IAMポリシーの概要
IAMポリシーは、Oracle Cloud Infrastructure (OCI)テナンシのリソースの制御を制御します。
ポリシーには、1つ以上のポリシー・ステートメントが含まれます。各文は、基本構文または条件構文を使用します。
基本的な構文:
Allow <subject> to <verb> <resource> in <location>条件構文:
Allow <subject> to <verb> <resource> in <location> where <conditions>次の表では、構文の要素について簡単に説明し、各要素に関する詳細情報へのリンクを示します。
| 要素 | 説明 |
|---|---|
| 許可 | 必要な開始語。ポリシー・ステートメントは常にAllowという単語で始まります。ポリシーはアクセスを許可するだけです。拒否することはできません。 |
| <件名> |
アクセス権を付与するユーザー、グループ、またはその他のプリンシパル。サブジェクトにはプリンシパル・タイプと識別子(名前またはOCID)が含まれ、デフォルトのアイデンティティ・ドメインが使用されないかぎり、アイデンティティ・ドメインの名前が接頭辞として付きます。 組織の管理者がテナンシのグループとコンパートメントを定義します。 |
| <動詞> | アクセスのレベル。Oracleでは、ポリシーで使用できる動詞およびリソース・タイプを定義しています(動詞を参照)。 |
| <リソース> |
ポリシーがアクセス権を付与するリソース。Oracleでは、ポリシーで使用できるリソース・タイプを定義します。リソースを参照してください。一部のAPI操作では、いくつかのリソース・タイプにアクセスする必要があります。たとえば、 |
| <location> |
(オプション)ポリシーが適用されるコンパートメントまたはテナンシ。コンパートメントの場合、値には識別子(名前またはOCID)が含まれます。 ポリシーは、テナンシ内のコンパートメントではなく、テナンシ全体に適用する必要がある場合があります。次に、<location>が特定のコンパートメントであるコンパートメント固有のポリシー・ステートメントの例を示します: 次に、<location>がテナンシであるテナンシ全体のポリシー・ステートメントの例を示します: |
| <条件> | (オプション)リソースへのアクセスを制限します。 |
OCIでは、クロステナンシ・ポリシーを作成することもできます。詳細は、クロステナンシ・アクセス・ポリシーを参照してください。
クロス・テナンシ・ポリシー
クロス・テナンシ・ポリシー・ステートメントは、他のテナンシのリソースを使用する権限をサブジェクトに与えます。クロステナンシ・アクセス・ポリシーを参照してください。