実行できるようにするコンパニオン・ポリシーも必要です。

ポリシーを作成する場所:このポリシーをテナンシに配置する方法が最も簡単です。個々のコンパートメント(ABC)の管理者がコンパートメントの個々のポリシー・ステートメントを制御するには、ポリシー・アタッチメントを参照してください。

Allow group ObjectWriters, VolumeWriters, FileWriters, ClusterWriters, StreamWriters to use key-delegate in compartment ABC where target.key.id = '<key_OCID>'
ブロック・ボリューム、オブジェクト・ストレージ、ファイル・ストレージ、Container Engine for Kubernetesおよびストリーミング・サービスによるボリューム、ボリューム・バックアップ、バケット、ファイル・システム、Kubernetesシークレットおよびストリーム・プールの暗号化と復号化

アクセス・タイプ:コンパートメントABCのすべてのキーを使用して暗号操作をリスト、表示および実行する機能。オブジェクト・ストレージはリージョン別サービスであるため、地域エンドポイントがあります。このため、ボールトの暗号化を使用してオブジェクト・ストレージを使用している各リージョンに対して、リージョン別サービス名を指定する必要があります。このポリシーでは、オブジェクト・ストレージブロック・ボリュームファイル・ストレージContainer Engine for Kubernetesまたはストリーミングで使用される委任キーをユーザー・グループが使用できるようにするコンパニオン・ポリシーも必要です。

ポリシーを作成する場所:このポリシーをテナンシに配置する方法が最も簡単です。個々のコンパートメント(ABC)の管理者がコンパートメントの個々のポリシー・ステートメントを制御するには、ポリシー・アタッチメントを参照してください。

Allow service blockstorage, objectstorage-<region_name>, <file_storage_service_user>, oke, streaming to use keys in compartment ABC where target.key.id = '<key_OCID>'

オブジェクト・ストレージの場合、<region_name>を適切なリージョン識別子に置き換えます。例:

  • objectstorage-us-phoenix-1

  • objectstorage-us-ashburn-1

  • objectstorage-eu-frankfurt-1

  • objectstorage-uk-london-1

  • objectstorage-ap-tokyo-1

Oracle Cloud Infrastructureリージョンのリージョン名の値を決定するには、リージョンおよび可用性ドメインを参照してください。

ファイル・ストレージ・サービス・ユーザーの名前は、レルムによって異なります。レルム・キー番号が10以下のレルムの場合、ファイル・ストレージ・サービス・ユーザーのパターンはFssOc<n>Prodです。ここで、nはレルム・キー番号です。レルム・キー番号が10を超えるレルムのサービス・ユーザーはfssocprodです。レルムの詳細は、リージョンおよび可用性ドメインについてを参照してください。

Container Engine for Kubernetesの場合、ポリシーで使用されるサービス名はokeです。

ストリーミングの場合、ポリシーで使用されるサービス名はstreamingです。

セキュリティ管理者によるコンパートメントの特定のボールト内のすべてのシークレットの管理

アクセス・タイプ: コンパートメントABCの特定のボールト内のシークレットに関するすべての操作を実行する機能。

ポリシーを作成する場所:このポリシーをテナンシに配置する方法が最も簡単です。個々のコンパートメント(ABC)の管理者がコンパートメントの個々のポリシー・ステートメントを制御するには、ポリシー・アタッチメントを参照してください。

Allow group SecurityAdmins to manage secret-family in compartment ABC where target.vault.id='<vault_OCID>'
ユーザーによるすべてのシークレットの読取り、更新およびローテーション

アクセス・タイプ: テナンシ内の任意のボールトにあるすべてのシークレットの読取り、更新およびローテーションを行う機能。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメント内のボールト、キーおよびシークレットのみにアクセス範囲を減らすには、テナンシのかわりにそのコンパートメントを指定します。

Allow group SecretsUsers to use secret-family in tenancy
ユーザーによる自分のパスワードと資格証明の管理

ユーザーが自分の資格証明を管理するためにポリシーは不要です。すべてのユーザーが、自分のパスワードの変更やリセット、独自のAPIキーの管理、独自の認証トークンの管理を行うことができます。詳細は、ユーザー資格証明を参照してください。

