メディア・フローのIAMポリシーおよびIAM権限
IAMポリシーを作成して、メディア・フロー・リソースへのアクセス権を持つユーザーを制御し、ユーザー・グループごとにアクセス権のタイプを制御します。
メディア・フロー・リソースに必要な権限をユーザーに付与するためのポリシーを作成します。Administratorsグループのユーザーは、すべてのメディア・フロー・リソースにアクセスできます。
IAMポリシーを初めて使用する場合は、ポリシーの開始を参照してください。
Oracle Cloud Infrastructureポリシーの完全なリストは、ポリシー・リファレンスおよび共通ポリシーを参照してください。
OCIメディア・フローを使用するには、それに応じてサービスと対話するユーザーまたはグループに次の権限を付与するポリシーを作成します。
メディア・サービスでは、次のエンティティがサポートされます。
| 権限 |
ユーザーに割り当てられたアクション |
|---|---|
| メディア・ワークフロー | ワークフローを定義します。 |
| メディア・ワークフロー・ジョブ | ワークフロージョブを実行してメディアを処理します。 |
| メディア・アセット | メディア・アセット・メタデータを管理します。 |
| media-workflow-configuration | 再使用可能構成を管理します。 |
| メディア・ファミリ | すべてのメディア・メンバー・リソースを1つのファミリに含めます。 |
リソース・タイプおよび権限
メディア・フロー・リソース・タイプおよび関連する権限のリスト。
すべてのOCI Media Servicesリソースに権限を割り当てるには、media-family集計タイプを使用します。
メディア・ワークフローを作成するには、manage media-workflow権限が必要です。
ジョブを実行するには、use media-workflowおよびmanage media-workflow-job権限が必要です。
詳細は、権限を参照してください。
次の表に、media-family内のすべてのリソースを示します。
| 姓 | メンバー・リソース |
|---|---|
| メディア・ファミリ |
|
<verb> media-familyを使用するポリシーは、個々のリソース・タイプごとに個別の<verb> <resource-type>ステートメントを使用してポリシーを記述することと同じです。
| リソースの種類 | 権限 |
|---|---|
| メディア・アセット |
|
| メディア・ワークフロー |
|
| media-workflow-configuration |
|
| メディア・ワークフロー・ジョブ |
|
サポートされている変数
変数は、条件をポリシーに追加するときに使用されます。
メディア・フローでは、次の変数がサポートされます。
-
- エンティティ
- : Oracle Cloud Identifier (OCID)
-
- 文字列
- : 自由形式テキスト
-
- 表示
- : エンティティまたは文字列のリスト。
すべてのリクエストの一般的な変数を参照してください。
変数は小文字で、ハイフン区切りです。たとえば、target.tag-namespace.name、target.display-nameです。ここで、nameは一意である必要があり、display-nameは説明です。
必要な変数は、リクエストごとにメディア・フロー・サービスによって提供される。自動変数は、認可エンジンによって提供されます(シック・クライアントではSDKを使用したサービス・ローカル、シン・クライアントではアイデンティティ・データ・プレーンで提供されます)。
| 必要な変数 | 型 | Description |
|---|---|---|
target.compartment.id |
エンティティ(OCID) | リクエストのプライマリ・リソースのOCID |
request.operation |
文字列 | リクエストの操作ID (例: GetUser) |
target.resource.kind |
文字列 | リクエストのプライマリ・リソースのリソース種類名 |
| 自動変数 | 型 | Description |
|---|---|---|
request.user.id |
エンティティ(OCID) | リクエスト・ユーザーのOCID。 |
request.groups.id |
エンティティ(OCID)のリスト | リクエスト・ユーザーが属しているグループのOCID。 |
target.compartment.name |
文字列 | target.compartment.idで指定されたコンパートメントの名前 |
target.tenant.id |
エンティティ(OCID) | ターゲット・テナントIDのOCID |
| 動的変数 | 型 | 説明 |
|---|---|---|
request.principal.group.tag.<tagNS>.<tagKey> |
文字列 | プリンシパルがメンバーであるグループの各タグの値。 |
request.principal.compartment.tag.<tagNS>.<tagKey> |
文字列 | プリンシパルを含むコンパートメントの各タグの値。 |
target.resource.tag.<tagNS>.<tagKey> |
文字列 | ターゲット・リソースの各タグの値。(各リクエストでサービスによって提供されるtagSlugに基づいて計算されます。) |
