リソース
リソース・タイプはOracleによって定義されます。リソース・タイプは、ポリシーが適用されるタイプまたはリソースを指定します。
構文:
<resource> | all-resourcesアクセス権が付与される条件を指定する機能など、ポリシーをより細かくするには、他のオプションもあります。
アクセス権が付与される条件を指定する機能など、ポリシーをより細かくする方法もあります。詳細は、条件を参照してください。
サービス・リソース・タイプの詳細は、「詳細なサービス・ポリシー・リファレンス」または使用しているサービスを参照してください。
個別リソース・タイプ
個々のリソース・タイプには、特定のタイプのリソースが含まれます。複数のvcnsがある場合、サブジェクト内のすべてのユーザーが動詞を実行できます。たとえば、vcnsリソース・タイプは、仮想クラウド・ネットワーク(VCNs)専用です。その他の個々のリソース・タイプには、subnets、instancesおよびvolumesがあります。サポートされているリソース・タイプの詳細は、サービスの詳細を参照してください。
Allow group HelpDesk to manage vcns in tenancyアクセス権が付与される条件を指定する機能など、ポリシーをより細かくするには、他のオプションもあります。
ファミリリソースタイプ
ポリシーの記述を容易にするために、ファミリリソースタイプには、一緒に管理されることが多い複数の個別のリソースタイプが含まれます。たとえば、virtual-network-familyタイプは、VCNsの管理に関連する様々なリソース・タイプ(vcns、サブネット、ルート表、セキュリティ・リストなど)をまとめます。個々のリソース・タイプのみにアクセスできるより詳細なポリシーを作成する必要がある場合は、実行できます。しかし、より幅広いリソースにアクセスできるようにポリシーを簡単に作成することもできます。
別の例で、ブロック・ボリュームにはボリューム、ボリューム・アタッチメントおよびボリューム・バックアップがあります。ボリュームのバックアップ作成のみへのアクセス権を付与する必要がある場合は、ポリシーでボリューム・バックアップ・リソース・タイプを指定できます。ただし、すべてのリソースに幅広いアクセス権限を付与する必要がある場合は、volume-familyというファミリ・タイプを指定できます。
Allow group A-Users to manage volume-family in compartment Project-Aサービスが個々のリソース・タイプを新しく導入する場合は、それらは通常、そのサービスのファミリ・タイプに含まれます。たとえば、ネットワーキングが新しい個別のリソース・タイプを導入した場合、それは仮想ネットワーク・ファミリ・リソース・タイプの定義に自動的に組み込まれます。サービス更新時のリソース・タイプの定義に対する変更の詳細は、ポリシーとサービスの更新に関する項を参照してください。
複数のリソース・タイプを必要とするアクセス
例: 。
一部のAPI操作では、いくつかのリソース・タイプにアクセスする必要があります。たとえば、LaunchInstance操作では、コンピュート・インスタンスを作成し、クラウド・ネットワークを使用する機能が必要です。CreateVolumeBackup操作では、ボリュームとボリューム・バックアップの両方にアクセスする必要があります。各リソース・タイプへのアクセス権を付与するには、個別のポリシー・ステートメントが必要です。
Allow group A-Users to manage volumes in compartment Project-AAllow group B-Users to manage volume-backups in compartment Project-Aこれらの個々のステートメントは、同じポリシーに属している必要はなく、ユーザーは、異なるグループに属していることから必要なアクセス権を得ることができます。
たとえば、Georgeは、volumesリソース・タイプに必要なアクセス・レベルを付与するグループと、volume-backupsリソース・タイプに必要なアクセス権を付与する別のグループ内に配置できます。個々の文の合計により、GeorgeはCreateVolumeBackupにアクセスできます。
すべてのリソース
コンパートメントまたはテナンシ内のすべてのリソースを指定するには、all-resourcesを使用します。例:
Allow group A-Admins to manage all-resources in compartment Project-A