ポリシー・リファレンス
動詞、リソース・タイプ、一般的な変数など、IAMポリシー・リファレンス・トピックの概要を取得します。
このリファレンスの内容は次のとおりです。
- 動詞:リソース・タイプとペアにする使用可能なアクションのリスト
- リソース・タイプ:メイン・リソース・タイプのリスト
- すべてのリクエストの一般的な変数:任意のリソース・タイプのポリシーを記述する際に使用できる変数
- サービス制限: テナンシの制限、割当て制限および使用状況をコンソールで表示します
- プロセス自動化の詳細
- アナリティクス・クラウド: ユーザーへのアナリティクス・クラウド・インスタンスを管理する権限の付与を参照してください
- お知らせサービスの詳細
- APIゲートウェイの詳細
- アプリケーション・パフォーマンス・モニタリングの詳細
- アーティファクト・レジストリ: アーティファクト・レジストリ・ポリシーを参照してください
- 監査サービスの詳細
- Autonomous Linux: Autonomous Linuxポリシーを参照してください
- Autonomous Recovery Service: Autonomous Recovery Serviceのポリシーを参照してください
- 要塞: 要塞ポリシーを参照してください
- ビッグ・データ・サービス: IAMポリシーのビッグ・データ・サービス・リソースおよび権限の理解を参照してください
- ブロックチェーン・プラットフォーム: Oracle Blockchain Platformを管理する権限とポリシーについてを参照してください
- 証明書サービスの詳細
- クラウド・アドバイザ: クラウド・アドバイザ・ポリシーの作成を参照してください
- クラウド・ガード: クラウド・ガード・ポリシーを参照してください
- Compute Cloud@Customerの詳細
- Container Engine for Kubernetesの詳細
- コンテナ・インスタンス: コンテナ・インスタンスのIAMポリシーを参照してください
- コア・サービスの詳細 (これにはネットワーキング、コンピュートおよびブロック・ボリュームが含まれます)
- コンテンツ管理: サービス・ポリシーを参照してください
- コンソール・ダッシュボード: コンソール・ダッシュボードのポリシー詳細を参照してください
- データ・カタログ: データ・カタログ・ポリシーを参照してください
- データ・フロー: データ・フロー・ポリシーを参照してください
- データ統合: データ統合ポリシーを参照してください
- データ・セーフ: Oracle Data SafeユーザーのIAMポリシーの作成を参照してください
- データ・サイエンス: データ・サイエンス・ポリシーを参照してください
- データベース・サービスの詳細
- データベース管理の詳細
- データベース移行: データベース移行ポリシーを参照してください
- PostgreSQLを使用したOCIデータベース: PostgreSQLポリシーを使用したOCIデータベースを参照してください
- DevOps: DevOpsポリシーを参照してください
- デジタル・アシスタント: デジタル・アシスタント・ポリシーを参照してください
- DNSサービスの詳細
- 電子メール配信サービスの詳細
- イベント・サービスの詳細
- ファイル・ストレージ・サービスの詳細
- ファンクションの詳細
- フル・スタックの障害時リカバリ: フル・スタックの障害時リカバリ・ポリシーを参照してください
- グローバル分散Autonomous Database: グローバル分散Autonomous Databaseポリシーを参照してください
- GoldenGate: Oracle Cloud Infrastructure GoldenGateポリシーを参照してください
- ヘルス・チェックの詳細
- アイデンティティ・ドメインのないIAMの詳細
- Integration Generation 2およびIntegration 3については、Oracle Integrationの詳細を参照してください。
- Java管理サービスの詳細
- ライセンス・マネージャの詳細
- ロード・バランシングの詳細
- ロギングの詳細
- ログ・アナリティクスの詳細
- 管理エージェントの詳細
- 管理ダッシュボードの詳細
- マーケットプレイス・サービスの詳細
- メディア・サービス: メディア・フロー・ポリシーおよびメディア・ストリーム・ポリシーを参照してください
- モニタリングの詳細
- MySQL Heatwave: IAMポリシーを参照してください
- NoSQL Database Cloud: NoSQL Database Cloudの詳細を参照してください
- Oracle Cloud移行: Oracle Cloud移行ポリシーを参照してください
- 通知の詳細
- ネットワーク・ファイアウォール・ポリシー・リファレンス
- オブジェクト・ストレージ、アーカイブ・ストレージおよびデータ転送の詳細
