証明書サービスの詳細

リソースへのアクセスを制御するポリシーを記述できるように、証明書サービスの権限の詳細について学習します。

このトピックでは、権限を付与できるリソース・タイプ、ポリシーに条件を追加するときに使用できる特別な変数、各リソース・タイプの各動詞でカバーされる権限およびAPI操作の階層、および各API操作の権限に関する証明書サービスの詳細について説明します。

個々のリソース・タイプ

個々のリソース・タイプでは、特定のリソース・タイプにのみスコープ設定されたポリシー・ステートメントを記述できます。

leaf-certificates

leaf-certificate-versions

leaf-certificate-bundles

certificate-authorities

certificate-authority-versions

certificate-authority-bundles

certificate-authority-delegates

cabundles

certificate-associations

certificate-authority-associations

cabundle-associations

集約リソース・タイプ

集約リソース・タイプでは、個々のリソース・タイプを超えて集約リソース・タイプでカバーされるすべてのリソース・タイプにまで拡張されたスコープを持つポリシー・ステートメントを記述できます。

leaf-certificate-family

certificate-authority-family

<verb> leaf-certificate-familyを使用するポリシーは、個々の証明書リソース・タイプ(leaf-certificatesleaf-certificate-versionsleaf-certificate-bundlescabundlescertificate-associationsおよびcabundle-associations)に対して個別の<verb> <individual resource-type>ステートメントを使用して記述することと同じです。

<verb> certificate-authority-familyを使用するポリシーは、個々の認証局(CA)および証明書リソース・タイプ(certificate-authoritiescertificate-authority-versionscertificate-authority-bundlescertificate-authority-delegatesleaf-certificatesleaf-certificate-versionsleaf-certificate-bundlescabundlescertificate-associationscertificate-authority-associationsおよびcabundle-associations)に対して個別の<verb> <individual resource-type>ステートメントを使用して記述することと同じです。

leaf-certificate-familyおよびcertificate-authority-familyに含まれる個々のリソース・タイプについて、各動詞でカバーされているAPI操作の詳細は、動詞とリソース・タイプの組合せの詳細の表を参照してください。

サポートされている変数

証明書では、すべての一般的な変数と、ここにリストされた変数がサポートされています。Oracle Cloud Infrastructureサービスでサポートされる一般的な変数の詳細は、すべてのリクエストの一般的な変数を参照してください。