コンパートメント管理者によるコンパートメントの管理

アクセス・タイプ:特定のコンパートメントのすべての側面を管理する機能。たとえば、A-Adminsというグループは、Project-Aというコンパートメントのすべての側面を管理できます。これには、コンパートメントに影響する追加のポリシーの書込みも含まれます。詳細は、ポリシー・アタッチメントを参照してください。このような設定と有用な追加ポリシーの例は、シナリオ例を参照してください。

ポリシーを作成する場所: テナンシ内。 

Allow group A-Admins to manage all-resources in compartment Project-A
特定のリージョンへの管理アクセスの制限

アクセス・タイプ:特定のリージョンのリソースを管理する機能。IAMのリソースはホーム・リージョンで管理する必要があることに注意してください。指定したリージョンがホーム・リージョンではない場合、管理者はIAMリソースを管理できません。ホーム・リージョンの詳細は、リージョンの管理を参照してください。

ポリシーを作成する場所: テナンシ内。 

Allow group PHX-Admins to manage all-resources in tenancy where request.region='phx'

前述のポリシーにより、PHX管理者は米国西部(フェニックス)内のすべてのリソースのすべての側面を管理できます。

PHXのメンバー-テナンシのホーム・リージョンが米国西部(フェニックス)の場合、管理者グループはIAMリソースのみ管理できます。

要約のお知らせのみを表示するユーザー・アクセスの制限

アクセス・タイプ:Oracle Cloud Infrastructureサービスの操作ステータスに関するお知らせの要約バージョンを表示する機能。

ポリシーを作成する場所: テナンシ内。 

Allow group AnnouncementListers to inspect announcements in tenancy

前述のポリシーによって、AnnouncementListersは、要約のお知らせのリストを表示できます。

ユーザーによるお知らせの詳細の表示

アクセス・タイプ:Oracle Cloud Infrastructureサービスの操作ステータスに関するお知らせの詳細を表示する機能。

ポリシーを作成する場所: テナンシ内。 

Allow group AnnouncementReaders to read announcements in tenancy

このポリシーによって、AnnouncementReadersは、要約のお知らせのリストおよび特定のお知らせの詳細を表示できます。

ストリーミング管理者によるストリーミング・リソースの管理

アクセス・タイプ:すべてのコンパートメントのストリーミング・サービスのすべての操作を実行する機能。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメント内のストリームにのみアクセス範囲を狭くするには、そのコンパートメントをテナンシのかわりに指定します。 

Allow group StreamAdmins to manage stream-family in tenancy
ストリーミング・ユーザーによるストリームへのメッセージの公開

アクセス・タイプ:すべてのコンパートメント内のストリーミング・サービスとともにストリームに対してメッセージを生成する機能。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメント内のストリームにのみアクセス範囲を狭くするには、そのコンパートメントをテナンシのかわりに指定します。 

Allow group StreamUsers to use stream-push in tenancy
ストリーミング・ユーザーによる特定のストリームへのメッセージの公開

アクセス・タイプ:ストリーミング・サービスとともにストリームへのメッセージを生成する機能。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメント内のストリームにのみアクセス範囲を狭くするには、そのコンパートメントをテナンシのかわりに指定します。 

Allow group StreamUsers to use stream-push in tenancy where target.stream.id = '<stream_OCID>'
ストリーミング・ユーザーによる特定のストリーム・プール内のストリームへのメッセージの公開

アクセス・タイプ:ストリーミング・サービスとともにストリームへのメッセージを生成する機能。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメント内のストリームにのみアクセス範囲を狭くするには、そのコンパートメントをテナンシのかわりに指定します。 

Allow group StreamUsers to use stream-push in tenancy where target.streampool.id = '<streampool_OCID>'
ストリーミング・ユーザーによるストリームからのメッセージの消費

アクセス・タイプ:すべてのコンパートメントのストリーミング・サービスとともにストリームからメッセージを消費する機能。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメント内のストリームにのみアクセス範囲を狭くするには、そのコンパートメントをテナンシのかわりに指定します。 

