OCI IAMポリシーは、admitおよびendorseの概念を使用して、クロステナンシ・アクセスを有効にします。ソース・テナンシのコンピュート・インスタンス(VendorA)に宛先テナンシのログ・アナリティクス(CompanyABC)にアクセスする権限を付与する場合は、両方のテナンシの管理者が次のようにIAMポリシーを作成する必要があります。

1. ソース・テナンシでのインスタンス・プリンシパルおよび動的グループの設定(VendorA):

   インスタンス・プリンシパル機能を使用すると、インスタンスからサービス・コールを実行できます。OCIコンピュート・インスタンスは、コンピュート・インスタンスの動的グループと、インスタンスが実行できる操作を認可するポリシーを作成することで、OCI APIと対話する権限を持ちます。

   動的グループ(oci_la_dgなど)を作成して、コンパートメント内のインスタンスをポリシーで定義された権限で認可します。

   Any {instance.compartment.id = 'ocid1.compartment.oc1..aaaaabcd',instance.compartment.id = 'ocid1.compartment.oc1..aaaaadef'}

2. ソース・テナンシのポリシーの作成(VendorA):

   Define tenancy CompanyABC as ocid1.tenancy.oc1..aaaaaaaaabc
   Endorse dynamic-group oci_la_dg to manage loganalytics-features-family in tenancy CompanyABC
   Endorse dynamic-group oci_la_dg to manage loganalytics-resources-family in tenancy CompanyABC
   Endorse dynamic-group oci_la_dg to manage management-dashboard-family in tenancy CompanyABC
   Endorse dynamic-group oci_la_dg to read compartments in tenancy CompanyABC

3. 宛先テナンシでのポリシーの作成(CompanyABC):

   Define tenancy VendorA as ocid1.tenancy.oc1..aaaaavendora
   Define dynamic-group oci_la_dg as ocid1.dynamicgroup.oc1..aaaaaaaavendora
   Admit dynamic-group oci_la_dg of tenancy VendorA to manage loganalytics-features-family in tenancy
   Admit dynamic-group oci_la_dg of tenancy VendorA to manage loganalytics-resources-family in tenancy
   Admit dynamic-group oci_la_dg of tenancy VendorA to manage management-dashboard-family in tenancy 
   Admit dynamic-group oci_la_dg of tenancy VendorA to read compartments in tenancy

4. 権限が付与されたインスタンスからログ・アナリティクスAPIを実行できるようになったことを確認します。

Endorse、AdmitおよびDefine文の詳細は、オブジェクト・ストレージのドキュメントを参照してください。動的グループに加えて、これらの文はグループにも適用できます。