IAMのセキュリティ・ポリシー
IAMセキュリティ・ポリシーを使用して、コンパートメントおよびテナンシ内のリソースへのIAMグループのアクセスを管理します。
リソースにアクセスするために最小限のアクセス権をIAMグループに割り当てることをお薦めします。IAMポリシーの一般的な形式を次の例に示します:
Allow group <group_name> to <verb> <resource-type> in compartment <compartment_name>
Allow group <group_name> to <verb> <resource-type> in tenancyIAMポリシーでは、事前定義済の4つの動詞(inspect、read、use、manage)を使用できます。inspectは最小限の権限、manageは最大限の権限を許可します。4つの動詞を権限が低い方から順に次の表に示します。
| 動詞 | アクセス・タイプ | ユーザー例 |
|---|---|---|
inspect
|
メタデータのみを表示できます。通常、リソースのリスト表示のみが可能です | サードパーティ監査者 |
read
|
inspectに加え、リソースおよびユーザー・メタデータを読み取る権限が含まれます。これは、ほとんどのユーザーが業務を行うために必要な権限です。 | 内部監査者 |
use
|
readに加えて、リソースを操作する権限が含まれます(操作はリソース・タイプによって異なります)。リソースを作成または削除する権限は含まれません | テナンシのリソースおよびそれに対して実行されるアプリケーションの設定や構成を行う通常のユーザー(ソフトウェア開発者、システム・エンジニア、開発マネージャなど) |
manage
|
すべてのリソースに対するすべての権限 | 管理者、経営陣(非常時用シナリオ) |
Oracle Cloud Infrastructureリソースのリソース・タイプを次の表に示します。
| リソース・タイプ・ファミリ | 説明 | リソースのタイプ |
|---|---|---|
all-resources |
すべてのリソースタイプ | |
| 名前なし(仕様) | IAMサービスのリソース・タイプ | compartments、users、groups、dynamic-groups、policies、identity-providers、tenancy tag-namespaces、tag-definitions |
instance-family |
コンピュート・サービスのリソース・タイプ | console-histories, instance-console-connection, instance-images, instances, volume-attachmentsapp-catalog-listing |
volume-family |
ブロック・ストレージ・サービスのリソース・タイプ | volumes、volume-attachments、volume-backups |
virtual-network-family |
仮想ネットワーキング・サービスのリソース・タイプ | vcns、subnets、route-tables、security-lists、dhcp-options、private-ips、public-ips、internet-gateways、local-peering-gatewaysdrgs、deg-attachments、cpes、ipsec-connections、cross-connects、cross-connect-groups、virtual-circuits、vnics、vnic-attachments |
object-family |
オブジェクト・ストレージ・サービスのリソース・タイプ | buckets、objects |
database-family |
DbaaSサービスのリソース・タイプ | db-systems、db-nodes、db-homes、databases、backups |
load-balancers |
ロード・バランサ・サービスのリソース | load-balancers |
file-family |
ファイル・ストレージ・サービスのリソース | file-systems、mount-targets、export-sets |
dns |
DNSサービスのリソース | dns-zones、dns-records、dns-traffic |
email-family |
電子メール配信サービスのリソース | approved-senders、suppressions |
IAMの動詞とリソース・タイプ権限のマッピングの詳細は、コア・サービスの詳細を参照してください。
IAMのセキュリティ・ポリシーは、条件を使用するときめ細かく設定できます。ポリシーに指定されたアクセス権は、条件文がtrueに評価された場合のみ許可されます。条件は、事前定義済の変数を使用して指定されます。変数では、リクエストに対応するか、操作対象のリソースに対応するかによって、requestまたはtargetというキーワードをそれぞれ使用します。サポートされる事前定義済変数の詳細は、ポリシー・リファレンスを参照してください。
IAM動的グループは、コンピュート・インスタンスがOracle Cloud Infrastructure APIにアクセスすることを認可するために使用されます。インスタンス・プリンシパル機能は、インスタンス上で実行されているアプリケーションがプログラムによってOracle Cloud Infrastructureサービスにアクセスするために使用できます。顧客が作成する動的グループは、メンバーとしてインスタンスを含み、IAMセキュリティ・ポリシーを使用してテナンシ・リソースへのアクセスを認可します。インスタンスによるすべてのアクセスは、顧客が確認できる監査ログに記録されます。