Allow group StreamUsers to use stream-pull in tenancy
ユーザーがコンパートメント内のメトリック定義をリストできるようにします

アクセス・タイプ:特定のコンパートメントのメトリック定義をリストする機能。詳細は、メトリック定義のリストを参照してください。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメント内のメトリック定義のみにアクセスの範囲を減らすには、テナンシのかわりにそのコンパートメントを指定します。 

Allow group <group_name> to inspect metrics in compartment <compartment_name>
ユーザーがコンパートメント内のメトリックを問い合せることができます

アクセス・タイプ:特定のコンパートメント内のサポートされているリソースについてメトリックを問い合せる機能。詳細は、「クエリーの作成」を参照してください。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。アクセス範囲を特定のコンパートメント内のメトリックのみに減らすには、テナンシのかわりにそのコンパートメントを指定します。 

Allow group <group_name> to read metrics in compartment <compartment_name>
特定のメトリック・ネームスペースへの問合せの制限

アクセス・タイプ:特定のメトリック・ネームスペースのリソースについてメトリックを問い合せる機能。詳細は、「クエリーの作成」を参照してください。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。指定されたメトリック・ネームスペースのアクセスの範囲を特定のコンパートメント内のみに減らすには、テナンシのかわりにそのコンパートメントを指定します。 

Allow group <group_name> to read metrics in compartment <compartment_name>
  where target.metrics.namespace='<metric_namespace>'
ユーザーによるカスタム・メトリックの公開

アクセス・タイプ:特定のメトリック・ネームスペースの下にあるカスタム・メトリックモニタリング・サービスに公開する機能、メトリック・データの表示、アラームおよびトピックの作成、およびアラーム付きのストリームの使用。カスタム・メトリックの公開の詳細は、カスタム・メトリックの公開を参照してください。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメントのメトリックのみにアクセス範囲を狭くするには、テナンシのかわりにコンパートメントを指定します。

ノート

ストリームの選択に必要な権限にグループを制限するには、use streams{STREAM_READ, STREAM_PRODUCE}に置き換えます。
Allow group <group_name> to use metrics in tenancy 
  where target.metrics.namespace=<metric_namespace>'
Allow group <group_name> to read metrics in tenancy
Allow group <group_name> to manage alarms in tenancy
Allow group <group_name> to manage ons-topics in tenancy
Allow group <group_name> to use streams in tenancy
インスタンスでのテナンシのモニタリング・メトリックにアクセスするAPIコールの実行

アクセス・タイプ:モニタリング・メトリックにアクセスするために モニタリングAPIを呼び出す機能。APIリクエストの発生元のインスタンスは、ポリシーに示される動的グループのメンバーである必要があります。APIをコールするコンピュート・インスタンスの詳細は、インスタンスからのサービスのコールを参照してください。

ポリシーを作成する場所: テナンシ内。 

Allow dynamic-group MetricInstances to read metrics in tenancy
ユーザーによるアラームの表示

アクセス・タイプ: アラーム詳細の取得およびアラーム履歴の取得機能。アラームを作成したり、トピックを作成または削除したりする機能は含まれません。

ポリシーを作成する場所: テナンシ内。ポリシー継承の概念により、グループは任意のコンパートメントのアラームを表示できます。特定のコンパートメントへのアクセスの範囲を減らすには、テナンシのかわりにコンパートメントを指定します。 

Allow group <group_name> to read alarms in tenancy
Allow group <group_name> to read metrics in tenancy
ユーザーによるアラームの管理

アクセス・タイプ:通知にストリームおよび既存のトピックを使用して、アラームを管理する機能。トピックを作成または削除する機能は含まれません。

ポリシーを作成する場所: テナンシ内。ポリシー継承の概念により、グループは、任意のコンパートメントでアラームを表示および作成できるようになります。特定のコンパートメントへのアクセスの範囲を減らすには、テナンシのかわりにコンパートメントを指定します。 

Allow group <group_name> to manage alarms in tenancy
Allow group <group_name> to read metrics in tenancy
Allow group <group_name> to use ons-topics in tenancy
Allow group <group_name> to use streams in tenancy
ユーザーによるアラームの管理およびトピックの作成

