OCI IAMポリシーは、admitおよびendorseの概念を使用して、クロステナンシ・アクセスを有効にします。ソース・テナンシのコンピュート・インスタンス(VendorA)に宛先テナンシのログ・アナリティクス(CompanyABC)にアクセスする権限を付与する場合は、両方のテナンシの管理者が次のようにIAMポリシーを作成する必要があります。

1. ソース・テナンシでインスタンス・プリンシパルおよび動的グループを設定します (VendorA):

   インスタンス・プリンシパル機能を使用すると、インスタンスからサービス・コールを実行できます。OCIコンピュート・インスタンスは、コンピュート・インスタンスの動的グループと、インスタンスが実行できる操作を認可するポリシーを作成することで、OCI APIとの対話を認可されます。

   動的グループ(oci_la_dgなど)を作成して、ポリシーで定義された権限でコンパートメント内のインスタンスを認可します。

   Any {instance.compartment.id = 'ocid1.compartment.oc1..aaaaabcd',instance.compartment.id = 'ocid1.compartment.oc1..aaaaadef'}

2. ソース・テナンシにポリシーを作成します(VendorA):

   Define tenancy CompanyABC as ocid1.tenancy.oc1..aaaaaaaaabc
   Endorse dynamic-group oci_la_dg to manage loganalytics-features-family in tenancy CompanyABC
   Endorse dynamic-group oci_la_dg to manage loganalytics-resources-family in tenancy CompanyABC
   Endorse dynamic-group oci_la_dg to manage management-dashboard-family in tenancy CompanyABC
   Endorse dynamic-group oci_la_dg to read compartments in tenancy CompanyABC

3. 宛先テナンシにポリシーを作成します(CompanyABC):

   Define tenancy VendorA as ocid1.tenancy.oc1..aaaaavendora
   Define dynamic-group oci_la_dg as ocid1.dynamicgroup.oc1..aaaaaaaavendora
   Admit dynamic-group oci_la_dg of tenancy VendorA to manage loganalytics-features-family in tenancy
   Admit dynamic-group oci_la_dg of tenancy VendorA to manage loganalytics-resources-family in tenancy
   Admit dynamic-group oci_la_dg of tenancy VendorA to manage management-dashboard-family in tenancy 
   Admit dynamic-group oci_la_dg of tenancy VendorA to read compartments in tenancy

4. 権限が付与されたインスタンスからログ・アナリティクスAPIを実行できるようになったことを確認します。

Endorse、AdmitおよびDefine文の詳細は、オブジェクト・ストレージのドキュメントを参照してください。動的グループに加えて、これらの文もグループに適用できます。