- OCI Control Center: コントロール・センター・ポリシーを参照してください
- Opsインサイトの詳細
- OS管理: OS管理ポリシー・リファレンスを参照してください
- OS管理ハブ: OS管理ハブ・ポリシーを参照してください
- プロセス自動化の詳細
- キューの詳細
- 割当てサービスの詳細
- コンテナ・レジストリの詳細
- リソース・マネージャの詳細
- 検索サービスの詳細
- セキュア・デスクトップの詳細
- セキュリティ・ゾーン: クラウド・ガード・ポリシーを参照してください
- コネクタ・ハブの詳細
- サービス・メッシュ: サービス・メッシュIAMポリシーを参照してください
- ストリーミング・サービスの詳細
- 登録、請求書および支払履歴の詳細
- 脅威インテリジェンス: 脅威インテリジェンス・ポリシーを参照してください
- ボールト・サービスの詳細
- Visual Builder: 入力変数を参照してください
- Visual Builder Studio: VB StudioのIAMポリシーの詳細を参照してください
- Oracle Cloud VMwareソリューションの詳細
- 組織管理の詳細
- 脆弱性スキャン: スキャン・ポリシーを参照してください
- WAFサービスの詳細
- Webアプリケーション・アクセラレーション・サービスの詳細
コンソールまたはAPIを使用してポリシーを作成および管理する手順については、ポリシーの操作の概要を参照してください。
動詞
動詞は、最も少ない機能から順に一覧表示されています。各動詞の正確な意味は、どのリソース・タイプと組み合せられているかによって異なります。この項の後半の表では、動詞とリソース・タイプの組合せでカバーされるAPI操作を示します。
| 動詞 | カバーされるアクセスのタイプ | ターゲット・ユーザー |
|---|---|---|
inspect
|
リソースに含まれる可能性がある機密情報またはユーザー指定メタデータにはアクセスせずに、リソースをリストできる権限。重要: ポリシーをリストする操作ではポリシー自体の内容が対象となり、ネットワーキング・リソース・タイプのリスト操作ではすべての情報(セキュリティ・リストおよびルート表の内容など)が返されます。 | サードパーティ監査者 |
read
|
inspectに加えて、ユーザー指定のメタデータと実際のリソース自体を取得する機能が含まれます。 |
内部監査者 |
use
|
readに、既存のリソースを操作する機能を追加します(アクションはリソース・タイプによって異なります)。リソースの更新機能が含まれますが、「更新」操作が「作成」操作と同じ効果的な影響を及ぼすリソース・タイプ(UpdatePolicy、UpdateSecurityListなど)は除きます。この場合、「更新」機能はmanage動詞でのみ使用できます。一般に、この動詞には、そのタイプのリソースを作成または削除する機能はありません。 |
リソースの日常的なエンド・ユーザー |
manage
|
リソースのすべての権限が含まれます。 | 管理者 |
リソース・タイプ
次に、いくつかの共通ファミリ・リソース・タイプを示します。各ファミリを構成する個々のリソース・タイプは、リンクに従います。
all-resources:すべてのOracle Cloud Infrastructureリソース・タイプcluster-family: Container Engine for Kubernetesの詳細を参照してくださいcompute-management-family: コア・サービスの詳細を参照してくださいdata-catalog-family: データ・カタログ・ポリシーを参照してくださいdata-science-family: データ・サイエンス・ポリシーを参照してくださいdatabase-family:データベース・サービスの詳細を参照してくださいdatasafe-family-resources: Oracle Data SafeのOCIリソースに関する項を参照してくださいdns:DNSサービスの詳細を参照してくださいemail-family: 電子メール配信サービスの詳細を参照してくださいfile-family:ファイル・ストレージ・サービスの詳細を参照してくださいinstance-agent-command-family: コア・サービスの詳細を参照してくださいinstance-agent-family: コア・サービスの詳細を参照してくださいinstance-family:コア・サービスの詳細を参照してくださいobject-family:オブジェクト・ストレージ、アーカイブ・ストレージおよびデータ転送の詳細を参照してくださいoptimizer-api-family: クラウド・アドバイザ・ポリシーの作成を参照してくださいvirtual-network-family:コア・サービスの詳細を参照してくださいvolume-family:コア・サービスの詳細を参照してください
