ポリシー・ビルダーを使用したポリシー・ステートメントの記述

ポリシー・ビルダーの操作

コンソールのポリシー・ビルダーを使用すると、ポリシー・ステートメントを手動で入力することなく、共通ポリシーをすばやく作成できます。ポリシー・ビルダーでは、テナンシ内のユーザーまたはリソースのグループや、ターゲット・リソース(インスタンス、ネットワーク、バケットなど)に管理者が付与できる権限が自動的に提案されます。ポリシー・ビルダーで提案されるポリシーのほとんどは、共通ポリシーでも見つかります(ここで、各ポリシーによって提供されるアクセス権およびそれぞれのユース・ケースの詳細について学習できます)。ポリシー・ビルダーによって提供される提案を必要としないか、より複雑なポリシー要件のあるユーザーは、ビルダーの基本オプションを省略して、拡張エディタに直接進めます。そこでは、フリーフォーム・テキスト・ボックスにポリシー・ステートメントを直接入力できます。

ポリシー・ビルダーの機能

ポリシー・ビルダーには、テナンシのポリシーを作成するために完了できるポリシー・テンプレートが用意されています。ポリシー・テンプレートには、OCIのサービスでタスクまたは一連の関連タスクを実行する権限を付与するために必要なすべてのステートメントが含まれます。テンプレートを完了するには、テナンシの既存のグループのメニューからグループを選択し、テナンシのコンパートメントのリストから場所を選択します。

ポリシー・ビルダーのポリシー・テンプレートは、ネットワーク管理、ストレージ管理、アカウント管理などのユース・ケース別にグループ化されており、必要な権限セットを簡単に参照および検索できます。

たとえば、テナンシのネットワーク管理者を設定するとします。ネットワーキング・サービス内のすべてのリソースを操作するために必要な権限をユーザーのグループに付与する必要があります。このポリシーをポリシー・ビルダーで作成するには:

• 最初に、必要なポリシーを検索します: 「ポリシー・ユース・ケース」メニューから、「ネットワーク管理」を選択します。ポリシーが属するユース・ケースが不明な場合は、このオプションを「すべて」に設定したまますべてのテンプレートを参照できます。
• 「共通ポリシー・テンプレート」メニューから、「ネットワーク管理者がクラウド・ネットワークを管理できるようにします」を選択します。

  ポリシー・ビルダーに、作成されるポリシー・ステートメントが表示されます。この場合、ステートメントは1つのみです:

  Allow {group name} to manage virtual-network-family in {location}

• ここで必要な操作は、ポリシーのアイデンティティ・ドメインおよびグループを選択することのみです。グループを選択すると、表示されたポリシー・ステートメントの{group name}も選択内容で更新されます。
• 最後に、場所を選択します。コンパートメント階層を横断して、適切なコンパートメントを検索および選択できます。テナンシにポリシーを作成するには、ルート・コンパートメントを選択します。