このリソース・タイプの操作... 使用できる変数... 変数タイプ コメント
certificate-authorities target.certificate-authority.id エンティティ(OCID) この変数を使用して、認証局(CA)のOCIDに基づいてCAへのアクセスを制御します。(CAの作成時には、まだOCIDを持つCAが存在しないため、この変数を使用できません。)
target.certificate-authority.name 文字列 この変数を使用して、特定のCA名へのアクセスを制限します。
target.certificate-authority.subject 文字列 この変数を使用して、CAサブジェクトに基づいてCAへのアクセスを制御します。
target.certificate-authority.type 文字列 この変数を使用して、特定のタイプのCAへのアクセスを制限します。CAタイプには、ROOT_CAおよびSUBORDINATE_CAが含まれます。
target.issuer-certificate-authority.id 文字列 この変数を使用して、発行者CAのOCIDに基づいてCAへのアクセスを制限します。
certificate-authority-versions target.certificate-authority.id エンティティ(OCID) この変数を使用して、CAのOCIDに基づいてCAバージョンへのアクセスを制御します。
target.certificate-authority.name 文字列 この変数を使用して、CAの名前に基づいてCAバージョンへのアクセスを制御します。
certificate-authority-bundles target.certificate-authority.id エンティティ(OCID) この変数を使用して、バンドルのCAのOCIDに基づいてCAのバンドルへのアクセスを制御します。
target.certificate-authority.name 文字列 この変数を使用して、バンドルのCAの名前によってCAのバンドルへのアクセスを制御します。
certificate-authority-associations target.association.id エンティティ(OCID) この変数を使用して、アソシエーションのOCIDに基づいてCAアソシエーションへのアクセスを制御します。(CAアソシエーションの作成時には、まだOCIDを持つアソシエーションが存在しないため、この変数を使用できません。)
target.association.name 文字列 この変数を使用して、アソシエーションの名前に基づいてCAアソシエーションへのアクセスを制御します。
target.association.resourceid エンティティ(OCID) この変数を使用して、アソシエーションで構成されたリソースのOCIDに基づいてCAアソシエーションへのアクセスを制御します。
target.leaf-certificate.id エンティティ(OCID) この変数を使用して、アソシエーションで構成された証明書のOCIDに基づいてCAアソシエーションへのアクセスを制御します。
target.leaf-certificate.name 文字列 この変数を使用して、アソシエーションで構成された証明書の名前に基づいてCAアソシエーションへのアクセスを制御します。
certificate-authority-delegates target.certificate-authority.id エンティティ(OCID) この変数を使用して、CAのOCIDに基づいてCA委任へのアクセスを制御します。
target.certificate-authority.name 文字列 この変数を使用して、CAの名前に基づいてCA委任へのアクセスを制御します。
target.issuer-certificate-authority.id 文字列 この変数を使用して、発行者CAのOCIDに基づいてCA委任へのアクセスを制御します。
target.resource.type 文字列 この変数を使用して、委任のリソース・タイプ(リソースがleaf-certificatecertificate-authorityまたはcabundleのいずれであるか)に基づいてCA委任へのアクセスを制御します。
leaf-certificates target.leaf-certificate.allow-wildcard 文字列 この変数を使用して、証明書の共通名またはサブジェクト代替名にワイルドカードが含まれているかどうかに基づいて証明書へのアクセスを制御します。
target.leaf-certificate.alt-subject リスト この変数を使用して、証明書のサブジェクト代替名に基づいて証明書へのアクセスを制御します。
target.leaf-certificate.alt-subject-size 文字列 この変数を使用して、証明書のサブジェクト代替名の数に基づいて証明書へのアクセスを制御します。
target.leaf-certificate.id エンティティ(OCID) この変数を使用して、証明書のOCIDに基づいて証明書へのアクセスを制御します。(証明書の作成時には、まだOCIDを持つ証明書が存在しないため、この変数を使用できません。)
target.leaf-certificate.name 文字列 この変数を使用して、証明書名に基づいて証明書へのアクセスを制御します。
target.issuer-certificate-authority.id 文字列 この変数を使用して、発行者CAのOCIDに基づいて証明書へのアクセスを制御します。
target.leaf-certificate.profile-type 文字列 この変数を使用して、証明書プロファイル・タイプに基づいて証明書へのアクセスを制御します。証明書プロファイル・タイプには、TLS_SERVER_OR_CLIENTTLS_SERVERTLS_CLIENTおよびTLS_CODE_SIGNが含まれます。
target.leaf-certificate.subject 文字列 この変数を使用して、証明書のサブジェクトに基づいて証明書へのアクセスを制御します。
target.leaf-certificate.type 文字列 この変数を使用して、証明書の作成方法に基づいて証明書へのアクセスを制御します。証明書構成タイプには、MANAGED_EXTERNALLY_ISSUED_BY_INTERNAL_CAISSUED_BY_INTERNAL_CAまたはIMPORTEDが含まれます。
leaf-certificate-versions target.leaf-certificate.id エンティティ(OCID) この変数を使用して、証明書のOCIDに基づいて証明書バージョンへのアクセスを制御します。この変数を使用して、ボールト・マスター暗号化キーなしでブロック・ボリュームまたはバケットを作成できるかどうかを制御します。
target.leaf-certificate.name 文字列 この変数を使用して、証明書の名前に基づいて証明書バージョンへのアクセスを制御します。
leaf-certificate-bundles target.leaf-certificate.id エンティティ(OCID) この変数を使用して、証明書のOCIDに基づいて証明書バンドルへのアクセスを制御します。
target.leaf-certificate.name 文字列 この変数を使用して、証明書の名前に基づいて証明書バンドルへのアクセスを制御します。
target.leaf-certificate.bundle-type 文字列 この変数を使用して、証明書バンドル・タイプに基づいて証明書バンドルへのアクセスを制御します。証明書バンドル・タイプには、CERTIFICATE_CONTENT_PUBLIC_ONLYおよびCERTIFICATE_CONTENT_WITH_PRIVATE_KEYが含まれます。
certificate-associations target.association.id エンティティ(OCID) この変数を使用して、アソシエーションのOCIDに基づいて証明書アソシエーションへのアクセスを制御します。(証明書アソシエーションの作成時には、まだOCIDを持つアソシエーションが存在しないため、この変数を使用できません。)
target.association.name 文字列 この変数を使用して、証明書バンドル・アソシエーションの名前に基づいて証明書バンドルへのアクセスを制御します。
target.association.resourceid エンティティ(OCID) この変数を使用して、証明書バンドル・アソシエーションでターゲット指定されたリソースのOCIDに基づいて証明書バンドルへのアクセスを制御します。
target.leaf-certificate.id エンティティ(OCID) この変数を使用して、証明書のOCIDに基づいて証明書アソシエーションへのアクセスを制御します。
target.leaf-certificate.name 文字列 この変数を使用して、証明書の名前に基づいて証明書アソシエーションへのアクセスを制御します。
cabundles target.cabundle.id エンティティ(OCID) この変数を使用して、CAバンドルのOCIDに基づいてCAバンドルへのアクセスを制御します。(CAバンドルの作成時には、まだOCIDを持つCAバンドルが存在しないため、この変数を使用できません。)
target.cabundle.name 文字列 この変数を使用して、CAバンドルの名前に基づいてCAバンドルへのアクセスを制御します。
cabundle-associations target.association.id エンティティ(OCID) この変数を使用して、バンドル・アソシエーションのOCIDに基づいてCAバンドル・アソシエーションへのアクセスを制御します。
target.association.name 文字列 この変数を使用して、バンドル・アソシエーションの名前に基づいてCAバンドル・アソシエーションへのアクセスを制御します(CAバンドル・アソシエーションの作成時には、まだOCIDを持つアソシエーションが存在しないため、この変数を使用できません。)。
target.association.resourceid エンティティ(OCID) この変数を使用して、アソシエーションで構成されたリソースのOCIDに基づいてCAバンドル・アソシエーションへのアクセスを制御します。
target.cabundle.id エンティティ(OCID) この変数を使用して、バンドルのOCIDに基づいてCAバンドル・アソシエーションへのアクセスを制御します。
target.cabundle.name 文字列 この変数を使用して、バンドルの名前に基づいてCAバンドル・アソシエーションへのアクセスを制御します。