target.resource.compartment.tag.<tagNS>.<tagKey> |
文字列 | ターゲット・リソースを含むコンパートメントの各タグの値。(各リクエストでサービスによって提供されるtagSlugに基づいて計算されます。) |
次に、変数の使用可能なソースのリストを示します:
- リクエスト: リクエスト入力から取得されます。
- 導出: リクエストから取得されます。
- 格納: サービスから取得され、入力が保持されます。
- 計算: サービス・データから計算されます。
動詞とリソース・タイプの組合せの詳細
メディア・フロー・リソースの各動詞でカバーされる権限およびAPI操作を識別します。
アクセスのレベルは、inspectからread、use、manageの順に累積します。表のセルのプラス記号(+)は、前のセルと比較した場合に増分アクセスを示します。
アクセス権の付与の詳細は、権限を参照してください。
この表は、media-workflowリソースの権限と、権限によって完全にカバーされるAPIを示しています。
| 動詞 | 権限 | カバーされるAPI | 説明 |
|---|---|---|---|
inspect |
MEDIA_WORKFLOW_INSPECT |
ListMediaWorkflow
|
コンパートメント内のMediaWorkflowsおよびSystemMediaWorkflowsをリストします。 |
read |
|
|
MediaWorkflowの詳細を表示します。 |
use |
|
|
MediaWorkflowを更新します。 |
manage |
|
|
MediaWorkflowを作成します。 |
manage |
|
|
MediaWorkflowをコンパートメント間で移動します。 |
manage |
|
|
MediaWorkflowを削除します。 |
この表は、media-workflow-configurationリソースの権限と、権限によって完全にカバーされるAPIを示しています。
| 動詞 | 権限 | カバーされるAPI | 説明 |
|---|---|---|---|
inspect |
MEDIA_WORKFLOW_CONFIGURATION_INSPECT |
ListMediaWorkflowConfiguration |
特定のコンパートメント内のMediaWorkflowConfigurationオブジェクトを一覧表示します。 |
read |
|
|
MediaWorkflowConfigurationの詳細を表示します。 |
use |
|
|
MediaWorkflowConfigurationを更新します。 |
manage |
|
|
MediaWorkflowConfigurationを作成します。 |
manage |
|
|
MediaWorkflowConfigurationをコンパートメント間で移動します。 |
manage |
|
|
MediaWorkflowConfigurationを削除します。 |
この表は、media-workflow-jobリソースの権限と、権限によって完全にカバーされるAPIを示しています。
| Verbs | 権限 | カバーされるAPI | Description |
|---|---|---|---|
inspect |
MEDIA_WORKFLOW_JOB_INSPECT |
ListMediaWorkflowJob |
特定のコンパートメントのMediaWorkflowJobsをリストします。 |
read |
|
|
MediaWorkflowJobの詳細を表示します。 |
use |
|
|
MediaWorkflowJobを更新します。 |
manage |
|
|
MediaWorkflowJobを作成します。 |
manage |
|
|
MediaWorkflowJobをコンパートメント間で移動します。 |
manage |
|
|
MediaWorkflowJobを取り消します。 |
この表は、media-assetリソースの権限と、権限によって完全にカバーされるAPIを示しています。
| Verbs | 権限 | カバーされるAPI | Description |
|---|---|---|---|
inspect |
MEDIA_ASSET_INSPECT |
ListMediaAsset |
特定のコンパートメント内のすべてのメディア・アセットをリストします。 |
read |
|
|
メディア・アセット・レコードのすべての詳細を表示します。 |
use |
|
|
メディア・アセット・メタデータを更新します。 |
manage |
|
|
メディア・アセットを作成します。 |
manage |
|
|
メディア・アセットをコンパートメント間で移動します。 |
manage |
|
|
メディア・アセットを削除します。 |
API操作ごとに必要な権限
次の表は、論理的な順序で、リソース・タイプ別にグループ化してAPI操作を示しています。リソース・タイプは、media-workflow、media-workflow-configuration、media-workflow-jobおよびmedia-assetです。
| API操作 | 操作の使用に必要な権限 |
|---|---|
ListMediaWorkflows |
MEDIA_WORKFLOW_INSPECT |