アクセス・タイプ:アラームを管理する機能(通知のトピック(およびサブスクリプション)の作成(および通知のストリームの使用)。

ポリシーを作成する場所: テナンシ内。ポリシー継承の概念により、グループは、任意のコンパートメントでアラームを表示および作成できるようになります。特定のコンパートメントへのアクセスの範囲を減らすには、テナンシのかわりにコンパートメントを指定します。 

Allow group <group_name> to manage alarms in tenancy
Allow group <group_name> to read metrics in tenancy
Allow group <group_name> to manage ons-topics in tenancy
Allow group <group_name> to use streams in tenancy
ユーザーによる使用状況レポートへのアクセス

アクセス・タイプ: テナンシの使用状況レポートを表示する機能。使用状況レポートの詳細は、コストおよび使用状況レポートの概要を参照してください。

ポリシーの作成場所: これは特殊なクロス・テナンシ・ポリシーであり、テナンシ内に作成する必要があります。詳細は、コストおよび使用状況レポートへのアクセスに関する項を参照してください。 

define tenancy usage-report as ocid1.tenancy.oc1..aaaaaaaaned4fkpkisbwjlr56u7cj63lf3wffbilvqknstgtvzub7vhqkggq
				endorse group Administrators to read objects in tenancy usage-report
ユーザーによるコストの分析

アクセス権タイプ: テナンシのコストを表示する権限。経費と使用状況の確認を参照してください。

ポリシーを作成する場所: テナンシ内。<Example_Group>のユーザーがアカウント全体のコストを確認できるようになります。

Allow group <Example_Group> to read usage-reports in tenancy
グループにトピックとサブスクリプションの管理を許可する

アクセス・タイプ:テナンシ内のトピックを取得、作成、更新および削除する機能、およびテナンシ内の異なるコンパートメントにトピックを移動する機能。また、テナンシでサブスクリプションを作成し、テナンシのすべてのサブスクリプションにメッセージ(ブロードキャスト通知メッセージ)を公開する機能も含まれます。

ポリシーを作成する場所: テナンシ内。 

Allow group TopicManagers to manage ons-topics in tenancy
グループにサブスクリプションの管理を許可

アクセス・タイプ:テナンシのトピックのサブスクリプションをリスト、作成、更新および削除する機能。サブスクリプションをテナンシ内の異なるコンパートメントに移動する機能。

ポリシーを作成する場所: テナンシ内。 

Allow group SubscriptionUsers to manage ons-subscriptions in tenancy
グループによるトピックへのメッセージの公開の許可

アクセス・タイプ:テナンシ内のすべてのサブスクリプションに通知メッセージをブロードキャストし、テナンシ内のサブスクリプションをリスト、作成、更新および削除する機能。

ポリシーを作成する場所: テナンシ内。 

Allow group TopicUsers to use ons-topics in tenancy
ユーザーによるクラウド・シェルを使用したファンクションおよびアプリケーションの作成、デプロイおよび管理

アクセス・タイプ:クラウド・シェルを使用してOCI Functionsアプリケーションおよびファンクションを作成、デプロイおよび管理する機能。これらのポリシー・ステートメントにより、クラウド・シェル、Oracle Cloud Infrastructure Registry内のリポジトリ、ログ、メトリック、ファンクション、ネットワークおよびトレースへのアクセス権がグループに付与されます。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメント内のリソースのみにアクセス範囲を減らすには、ほとんどのポリシー・ステートメントでテナンシのかわりにそのコンパートメントを指定します。ただし、to use cloud-shellto manage reposおよびto read objectstorage-namespacesでは、常にテナンシにスコープ設定する必要があります。


Allow group functions-developers to use cloud-shell in tenancy
Allow group functions-developers to manage repos in tenancy
Allow group functions-developers to read objectstorage-namespaces in tenancy
Allow group functions-developers to manage logging-family in tenancy
Allow group functions-developers to read metrics in tenancy
Allow group functions-developers to manage functions-family in tenancy
Allow group functions-developers to use virtual-network-family in tenancy
Allow group functions-developers to use apm-domains in tenancy
Allow group functions-developers to read vaults in tenancy
Allow group functions-developers to use keys in tenancy
Allow service faas to use apm-domains in tenancy
Allow service faas to read repos in tenancy where request.operation='ListContainerImageSignatures'
Allow service faas to {KEY_READ} in tenancy where request.operation='GetKeyVersion'
Allow service faas to {KEY_VERIFY} in tenancy where request.operation='Verify'
ユーザーによるコンパートメント内のイベント・ルールのリスト