動詞とリソース・タイプの組合せの詳細

各リソース・タイプの各動詞によって付与される増分アクセスを理解し、必要なアクセスのみを付与するポリシーを記述できるようにします。

次の表に、各動詞でカバーされている権限およびAPI操作を示します。アクセス・レベルは、inspect > read > use > manageの順に累積されます。表セル内のプラス記号(+)は、その上のセルと比較して増分アクセスを示しますが、「余分なし」は増分アクセスを示しません。

たとえば、cabundlesリソース・タイプに対するuse動詞には、read動詞と同じ権限およびAPI操作に加え、CABUNDLE_UPDATE権限とUpdateCaBundle API操作が含まれます。manage動詞は、use動詞と比較したときに、さらに権限とAPI操作を使用できます。

leaf-certificates
動詞 権限 完全に対象となるAPI 部分的に対象となるAPI
inspect

CERTIFICATE_INSPECT

ListCertificates

なし

read

INSPECT +

CERTIFICATE_READ

INSPECT +

GetCertificate

なし

use

READ +

CERTIFICATE_UPDATE

余分なし

 

RevokeCertificateVersion (manage leaf-certificate-versionsおよびuse certificate-authority-delegatesに加え、証明書バージョンに関連付けられたバケットに対するupdate bucketsの権限と、発行者CAに対するuse certificate-authoritiesの権限も必要)

CancelCertificateVersionDeletion (delete leaf-certificate-versionsの権限も必要)

