サブジェクト
IAMポリシーのサブジェクトは、ポリシーが権限を付与するグループまたはプリンシパルを指定します。
構文
group '<identity_domain_name>'/'<group_name>' | group id <group_ocid> | dynamic-group '<identity_domain_name>'/'<dynamic-group_name>' | dynamic-group id <dynamic-group_ocid> | any-group service '<service_name>'ノート
サブジェクト<any-group>には、すべてのグループおよびすべての動的グループが含まれます。
サブジェクト<any-group>には、すべてのグループおよびすべての動的グループが含まれます。
ポリシーが権限を付与するプリンシパルを指定するIAMポリシーのサブジェクト。
構文:
group <identity_domain_name>/<group_name> | group id <group_ocid> | dynamic-group <identity_domain_name>/<dynamic-group_name> | dynamic-group id <dynamic-group_ocid> | any-userservice <service_name>ポリシー・ステートメントに含めることができるプリンシパル・タイプは1つのみですが、そのプリンシパルのインスタンスを多数含めることができます。
ノート
ポリシーがデフォルトのアイデンティティ・ドメインの場合、<identity_domain_name>を省略できます。ポリシーは、ポリシー・ステートメントをDefault/<group_name>として記述されたかのように処理および解釈します。
例:
- デフォルト・アイデンティティ・ドメイン内の単一グループの名前:
Allow group A-Admins to manage all-resources in compartment Project-A - デフォルト・アイデンティティ・ドメイン内の名前による複数のグループ(カンマ後のスペースはオプションです):
Allow group A-Admins, B-Admins to manage all-resources in compartment Projects-A-and-B - デフォルト・アイデンティティ・ドメイン内のOCIDによる単一グループ:
Allow group id ocid1.group.oc1..exampleuniqueID to manage all-resources in compartment Project-A - デフォルト・アイデンティティ・ドメイン内のOCID別の複数のグループ:
Allow group id ocid1.group.oc1.exampleuniqueID, id ocid1.group.oc1.exampleuniqueID to manage all-resources in compartment Projects-A-and-B - デフォルト・アイデンティティ・ドメイン・テナンシのすべてのユーザー:
Allow any-group to inspect users in tenancy - デフォルトのアイデンティティ・ドメイン・テナンシのサービス:
Allow service FaaS to use virtual-network-family in compartment <compartment-name> - 名前によるセカンダリ・アイデンティティ・ドメイン内の単一グループ:
Allow group Domain-B/Domain-B-Admins to manage all-resources in compartment Project-B