アイデンティティ・ドメインを使用しないIAMの既知の問題
アイデンティティ・ドメインを使用しないIAMでは、次の既知の問題が特定されています。
グループまたは動的グループを名前で指定するポリシーによって付与される権限が、名前が変わっても存続する
- 詳細
- 名前でグループまたは動的グループを参照するポリシー・ステートメントは、グループ名または動的グループ名を変更した場合にも有効なままです。グループまたは動的グループに以前の名前で付与されたアクセス権が存続します。ポリシーは、グループまたは動的グループのメンバーにリソースへのアクセス権を付与し続けます。ポリシー・ステートメント自体は変更されません。このようになるのは、IAMによってポリシーが名前ではなくサブジェクトOCIDに適用されるためです。
- 回避策
- Oracleでは、ポリシー・ステートメントを更新して、目的のグループ名または動的グループ名の最新状態を維持するか、かわりにサブジェクトOCIDsを参照することを強くお薦めします。また、参照が最新ではなく必要なくなったポリシー・ステートメントは削除してください。
リソース・タイプ内の新しい権限は伝播されない
- 詳細
- 新しい権限が既存のリソース・タイプに追加された場合、その権限はリソース・タイプを含むポリシーに伝播されません。これは、ポリシー・ステートメントに対する変更がないかぎり、IAMがポリシーを再コンパイルしないために発生します。
- 回避策
- resource-typesを使用する既存のポリシーで、新しい権限がresource-typeに追加された場合は、空白を追加してポリシーを編集します。次に、ポリシーを保存します。
削除したコンパートメントがサービス制限に対して引き続きカウントされます
- 詳細
- 削除したコンパートメントが、テナンシのコンパートメント・サービス制限に対して引き続きカウントされます。削除されたコンパートメントがカウントから除外されるのは90日後です。これは、削除したコンパートメントの期間をコンソールに引き続き表示するように指定する設定でもあります。
- 回避策
- この問題が解決されるまで、コンパートメントのサービス制限を増やすようにリクエストできます。「サービス制限の引上げのリクエスト」を参照してください。