ScheduleCertificateVersionDeletion (delete leaf-certificate-versionsの権限も必要)

UpdateCertificate (use certificate-authority-delegatesの権限(インポートされた証明書を除く)に加え、証明書バージョンに関連付けられたバケットに対するupdate bucketsの権限、発行者認証局に対するuseの権限、およびuse keysの権限も必要)

manage

USE +

CERTIFICATE_CREATE

CERTIFICATE_DELETE

CERTIFICATE_MOVE

USE +

CancelCertificateDeletion

ScheduleCertificateDeletion

ChangeCertificateCompartment

CreateCertificate (use certificate-authority-delegatesの権限(証明書のインポート時を除く)に加え、証明書バージョンに関連付けられたバケットに対するupdate bucketsの権限、use keysの権限、および発行者CAに対するuse certificate-authoritiesの権限(証明書のインポート時を除く)も必要)

leaf-certificate-versions
動詞 権限 完全に対象となるAPI 部分的に対象となるAPI
inspect

CERTIFICATE_VERSION_INSPECT

ListCertificateVersions

なし

read

INSPECT +

CERTIFICATE_VERSION_READ

INSPECT +

GetCertificateVersion

なし

use

READ +

余分なし

なし

なし

manage

USE +

CERTIFICATE_VERSION_REVOKE

CERTIFICATE_VERSION_DELETE

なし

RevokeCertificateVersion (use leaf-certificatesおよびuse certificate-authority-delegatesも必要)

CancelCertificateVersionDeletion (use leaf-certificatesも必要)

ScheduleCertificateVersionDeletion (use leaf-certificatesも必要)

certificate-authorities
動詞 権限 完全に対象となるAPI 部分的に対象となるAPI
inspect

CERTIFICATE_AUTHORITY_INSPECT

ListCertificateAuthorities

なし

read

INSPECT +

CERTIFICATE_AUTHORITY_READ

INSPECT +

GetCertificateAuthority

なし

use

READ +

CERTIFICATE_AUTHORITY_UPDATE

余分なし

UpdateCertificateAuthority (use certificate-authority-delegatesも必要)

manage

USE +

CERTIFICATE_AUTHORITY_CREATE

CERTIFICATE_AUTHORITY_DELETE

CERTIFICATE_AUTHORITY_MOVE

USE +

CancelCertificateAuthorityDeletion

ScheduleCertificateAuthorityDeletion

ChangeCertificateAuthorityCompartment

CreateCertificateAuthority (use certificate-authority-delegatesも必要)

certificate-authority-versions
動詞 権限 完全に対象となるAPI 部分的に対象となるAPI
inspect

CERTIFICATE_AUTHORITY_VERSION_INSPECT

ListCertificateAuthorityVersions

なし

read

INSPECT +

CERTIFICATE_AUTHORITY_VERSION_READ

INSPECT +

GetCertificateAuthorityVersion

なし

use

READ +

余分なし

なし

なし

manage

USE +

CERTIFICATE_AUTHORITY_VERSION_DELETE

CERTIFICATE_AUTHORITY_VERSION_REVOKE

なし

CancelCertificateAuthorityVersionDeletion (use certificate-authoritiesも必要)

ScheduleCertificateAuthorityVersionDeletion (use certificate-authoritiesも必要)

RevokeCertificateAuthorityVersion (use certificate-authoritiesも必要)

leaf-certificate-bundles
動詞 権限 完全に対象となるAPI 部分的に対象となるAPI
inspect

CERTIFICATE_BUNDLE_INSPECT

ListCertificateBundleVersions

なし

read

INSPECT +

CERTIFICATE_BUNDLE_READ

INSPECT +

GetCertificateBundle

ノート:この操作に必要な権限は、問合せパラメータcertificateBundleTypeによって異なります。

certificateBundleTypeCERTIFICATE_CONTENT_PUBLIC_ONLYに設定されている場合は、権限CERTIFICATE_BUNDLE_READを持つすべてのユーザーがこの操作を実行できます。

certificateBundleTypeがCERTIFICATE_CONTENT_WITH_PRIVATE_KEYに設定されている場合は、CERTIFICATE_CONTENT_WITH_PRIVATE_KEYに設定された変数target.leaf-certificate.bundle-typeを含むグループに対するポリシー・ステートメントが必要です。

