Oracle Cloud Infrastructureドキュメント

管理対象アクセスのポリシー

Oracle Cloud Infrastructure Identity and Access Management(IAM)ポリシーを作成して、Oracle Managed Accessリソースにアクセスできるユーザー、および各ユーザー・グループのアクセスのタイプを制御します。

デフォルトでは、Administratorsグループのユーザーのみがすべての管理対象アクセス・リソースにアクセスできます。IAMポリシーを初めて使用する場合は、ポリシーの開始を参照してください。サポートされているOracle Managed Accessポリシーでは、Oracle Managed Accessリソースを見るためにlockboxという用語を使用します。

Oracle Cloud Infrastructureのすべてのポリシーの完全なリストは、ポリシー・リファレンスを参照してください。

ノート

Oracle Managed Accessは、Break GlassをサブスクライブしているFusion Applications顧客に対してのみサポートされます。

Oracle Managed Accessの詳細

このトピックでは、管理対象アクセス・サービスへのアクセスを制御するためのポリシーの記述について詳細に説明します。

リソース・タイプ

次のリソース・タイプが、Oracle Managed Accessに関連しています。

このトピックでは、管理対象アクセス・リソースへのアクセスを制御するためのポリシーの記述について詳細に説明します。

リソース・タイプ 権限
lockboxes

LOCKBOXES_INSPECT

LOCKBOXES_READ

LOCKBOXES_CREATE

LOCKBOXES_UPDATE

LOCKBOXES_DELETE

LOCKBOXES_MOVE
approval-templates

APPROVAL_TEMPLATES_INSPECT

APPROVAL_TEMPLATES_READ

APPROVAL_TEMPLATES_CREATE

APPROVAL_TEMPLATES_UPDATE

APPROVAL_TEMPLATES_DELETE

APPROVAL_TEMPLATES_MOVE

APPROVAL_TEMPLATES_ATTACH
access-requests

ACCESS_REQUESTS_INSPECT

ACCESS_REQUESTS_READ

ACCESS_REQUESTS_CREATE

ACCESS_REQUESTS_ACTION_HANDLE
access-approvals

ACCESS_APPROVALS_INSPECT

ACCESS_APPROVALS_READ

ACCESS_APPROVALS_CREATE

ACCESS_APPROVALS_ACTION_REVOKE

ACCESS_APPROVALS_RETRIEVE

<verb> lockbox-familyを使用するポリシーは、個々のリソース・タイプごとに個別の<verb> <resource-type>ステートメントを使用してポリシーを記述することと同じです。

個別リソース・タイプ

lockbox

lockboxes

approval-template

approval-templates

access-request

access-requests

access-approval

access-approvals

集約リソース・タイプ

lockbox-family

サポートされる変数

管理対象アクセスIAMポリシーでは、すべての一般的なポリシー変数がサポートされます。

Oracle Cloud Infrastructureサービスでサポートされる一般的な変数の詳細は、すべてのリクエストの一般的な変数を参照してください。

動詞+リソース・タイプの組合せの詳細

Oracle Managed Accessリソースに対して各動詞でカバーされる権限を示します。

アクセスのレベルは、inspectからreadusemanageの順に累積します。

表のセルにあるプラス記号(+)は、前のセルと比較してアクセス権が増えていることを示し、「追加なし」はアクセス権が増えていないことを示します。

access-approval
動詞 権限
検査する

ACCESS_APPROVAL_INSPECT
読む

+ inspect

ACCESS_APPROVAL_READ
使う

+ read

ACCESS_APPROVAL_RETRIEVE
管理

+ use

ACCESS_APPROVAL_CREATE

ACCESS_APPROVAL_ACTION_REVOKE
access-request
動詞 権限
検査する

ACCESS_REQUEST_INSPECT
読む

+ inspect

ACCESS_REQUEST_READ
使う

+ read
管理

+use

ACCESS_REQUEST_CREATE

ACCESS_REQUEST_ACTION_HANDLE
approval-template
動詞 権限
検査する

APPROVAL_TEMPLATE_INSPECT

GROUP_INSPECT: 承認テンプレートでグループを指定する場合に使用します。

USER_INSPECT: 承認テンプレートでユーザーを指定する場合に使用します。
読む

+ inspect

APPROVAL_TEMPLATE_READ
使う

+ read

APPROVAL_TEMPLATE_ATTACH
管理

+ use

APPROVAL_TEMPLATE_CREATE

APPROVAL_TEMPLATE_UPDATE

APPROVAL_TEMPLATE_DELETE

APPROVAL_TEMPLATE_MOVE
lockbox
動詞 権限
検査する

LOCKBOX_INSPECT
読む

+ inspect

LOCKBOX_READ
使う

+ read

LOCKBOX_UPDATE
管理

+ use

LOCKBOX_CREATE

LOCKBOX_DELETE

LOCKBOX_MOVE

API操作ごとに必要な権限

次の表に、管理対象アクセスAPI操作を、リソース・タイプ別にグループ化して論理的な順序で示します。

権限の詳細は、管理対象アクセスのポリシーを参照してください。

操作 権限
ListLockboxes

LOCKBOX_INSPECT
CreateLockbox

LOCKBOX-CREATE
GetLockbox

LOCKBOX_READ
UpdateLockbox

LOCKBOX_UPDATE

LOCKBOX_UPDATE & APPROVAL_TEMPLATE_ATTACH
DeleteLockbox

LOCKBOX_DELETE
ChangeLockboxCompartment

LOCKBOX_MOVE
ListApprovalTemplates

APPROVAL_TEMPLATE_INSPECT
CreateApprovalTemplate

APPROVAL_TEMPLATE_CREATE

GROUP_INSPECT: 承認テンプレートでグループを指定する場合に使用します。

USER_INSPECT: 承認テンプレートでユーザーを指定する場合に使用します。
GetApprovalTemplate

APPROVAL_TEMPLATE_READ
UpdateApprovalTemplate

APPROVAL_TEMPLATE_UPDATE

GROUP_INSPECT: 承認テンプレートでグループを指定する場合に使用します。

USER_INSPECT: 承認テンプレートでユーザーを指定する場合に使用します。
DeleteApprovalTemplate

APPROVAL_TEMPLATE_DELETE
ChangeApprovalTemplateCompartment

APPROVAL_TEMPLATE_MOVE
ListAccessRequests

ACCESS_REQUEST_INSPECT
CreateAccessRequest

ACCESS_REQUEST_CREATE
GetAccessRequest

ACCESS_REQUEST_READ
HandleAccessRequest

ACCESS_REQUEST_CREATE

ACCESS_REQUEST_ACTION_HANDLE

GetAccessMaterials

ACCESS_REQUEST_CREATE
ListAccessApproval

ACCESS_APPROVAL_INSPECT
GetAccessApproval

ACCESS_APPROVAL_READ
CreateAccessApproval

ACCESS_APPROVAL_CREATE
GetAccessMaterials

ACCESS_APPROVAL_RETRIEVE
RevokeAccessApproval

ACCESS_APPROVAL_ACTION_REVOKE

ポリシーの例

例を使用して、Oracle Managed Access IAMポリシーについて説明します。

  • グループSecurityAdminsのユーザーに、テナント全体のすべての管理対象アクセス・リソースの作成、更新および削除を許可します:

    Allow group SecurityAdmins to manage lockbox-family in tenancy
Allow group operators to inspect access-request in compartment tenancy

すべてのポリシーについては、管理対象アクセスのポリシーを参照してください。