アクセス・タイプ: イベント・ルールをリストできるかどうか。

ポリシーを作成する場所: テナンシ内。 

Allow group RuleReaders to read cloudevents-rules in tenancy

前述のポリシーを使用すると、RuleReadersはテナンシのルールをリストできます。

管理者によるコンパートメント内のイベント・ルールの管理

アクセス・タイプ:ルールの作成、削除、更新など、イベント・ルールを管理する機能。

ポリシーを作成する場所: テナンシ内。

この行では、ユーザーにコンパートメントのリソースへの検査アクセス権が付与され、処理が選択されます。 

allow group <RuleAdmins> to inspect compartments in tenancy

この行では、ユーザーに、定義済のタグへのアクセス権を付与して、フィルタ・タグをルールに適用します。

allow group <RuleAdmins> to use tag-namespaces in tenancy

次の行では、ユーザーに処理のためのストリーミング・リソースのアクセス権を付与します

allow group <RuleAdmins> to inspect streams in tenancy
allow group <RuleAdmins> to use stream-push in tenancy
allow group <RuleAdmins> to use stream-pull in tenancy

次の行では、ユーザーに処理のための関数リソースのアクセス権を付与します。 

allow group <RuleAdmins> to use virtual-network-family in tenancy
allow group <RuleAdmins> to manage function-family in tenancy

この行では、処理のための通知トピックのアクセス権をユーザーに付与します。 

allow group <RuleAdmins> to use ons-topic in tenancy

この行では、ユーザーにイベントのルールに対する管理アクセス権が付与されます。 

allow group <RuleAdmins> to manage cloudevents-rules in tenancy
グループによるクラウド・ガードのすべてへのアクセスの許可

アクセス・タイプ: クラウド・ガードのすべてへの読取り専用アクセス。ポリシーの例では、グループは「CloudGuard_ReadOnly」です。

allow group CloudGuard_ReadOnly to read cloud-guard-family in tenancy
allow group CloudGuard_ReadOnly to read compartments in tenancy
allow group CloudGuard_ReadOnly to read announcements in tenancy
グループによるクラウド・ガードの問題へのアクセスの許可

アクセス・タイプ: クラウド・ガードの問題への読取り専用アクセス。ポリシーの例では、グループは「CloudGuard_ReadOnlyProblems」です。

allow group CloudGuard_ReadOnlyProblems to read cloud-guard-family in tenancy
allow group CloudGuard_ReadOnlyProblems to inspect cloud-guard-detectors in tenancy
allow group CloudGuard_ReadOnlyProblems to inspect cloud-guard-targets in tenancy
allow group CloudGuard_ReadOnlyProblems to inspect cloud-guard-resource-types in tenancy
allow group CloudGuard_ReadOnlyProblems to read announcements in tenancy
allow group CloudGuard_ReadOnlyProblems to read compartments in tenancy
allow group CloudGuard_ReadOnlyProblems to read cloud-guard-config in tenancy
グループによるクラウド・ガード・ディテクタ・レシピへのアクセスの許可

アクセス・タイプ: クラウド・ガード・ディテクタ・レシピへの読取り専用アクセス。ポリシーの例では、グループは「CloudGuard_ReadOnlyDetectors」です。

allow group CloudGuard_ReadOnlyDetectors to read cloud-guard-detector-recipes in tenancy
allow group CloudGuard_ReadOnlyDetectors to read announcements in tenancy
allow group CloudGuard_ReadOnlyDetectors to read compartments in tenancy
allow group CloudGuard_ReadOnlyDetectors to read cloud-guard-config in tenancy
グループによる単一コンパートメント内のクラウド・ガードへのアクセスの許可