なし

use

READ +

余分なし

なし

なし

manage

USE+

余分なし

なし

CancelCertificateAuthorityVersionDeletion (use certificate-authoritiesも必要)

ScheduleCertificateAuthorityVersionDeletion (use certificate-authoritiesも必要)

RevokeCertificateAuthorityVersion (use certificate-authoritiesも必要)

certificate-authority-bundles
動詞 権限 完全に対象となるAPI 部分的に対象となるAPI
inspect

CERTIFICATE_AUTHORITY_BUNDLE_INSPECT

ListCertificateAuthorityBundleVersions

なし

read

INSPECT +

CERTIFICATE_AUTHORITY_BUNDLE_READ

INSPECT +

GetCertificateAuthorityBundle

なし

use

READ +

余分なし

なし

 

なし

manage

USE +

余分なし

なし

なし

cabundles
動詞 権限 完全に対象となるAPI 部分的に対象となるAPI
inspect

CABUNDLE_INSPECT

ListCaBundles

なし

read

INSPECT +

CABUNDLE_READ

INSPECT +

GetCaBundle

なし

use

READ +

CABUNDLE_UPDATE

READ+

UpdateCaBundle

 

なし

manage

USE +

CABUNDLE_CREATE

CABUNDLE_DELETE

CABUNDLE_MOVE

USE +

CreateCaBundle

DeleteCaBundle

ChangeCaBundleCompartment

なし

certificate-authority-delegates
動詞 権限 完全に対象となるAPI 部分的に対象となるAPI
inspect

なし

なし

なし

read

余分なし

なし

なし

use

READ +

CERTIFICATE_AUTHORITY_APPLY

なし

 

UpdateCertificateAuthority (use certificate-authoritiesも必要)

manage

USE +

余分なし

なし

なし

certificate-associations
動詞 権限 完全に対象となるAPI 部分的に対象となるAPI
inspect

CERTIFICATE_ASSOCIATION_INSPECT

ListAssociations

なし

read

INSPECT +

CERTIFICATE_ASSOCIATION_READ

INSPECT +

GetAssociation

なし

use

READ +

余分なし

なし

なし

manage

USE +

CERTIFICATE_ASSOCIATION_CREATE

CERTIFICATE_ASSOCIATION_DELETE

USE +

CreateAssociation

DeleteAssociation

なし

certificate-authority-associations
動詞 権限 完全に対象となるAPI 部分的に対象となるAPI
inspect

CERTIFICATE_AUTHORITY_ASSOCIATION_INSPECT

ListAssociations

なし

read

INSPECT +

CERTIFICATE_AUTHORITY_ASSOCIATION_READ

INSPECT +

GetAssociation

なし

use

READ +

余分なし

なし

 