IAMにはファミリ・リソース・タイプはなく、個々のタイプのみが含まれます。テナンシにアイデンティティ・ドメインがあるかどうかに応じて、アイデンティティ・ドメインのあるIAMの詳細またはアイデンティティ・ドメインのないIAMの詳細を参照してください。
すべてのリクエストの一般的な変数
ポリシーに条件を追加する場合は、変数を使用します。詳細は、条件を参照してください。次に、すべてのリクエストに適用される一般的な変数を示します。
| 名前 | タイプ | 説明 |
|---|---|---|
request.user.id
|
エンティティ(OCID) | リクエスト・ユーザーのOCID。 |
request.user.name |
文字列 | リクエストしているユーザーの名前。 |
request.user.mfaTotpVerified
|
ブール型 |
ユーザーがマルチファクタ認証(MFA)で検証されたかどうか。MFA検証済ユーザーのみにアクセスを制限するには、条件を追加します
MFAの設定の詳細は、マルチファクタ認証の管理を参照してください。 |
request.groups.id
|
エンティティのリスト(OCID) | リクエストしているユーザーが属するグループのOCID。 |
request.permission
|
文字列 | リクエストされている基礎となる権限(権限を参照)。 |
request.operation
|
文字列 | リクエストされているAPI操作名(ListUsersなど)。 |
request.networkSource.name
|
文字列 | リクエストの発行を許可されるIPアドレスを指定するネットワーク・ソース・グループの名前。詳細は、ネットワーク・ソースの管理を参照してください。 |
request.utc-timestamp |
文字列 | リクエストが送信されるUTC時間(ISO 8601フォーマットで指定)。詳細は、時間枠に基づいたリソースへのアクセスの制限を参照してください。 |
request.utc-timestamp.month-of-year |
文字列 | リクエストが送信される月('1'、'2'、'3'、... '12'などの数値のISO 8601フォーマットで指定)。詳細は、時間枠に基づいたリソースへのアクセスの制限を参照してください。 |
request.utc-timestamp.day-of-month |
文字列 | リクエストが送信される該当月の日(数値フォーマット'1' - '31'で指定)。詳細は、時間枠に基づいたリソースへのアクセスの制限を参照してください。 |
request.utc-timestamp.day-of-week |
文字列 | リクエストが送信される曜日('Monday'、'Tuesday'、'Wednesday'などの英語で指定)。詳細は、時間枠に基づいたリソースへのアクセスの制限を参照してください。 |
request.utc-timestamp.time-of-day |
文字列 | リクエストが送信されるUTC時間間隔('01:00:00Z' AND '02:01:00Z'などのISO 8601フォーマット)。詳細は、時間枠に基づいたリソースへのアクセスの制限を参照してください。 |
request.region
|
文字列 |
リクエストが発行されるリージョンの3文字のキー。指定できる値は次のとおりです。 ノート: 割当てポリシーの場合、次の3文字のキー値のかわりにリージョン名を指定する必要があります。詳細は、サンプル目標も参照してください。
|
request.ad
|
文字列 | リクエストが発行される可用性ドメインの名前。可用性ドメイン名のリストを取得するには、ListAvailabilityDomains操作を使用します。 |
request.principal.compartment.tag
|
文字列 | リクエストしているリソースが属するコンパートメントに適用されたタグが一致しているかどうかが評価されます。使用手順は、タグを使用したアクセスの管理を参照してください。 |
request.principal.group.tag
|
文字列 | ユーザーが属するグループに適用されるタグが一致するかどうかが評価されます。使用手順は、タグを使用したアクセスの管理を参照してください。 |
target.compartment.name
|
文字列 | target.compartment.idで指定されたコンパートメントの名前。 |
target.compartment.id
|
エンティティ(OCID) |
プライマリ・リソースを含むコンパートメントのOCID。 ノート: |
target.resource.compartment.tag
|
文字列 | リクエストのターゲット・コンパートメントに適用されるタグが評価されます。使用手順は、タグを使用したアクセスの管理を参照してください。 |
target.resource.tag
|
文字列 | リクエストのターゲット・リソースに適用されるタグが評価されます。使用手順は、タグを使用したアクセスの管理を参照してください。 |