クロステナンシ・アクセス・ポリシー

Endorse、AdmitおよびDefineステートメント

クロステナンシ文では、次の特別な開始語を使用します。

• 承認: 独自のテナンシ内のグループが他のテナンシ内で実行できる一般的な機能セットを示します。承認ステートメントは、別のテナンシのリソースを使用する境界を超えるユーザーのグループを含むテナンシに常に属します。例では、このテナントはソース・テナンシと呼ばれます。
• 許可: 他のテナンシからグループに付与する独自のテナンシ内の機能の種類を示します。許可ステートメントは、テナントへの「許可」したテナンシに属します。Admitステートメントは、ソース・テナンシからのリソース・アクセスを必要とし、対応するEndorseステートメントで特定されるユーザーのグループを識別します。例では、このテナントを宛先テナンシと呼びます。

• Define: EndorseおよびAdmitポリシー・ステートメントのテナンシOCIDに別名を割り当てます。許可ステートメントのソースIAMグループOCIDに別名を割り当てるには、宛先テナンシに定義ステートメントも必要です。

  Defineステートメントは、EndorseまたはAdmitポリシー・ステートメントと同じポリシー・ステートメントに含まれます。

EndorseステートメントとAdmitステートメントは連携して動作します。Endorseステートメントがソース・テナンシに存在し、Admitステートメントが宛先テナンシに存在します。アクセス権を指定する対応ステートメントがない場合、特定の承認または許可ステートメントはアクセス権を与えません。両方のテナンシがアクセスに同意する必要があります。

クロステナンシの例

• 次のポリシーにより、グループStorageAdminsは宛先テナンシのオブジェクト・ストレージ・リソースのリソースを管理できます:

  Endorse group StorageAdmins to manage object-family in any-tenancy 

  次のポリシー・ステートメントは、ソース・テナンシのIAMグループStorageAdminsが宛先テナンシ内のすべてのオブジェクト・ストレージ・リソースに対してすべての操作を実行することを承認します:

  Define tenancy SourceTenancy as ocid1.tenancy.oc1.exampleuniqueID
  Define group StorageAdmins as ocid1.group.oc1.exampleuniqueID
  Admit group StorageAdmins of tenancy SourceTenancy to manage object-family in tenancy 

• テナンシ・アクセスの範囲を狭くするポリシーを記述するには、ソース管理者が、宛先管理者によって指定された宛先テナンシのOCIDを参照する必要があります。次のポリシー・ステートメントは、IAMグループのStorageAdminsグループがDestinationTenancyのみのオブジェクト・ストレージ・リソースを管理することを承認します:

  Define tenancy DestinationTenancy as ocid1.tenancy.oc1..<unique_ID>
  Endorse group StorageAdmins to manage object-family in tenancy DestinationTenancy

  次のポリシー・ステートメントの例は、ソース・テナンシのIAMグループStorageAdminsがSharedBucketsコンパートメントのオブジェクト・ストレージ・リソースのみを管理することを承認します:

  Define tenancy SourceTenancy as ocid1.tenancy.oc1..exampleuniqueID
  Define group StorageAdmins as ocid1.group.oc1..exampleuniqueID
  Admit group StorageAdmins of tenancy SourceTenancy to manage object-family in compartment SharedBuckets