なし

manage

USE +

CERTIFICATE_AUTHORITY_ASSOCIATION_CREATE

CERTIFICATE_AUTHORITY_ASSOCIATION_DELETE

USE +

CreateAssociation

DeleteAssociation

なし

cabundle-associations
動詞 権限 完全に対象となるAPI 部分的に対象となるAPI
inspect

CABUNDLE_ASSOCIATION_INSPECT

ListAssociations

なし

read

INSPECT +

CABUNDLE_ASSOCIATION_READ

INSPECT +

GetAssociation

なし

use

READ +

余分なし

なし

なし

manage

USE +

CABUNDLE_ASSOCIATION_CREATE

CABUNDLE_ASSOCIATION_DELETE

USE +

CreateAssociation

DeleteAssociation

なし

各API操作に必要な権限

次の表は、API操作を論理的な順序で、リソース・タイプ別にグループ化して示しています。

権限の詳細は、権限を参照してください。

API操作 操作の使用に必要な権限
ListCertificateAuthorities CERTIFICATE_AUTHORITY_INSPECT
GetCertificateAuthority CERTIFICATE_AUTHORITY_READ
CreateCertificateAuthority CERTIFICATE_AUTHORITY_CREATEおよびCERTIFICATE_AUTHORITY_APPLY
UpdateCertificateAuthority CERTIFICATE_AUTHORITY_UPDATEおよびCERTIFICATE_AUTHORITY_APPLY
ChangeCertificateAuthorityCompartment CERTIFICATE_AUTHORITY_MOVE
ScheduleCertificateAuthorityDeletion CERTIFICATE_AUTHORITY_DELETE
CancelCertificateAuthorityDeletion CERTIFICATE_AUTHORITY_DELETE
ListCertificateAuthorityVersions CERTIFICATE_AUTHORITY_VERSION_INSPECT
GetCertificateAuthorityVersion CERTIFICATE_AUTHORITY_VERSION_READ
RevokeCertificateAuthorityVersion CERTIFICATE_AUTHORITY_VERSION_REVOKE、CERTIFICATE_AUTHORITY_UPDATEおよびCERTIFICATE_AUTHORITY_APPLY
ScheduleCertificateAuthorityVersionDeletion CERTIFICATE_AUTHORITY_VERSION_DELETEおよびCERTIFICATE_AUTHORITY_UPDATE
CancelCertificateAuthorityVersionDeletion CERTIFICATE_AUTHORITY_VERSION_DELETEおよびCERTIFICATE_AUTHORITY_UPDATE
ListCertificateAuthorityBundleVersions CERTIFICATE_AUTHORITY_BUNDLE_INSPECT
GetCertificateAuthorityBundle CERTIFICATE_AUTHORITY_BUNDLE_READ
ListCertificates CERTIFICATE_INSPECT
GetCertificate CERTIFICATE_READ
CreateCertificate CERTIFICATE_CREATEおよびCERTIFICATE_AUTHORITY_APPLY
UpdateCertificate CERTIFICATE_UPDATEおよびCERTIFICATE_AUTHORITY_APPLY
ChangeCertificateCompartment CERTIFICATE_MOVE
ScheduleCertificateDeletion CERTIFICATE_DELETE
CancelCertificateDeletion CERTIFICATE_DELETE
ListCertificateVersions CERTIFICATE_VERSION_INSPECT
GetCertificateVersion CERTIFICATE_VERSION_READ
RevokeCertificateVersion CERTIFICATE_VERSION_REVOKE、CERTIFICATE_UPDATEおよびCERTIFICATE_AUTHORITY_APPLY
ScheduleCertificateVersionDeletion CERTIFICATE_VERSION_DELETEおよびCERTIFICATE_UPDATE
CancelCertificateVersionDeletion CERTIFICATE_VERSION_DELETEおよびCERTIFICATE_UPDATE
ListCertificateBundleVersions CERTIFICATE_BUNDLE_INSPECT
GetCertificateBundle CERTIFICATE_BUNDLE_READ

詳細は、leaf-certificate-bundlesを参照してください。

ListCaBundles CABUNDLE_INSPECT
GetCaBundle CABUNDLE_READ
CreateCaBundle CABUNDLE_CREATE
UpdateCaBundle CABUNDLE_UPDATE
ChangeCaBundleCompartment CABUNDLE_MOVE
DeleteCaBundle CABUNDLE_DELETE
ListAssociations CERTIFICATE_AUTHORITY_ASSOCIATION_INSPECT (certificate-authoritiesの場合)、CERTIFICATE_ASSOCIATION_INSPECT (leaf-certificatesの場合)またはCABUNDLE_ASSOCIATION_INSPECT (cabundlesの場合)
GetAssociation CERTIFICATE_AUTHORITY_ASSOCIATION_READ (certificate-authoritiesの場合)、CERTIFICATE_ASSOCIATION_READ (leaf-certificatesの場合)またはCABUNDLE_ASSOCIATION_READ (cabundlesの場合)
DeleteAssociation CERTIFICATE_AUTHORITY_ASSOCIATION_DELETE (certificate-authoritiesの場合)、CERTIFICATE_ASSOCIATION_DELETE (leaf-certificatesの場合)またはCABUNDLE_ASSOCIATION_DELETE (cabundlesの場合)