アクセス・タイプ: 単一コンパートメント内のクラウド・ガードへの読取り専用アクセス。ポリシーの例では、グループは「CloudGuard_ReadOnly_SingleCompartment」で、コンパートメント名は「cgDemo_RestrictedAccess」です。

allow group CloudGuard_ReadOnly_SingleCompartment to read compartments in tenancy where target.compartment.name = 'cgDemo_RestrictedAccess'
allow group CloudGuard_ReadOnly_SingleCompartment to read cloud-guard-family in compartment cgDemo_RestrictedAccess
allow group CloudGuard_ReadOnly_SingleCompartment to read announcements in compartment cgDemo_RestrictedAccess
allow group CloudGuard_ReadOnly_SingleCompartment to read cloud-guard-config in tenancy
グループがテナンシ全体でのフル・スタック・ディザスタ・リカバリ操作のすべての側面を管理できるようにします

アクセス・タイプ: すべてのフル・スタック・ディザスタ・リカバリ操作のスーパーユーザーとしてのグループを許可する機能。

ポリシーを作成する場所: テナント内
Allow group DRUberAdmins to manage disaster-recovery-family in tenancy
グループがフル・スタック・ディザスタ・リカバリ構成を作成し、事前チェックを実行できるようにします

アクセス・タイプ: グループが障害回復(DR)保護グループ、DRプランの作成および事前チェックの実行を許可するが、実際にはDRプラン実行を作成できない機能。

ポリシーを作成する場所: コンパートメント内。

Allow group DRMonitors to manage disaster-recovery-protection-groups in compartment ApplicationERP
Allow group DRMonitors to manage disaster-recovery-plans in compartment ApplicationERP
Allow group DRMonitors to manage disaster-recovery-prechecks in compartment ApplicationERP
ユーザーのグループが特定のコンパートメントにフル・スタック・ディザスタ・リカバリ構成を作成することを許可します

アクセス・タイプ: グループによる障害回復(DR)保護グループおよびDRプランの作成を許可するが、DRプランの実行または事前チェックは作成できない機能。

ポリシーを作成する場所: コンパートメント内。
Allow group DRConfig to manage disaster-recovery-protection-groups in compartment ApplicationERP
Allow group DRConfig to manage disaster-recovery-plans in compartment ApplicationERP
オブジェクト・ストレージでのVaultのキーの使用を許可

アクセス・タイプ: KMSキーを使用するためにKMSと統合する他のサービス。

ポリシーを作成する場所:このポリシーをテナンシに配置する方法が最も簡単です。個々のコンパートメント(ABC)の管理者がコンパートメントの個々のポリシー・ステートメントを制御する場合は、

: Allow service objectstorage-<region> to use keys in compartment ABC where target.key.id = '<key_OCID>'

allow service objectstorage-<region> to use keys in compartment Compartments where target.key.id = ocid1.key.oc1..exampleuniqueID
セキュリティ管理者によるすべての要塞およびセッションの管理

アクセス・タイプ: すべてのコンパートメントの要塞サービスのすべてのリソースを管理する機能。これは、単一セットのセキュリティ管理者がすべてのコンパートメントのすべての要塞およびセッションを管理する場合に意味を持ちます。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメント内の要塞および要塞セッションのみにアクセス範囲を減らすには、テナンシのかわりにそのコンパートメントを指定します。

Allow group SecurityAdmins to manage bastion in tenancy
Allow group SecurityAdmins to manage bastion-session in tenancy
Allow group SecurityAdmins to manage virtual-network-family in tenancy
Allow group SecurityAdmins to read instance-family in tenancy
Allow group SecurityAdmins to read instance-agent-plugins in tenancy
Allow group SecurityAdmins to inspect work-requests in tenancy
セキュリティ管理者による要塞セッションの管理

アクセス・タイプ: すべての要塞およびすべてのコンパートメントのすべてのセッションを管理する機能(セッションの作成、接続および終了を含む)。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。特定のコンパートメント内の要塞セッションのみにアクセス範囲を減らすには、テナンシのかわりにそのコンパートメントを指定します。 