CreateMediaWorkflow |
MEDIA_WORKFLOW_CREATE |
DeleteMediaWorkflow |
MEDIA_WORKFLOW_DELETE |
UpdateMediaWorkflow |
MEDIA_WORKFLOW_UPDATE |
GetMediaWorkflow |
MEDIA_WORKFLOW_READ |
RunMediaWorkflow |
|
GetMediaWorkflowJob |
|
CancelMediaWorkflowJob |
|
ChangeMediaWorkflowCompartment |
MEDIA_WORKFLOW_MOVE |
ListMediaWorkflowConfigurations |
MEDIA_WORKFLOW_CONFIGURATION_INSPECT |
CreateMediaWorkflowConfiguration |
MEDIA_WORKFLOW_CONFIGURATION_CREATE |
DeleteMediaWorkflowConfiguration |
MEDIA_WORKFLOW_CONFIGURATION_DELETE |
UpdateMediaWorkflowConfiguration |
MEDIA_WORKFLOW_CONFIGURATION_UPDATE |
GetMediaWorkflowConfiguration |
MEDIA_WORKFLOW_CONFIGURATION_READ |
ChangeMediaWorkflowConfigurationCompartment |
MEDIA_WORKFLOW_CONFIGURATION_MOVE |
ListMediaWorkflowJob |
MEDIA_WORKFLOW_JOB_INSPECT |
CreateMediaWorkflowJob |
MEDIA_WORKFLOW_JOB_CREATE |
DeleteMediaWorkflowJob |
MEDIA_WORKFLOW_JOB_DELETE |
UpdateMediaWorkflowJob |
MEDIA_WORKFLOW_JOB_UPDATE |
GetMediaWorkflowJob |
MEDIA_WORKFLOW_JOB_READ |
ChangeMediaWorkflowJobCompartment |
MEDIA_WORKFLOW_JOB_MOVE |
ListMediaAsset |
MEDIA_ASSET_INSPECT |
CreateMediaAsset |
MEDIA_ASSET_CREATE |
DeleteMediaAsset |
MEDIA_ASSET_DELETE |
UpdateMediaAsset |
MEDIA_ASSET_UPDATE |
GetMediaAsset |
MEDIA_ASSET_READ |
ChangeMediaAssetCompartment |
MEDIA_ASSET_MOVE |
メディア・フロー・ユーザー・ロール
使用可能な権限またはポリシーを使用して、アクセスを構成できます。一般的なユーザー構成は次のとおりです。
| システム/医者 | Description | OCIリソース権限 |
|---|---|---|
| Workflow Manager | この使用またはグループは、コンテンツの処理に使用されるワークフローを定義します。 |
|
| コンテンツ・プロセッサ | このユーザーまたはグループは、コンテンツを処理するジョブを実行し、オブジェクト・ストアの入出力バケットに対する読取り/書込み権限を持っている必要があります。 |
|
| デジタル・アセット・ライブラリ | このグループには、作成されたメディア・アセットへのアクセスが必要です。 | read: メディアアセット |
IAMポリシー
メディア・フローに必要なIAMポリシーについて学習します。
次を確認します。
- メディア・サービスがオブジェクト・ストアのビデオ・コンパートメント内のオブジェクト・ファミリを読み取ることができるように、ストリーミング・ポリシーを構成しました。
- OCI Media Streamsを使用するユーザーまたはグループには、必要な権限があります。
詳細は、ポリシーの作成に関する項を参照してください。
構文の詳細は、ポリシー構文を参照してください。
音声、言語およびVisionサービスを使用している場合は、音声ポリシー、Visionポリシーおよび言語ポリシーを参照してください。
ポリシーの作成
次に、コンソールでポリシーを作成する方法を示します:
コンソールまたはAPIを使用してポリシーを作成および管理する手順については、ポリシーの管理を参照してください。
Oracle Cloud Infrastructureのすべてのポリシーの完全なリストは、ポリシー・リファレンスおよび共通ポリシーを参照してください。
ポリシーの例
様々なメディア・フロー・リソースを使用するには、メディア・フロー・ポリシーが必要です。
コンソールを使用したポリシーの作成については、ポリシーの作成の手順を参照してください。
構文の詳細は、ポリシー構文を参照してください。
メディア・ストリームを使用している場合は、メディア・ストリームIAMポリシーを参照してください。
次のポリシーの例が提供されます:
Allow <user or dynamic-group> to manage media-family in compartment <compartment_name>