動詞
ポリシーで使用できる動詞。
Oracleでは、ポリシーで使用できる動詞を定義します。次に、アクセスの低い順に動詞の概要を示します。
| 動詞 | カバーされるアクセスのタイプ | ターゲット・ユーザー |
|---|---|---|
inspect
|
リソースに含まれる可能性がある機密情報またはユーザー指定メタデータにはアクセスせずに、リソースをリストできる権限。重要: ポリシーをリストする操作ではポリシー自体の内容が対象となり、ネットワーキング・リソース・タイプのリスト操作ではすべての情報(セキュリティ・リストおよびルート表の内容など)が返されます。 | サードパーティ監査者 |
read
|
inspectに加えて、ユーザー指定のメタデータと実際のリソース自体を取得する機能が含まれます。 |
内部監査者 |
use
|
readに、既存のリソースを操作する機能を追加します(アクションはリソース・タイプによって異なります)。リソースの更新機能が含まれますが、「更新」操作が「作成」操作と同じ効果的な影響を及ぼすリソース・タイプ(UpdatePolicy、UpdateSecurityListなど)は除きます。この場合、「更新」機能はmanage動詞でのみ使用できます。一般に、この動詞には、そのタイプのリソースを作成または削除する機能はありません。 |
リソースの日常的なエンド・ユーザー |
manage
|
リソースのすべての権限が含まれます。 | 管理者 |
動詞は、特定の一般的なアクセスのタイプ(たとえば、inspectを指定すると、リソースをリストして取得できます)を提供します。次に、そのアクセスのタイプをポリシー内の特定のリソース・タイプと結合する場合(たとえばAllow group XYZ to inspect compartments in the tenancy)、そのグループに特定のセットの権限とAPI操作(ListCompartments、GetCompartmentなど)のアクセス権を付与えます。詳細な例は、動詞とリソース・タイプの組合せの詳細を参照してください。ポリシー・リファレンスには各サービスについて同様の表が含まれ、動詞とリソース・タイプの各組合せについてどのAPI操作が対象かが正確にリストされて提供されます。
特定のリソース・タイプには、いくつかの特別な例外や微妙な違いがあります。
ユーザー: manage usersとmanage groupsの両方へのアクセス権によって、ユーザーおよびグループの作成および削除、グループに対するユーザーの追加/削除など、ユーザーおよびグループに対してあらゆる操作を実行できます。ユーザーとグループの作成および削除のためのアクセス権なしでグループのユーザーを追加/削除するには、use usersとuse groupsの両方のみが必要です。共通ポリシーを参照してください。
ポリシー:ポリシーの更新は新規ポリシーの作成と同様であるため、ポリシーを更新する機能は、use policiesではなくmanage policiesでのみ使用可能です(既存のポリシー・ステートメントは上書きできます)。また、inspect policiesを使用すると、ポリシーの全コンテンツを取得できます。
オブジェクト・ストレージ・オブジェクト: inspect objectsによって、バケット内のすべてのオブジェクトをリストし、特定のオブジェクトに対してHEAD操作を実行できます。また、read objectsでは、オブジェクト自体をダウンロードできます。
Load Balancerリソース: inspect load-balancersによって、ロード・バランサや関連コンポーネント(バックエンド・セットなど)に関するすべての情報を取得できます。
ネットワーキング・リソース:
inspect動詞では、クラウド・ネットワークのコンポーネント(セキュリティ・リストまたはルート表の名前とOCIDなど)に関する一般情報が戻されるだけではありません。コンポーネントのコンテンツ(たとえば、セキュリティ・リスト内の実際のルール、ルート表内のルートなど)も含まれます。
また、次のタイプの機能はmanage動詞でのみ使用でき、use動詞では使用できません。
internet-gatewaysの更新(有効化/無効化)security-listsの更新route-tablesの更新dhcp-optionsの更新- 仮想クラウド・ネットワーク(VCN)への動的ルーティング・ゲートウェイ(DRG)のアタッチ
- DRGと顧客構内機器(CPE)間のIPSec接続の作成
- ピアVCN
各VCNには、ネットワークの動作に直接影響する様々なコンポーネント(ルート表、セキュリティ・リスト、DHCPオプション、インターネット・ゲートウェイなど)があります。これらのコンポーネントのいずれかを作成する場合、そのコンポーネントとVCNの間の関係を確立します。つまり、コンポーネントを作成してVCN自体を管理することがポリシーで許可されている必要があります。ただし、(ルート・ルールやセキュリティ・リスト・ルールなどを変更するため)そのコンポーネントを更新する機能は、コンポーネントを変更してネットワークの動作に直接影響する場合でも、VCN自体を管理する権限を必要としません。これは、ユーザーに最低限の権限を付与する柔軟性を提供するためであり、ユーザーがネットワークの他のコンポーネントを管理できるように、VCNに過度のアクセス権を付与する必要はありません。特定のタイプのコンポーネントを更新する機能をユーザーに提供することで、ネットワークの動作の制御を暗黙的に信頼することになるので注意してください。