Allow group SecurityAdmins to use bastion in tenancy
Allow group SecurityAdmins to manage bastion-session in tenancy
Allow group SecurityAdmins to manage virtual-network-family in tenancy
Allow group SecurityAdmins to read instance-family in tenancy
Allow group SecurityAdmins to read instance-agent-plugins in tenancy
Allow group SecurityAdmins to inspect work-requests in tenancy
セキュリティ管理者がコンパートメント内の特定のターゲット・ホストの要塞セッションを管理できるようにします

アクセス・タイプ: 特定のコンパートメント内の要塞セッションを管理する機能(特定のコンピュート・インスタンスに接続を提供するセッションのみが対象)。

ポリシーを作成する場所:ポリシー継承を介してすべてのコンパートメントにアクセス権が容易に付与されるようにするため、テナンシ。

Allow group SecurityAdmins to use bastion in compartment ABC
Allow group SecurityAdmins to manage bastion-session in compartment ABC where ALL {target.resource.ocid='<instance_OCID>', target.bastion-session.username='<session_username>'}
Allow group SecurityAdmins to manage virtual-network-family in tenancy
Allow group SecurityAdmins to read instance-family in tenancy
Allow group SecurityAdmins to read instance-agent-plugins in tenancy
Allow group SecurityAdmins to inspect work-requests in tenancy
セキュリティ管理者によるすべてのコンパートメント内のインスタンス・スキャンの構成

アクセス・タイプ: Oracle Cloud Infrastructure Vulnerability Scanning Serviceを構成してすべてのコンパートメント内のすべてのコンピュートインスタンスをスキャンし、スキャン結果を表示する機能。単一セットのセキュリティ管理者がすべてのインスタンスの脆弱性スキャンを構成する場合は、このポリシーを検討してください。

ポリシーを作成する場所: ポリシー継承を介してすべてのコンパートメントにアクセス権が付与されるようにするため、テナンシ。特定のコンパートメント内のコンピュート・インスタンスのみにアクセス範囲を減らすには、テナンシのかわりにそのコンパートメントを指定します。

Allow group SecurityAdmins to manage vss-family in tenancy
Allow service vulnerability-scanning-service to manage instances in tenancy
Allow service vulnerability-scanning-service to read compartments in tenancy
Allow service vulnerability-scanning-service to read vnics in tenancy
Allow service vulnerability-scanning-service to read vnic-attachments in tenancy
ユーザーによるすべてのコンパートメント内の脆弱性スキャン結果の表示

アクセス・タイプ: セキュリティ脆弱性を検出するために、すべてのコンパートメント内のコンピュートインスタンスのスキャン結果を表示する機能。専門チームがテナンシ全体のセキュリティの確認または監査を担当する場合は、このポリシーを検討してください。

ポリシーを作成する場所: ポリシー継承を介してすべてのコンパートメントにアクセス権が付与されるようにするため、テナンシ。特定のコンパートメント内のスキャン結果のみにアクセス範囲を減らすには、テナンシのかわりにそのコンパートメントを指定します。

Allow group SecurityReviewers to read vss-family in tenancy
グループにコネクタの管理を許可する

アクセス・タイプ:テナンシ内のコネクタをリスト、作成、更新および削除する機能。テナント内の別のコンパートメントにコネクタを移動する機能。

ポリシーを作成する場所: テナンシ内。

Allow group A-Admins to manage serviceconnectors in tenancy

IAMポリシー(コネクタ・ハブの保護)も参照してください。

グループがテナンシでOps Insights収集操作を呼び出すことを許可します

アクセス・タイプ:テナンシ・レベルでのみOps Insights収集操作をコールする機能。

ポリシーを作成する場所: テナンシ内。

allow group opsi-users to use opsi-database-insights in tenancy 
where any 
{request.operation='IngestSqlBucket', 
request.operation='IngestSqlText',
request.operation='IngestSqlPlanLines'}
ユーザーによるネットワーキングのないワークスペースの作成および削除(データ統合)

コンパートメント内のワークスペースを作成、削除および変更する機能。

allow group <group-name> to manage dis-workspaces in <compartment-name>
allow group <group-name> to manage dis-work-requests in <compartment-name>
allow group <group-name> to manage tag-namespaces in <compartment-name>
ユーザーによるネットワーキングのあるワークスペースの作成および削除(データ統合)

