Oracle Cloud Infrastructureドキュメント

Identity and Access Management (IAM)ポリシー

Oracle Cloud VMwareソリューション・リソースへのアクセスを制御するOCI IAMポリシーを記述する方法について学習します。

デフォルトでは、AdministratorsグループのユーザーのみがVMwareソリューションのすべてのリソースと機能にアクセスできます。VMwareソリューションのリソースおよび機能に対する管理者以外のユーザーのアクセスを制御するには、IAMグループを作成し、そのグループに適切なアクセス権を付与するポリシーを記述します。

Oracle Cloud Infrastructureポリシーの完全なリストが必要な場合は、ポリシー・リファレンスを参照してください。

リソース・タイプ

sddcs

動詞+リソース・タイプの組合せの詳細

次の表は、VMwareソリューションの各動詞でカバーされる権限およびAPI操作を示しています。アクセスのレベルは、inspectからreadusemanageの順に累積します。表のセルのプラス記号(+)は、そのすぐ上のセルと比較して増分アクセスを示しますが、「追加なし」は増分アクセスを示しません。

sddcs

動詞 権限 全部カバーされるAPI 一部カバーされるAPI
inspect

SDDC_INSPECT

ListSddcs

ListWorkRequests

なし
read

INSPECT +

SDDC_READ

INSPECT +

GetSddc

GetWorkRequest

なし
use

READ +

SDDC_UPDATE

SDDC_UPDATE_ESXI_HOST

READ +

UpdateSddc

UpdateEsxiHost

なし
manage

USE +

SDDC_CREATE

SDDC_MOVE

SDDC_ADD_ESXI_HOST

SDDC_DELETE_ESXI_HOST

SDDC_DELETE

USE +

ChangeSddcCompartment

CreateSddc (manage instancesmanage vcnsuse subnetsuse vnicsuse vlansuse private-ipsinspect security-listsuse network-security-groupsも必要)

DeleteSddcCreateEsxiHostDeleteEsxiHost (manage instancesmanage vcnsuse subnetsuse vnicsuse vlansuse private-ipsも必要)

API操作ごとに必要な権限

次の表は、論理的な順序で、リソース・タイプ別にグループ化してAPI操作を示しています。

API操作 操作の使用に必要な権限
ListSddcs SDDC_INSPECT
GetSddc SDDC_READ
CreateSddc SDDC_CREATE、INSTANCE_CREATE、INSTANCE_ATTACH_SECONDARY_VNIC、VCN_READ、VCN_ATTACH、SUBNET_READ、SUBNET_ATTACH、VNIC_READ、VNIC_CREATE、VLAN_READ、VLAN_ATTACH、PRIVATE_IP_CREATE、PRIVATE_IP_ASSIGN、SECURITY_LIST_READ、NETWORK_SECURITY_GROUP_LIST_SECURITY_RULES
ListWorkRequests SDDC_INSPECT
GetWorkRequest SDDC_READ
ChangeSddcCompartment SDDC_MOVE
UpdateSddc SDDC_UPDATE
DeleteSddc SDDC_DELETE、INSTANCE_DELETE、INSTANCE_DETACH_SECONDARY_VNIC、VCN_DETACH、SUBNET_DETACH、VLAN_DETACH、VNIC_READ、VNIC_DELETE、PRIVATE_IP_DELETE、PRIVATE_IP_UNASSIGN
ListEsxiHosts SDDC_INSPECT
CreateEsxiHost

SDDC_ADD_ESXI_HOST、INSTANCE_CREATE、INSTANCE_ATTACH_SECONDARY_VNIC、VCN_READ、VCN_ATTACH、SUBNET_READ、SUBNET_ATTACH、VLAN_READ、VLAN_ATTACH、VNIC_READ、VNIC_CREATE、PRIVATE_IP_CREATE、PRIVATE_IP_ASSIGN
UpdateEsxiHost SDDC_UPDATE_ESXI_HOST
DeleteEsxiHost SDDC_DELETE_ESXI_HOST、INSTANCE_DELETE、INSTANCE_DETACH_SECONDARY_VNIC、VCN_DETACH、SUBNET_DETACH、VLAN_DETACH、VNIC_READ、VNIC_DELETE、PRIVATE_IP_DELETE、PRIVATE_IP_UNASSIGN

ポリシーの作成

ユーザーのグループのポリシーを作成するには、Oracle Cloud Infrastructure IAMグループの名前を知っている必要があります。

ポリシーを作成するには:

  1. コンソールのナビゲーション・メニューで、「アイデンティティとセキュリティ」を選択し、「アイデンティティ」「ポリシー」を選択します。
  2. 「ポリシーの作成」をクリックします。
  3. ポリシーの名前説明(オプション)を入力します。
  4. ポリシーを作成するコンパートメントを選択します。
  5. 「手動エディタの表示」を選択します。次に、必要なポリシー・ステートメントを入力します。
  6. (オプション)このポリシーを作成した後、「ポリシーの作成」ページに留まるには、「別のポリシーの作成」を選択します。
  7. このポリシーを作成するには、「作成」をクリックします。

共通ポリシー

ユーザーがSDDC、ESXiホストおよびVLANを作成、管理および削除できるようにします

アクセス権タイプ: SDDC、ESXiホストまたはVLANを作成、管理または削除する権限。

ポリシーを作成する場所: VMwareソリューション・リソースを作成、管理または削除する権限がポリシー継承を介してすべてのコンパートメントに容易に付与されるようにするため、テナンシ。これらの管理機能の有効範囲を特定のコンパートメント内のSDDCに縮小するには、テナンシのかわりにそのコンパートメントを指定します。

このポリシーの例には、コンピュート・リソースおよびネットワーク・リソースに対する権限も含まれています。SDDC、ESXiホストまたはVLANを作成、管理または削除するには、これらのコンピュート・リソースおよびネットワーク・リソースが必要です。それぞれに必要最小限の権限が示されます。

Allow group <group_name> to manage sddcs in tenancy
Allow group <group_name> to manage instances in tenancy
Allow group <group_name> to manage vcns in tenancy
Allow group <group_name> to use subnets in tenancy
Allow group <group_name> to use vnics in tenancy
Allow group <group_name> to use vlans in tenancy
Allow group <group_name> to use private-ips in tenancy
Allow group <group_name> to inspect security-lists in tenancy
Allow group <group_name> to use network-security-groups in tenancy