仮想ネットワーク内のワークスペースを作成、削除および変更する機能。

allow service dataintegration to use virtual-network-family in <compartment-name>
allow group <group-name> to manage dis-workspaces in <compartment-name>
allow group <group-name> to manage dis-work-requests in <compartment-name>
allow group <group-name> to use virtual-network-family in <compartment-name>
allow group <group-name> to manage tag-namespaces in <compartment-name>
ユーザーおよびリソース・プリンシパルによる指定ワークスペースのオブジェクト・ストレージへのアクセスおよび使用(データ統合)

すべてのワークスペース内でオブジェクト・ストレージ・データ・アセットを作成および使用する機能。

allow any-group to use buckets in <compartment-name> where ALL {request.principal.type='disworkspace'}
allow any-group to manage objects in <compartment-name> where ALL {request.principal.type='disworkspace'}
allow group <group-name> to use object-family in <compartment-name>

個々のワークスペースへのアクセス権を付与するには、アクセスを許可するワークスペースのOCIDを指定します。例:

allow any-group to use buckets in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}
allow any-group to manage objects in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}
ユーザーおよびリソース・プリンシパルによる指定ワークスペースのターゲットとしてのAutonomous Databaseへのアクセスおよび使用(データ統合)

すべてのワークスペース内でAutonomous Databaseデータ・アセットを作成および使用する機能。

allow any-group to use buckets in <compartment-name> where ALL {request.principal.type='disworkspace'}
allow any-group to manage objects in <compartment-name> where ALL {request.principal.type='disworkspace'}
allow group <group-name> to use object-family in <compartment-name>
allow any-group to manage buckets in <compartment-name> where ALL {request.principal.type='disworkspace', request.permission='PAR_MANAGE'}

個々のワークスペースへのアクセス権を付与するには、アクセスを許可するワークスペースのOCIDを指定します。例:

allow any-group to use buckets in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}
allow any-group to manage objects in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}
allow any-group to manage buckets in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>', request.permission='PAR_MANAGE'}
ユーザーによる新規コンパートメントへのワークスペースの移動(データ統合)

新規コンパートメントにワークスペースを移動する機能。

allow service dataintegration to inspect compartments in <compartment-name>
allow group <group-name> to manage dis-workspaces in <compartment-name>
ユーザーによるOCIデータ・フロー・サービスへのタスクの公開(データ統合)

すべてのワークスペース内の様々なタスクをOCIデータ・フロー・サービスに公開する機能。

allow any-group to manage dataflow-application in <compartment-name> where ALL {request.principal.type='disworkspace'}

個々のワークスペースへのアクセス権を付与するには、アクセスを許可するワークスペースのOCIDを指定します。例:

allow any-group to manage dataflow-application in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}
ユーザーによる指定ワークスペースのOCIボールト・サービスへのアクセス(データ統合)

すべてのワークスペース内のOCIボールト・シークレットを使用する機能。

allow any-group to read secret-bundles in <compartment-name> where ALL {request.principal.type='disworkspace'}
allow group <group-name> to read secret-bundles in <compartment-name>

個々のワークスペースへのアクセス権を付与するには、アクセスを許可するワークスペースのOCIDを指定します。例:

allow any-group to read secret-bundles in <compartment-name> where ALL {request.principal.type='disworkspace', request.principal.id='<workspace-ocid>'}
管理者によるお知らせのサブスクリプションの管理

アクセス・タイプ: Oracle Cloud Infrastructureサービスの操作ステータスに関するお知らせを配信するサブスクリプションを管理する機能。

ポリシーを作成する場所:このポリシーをテナンシに配置する方法が最も簡単です。ポリシー継承の概念により、アクセス権を付与するグループは、任意のコンパートメントでお知らせのサブスクリプションを管理できます。特定のコンパートメントのお知らせにアクセス範囲を減らすには、テナンシのかわりにコンパートメントを指定します。

Allow group AnnouncementAdmins to manage announcement-subscriptions in tenancy

このポリシーによって、AnnouncementAdminsは、要約のお知らせのリストおよび特定のお知らせの詳細を表示できます。