ポリシー継承

基本ポリシー機能は、IAMの継承の概念です。

コンパートメントは、親コンパートメントからすべてのポリシーを継承します。たとえば、テナンシに自動的に付属する管理者グループがあります(管理者ロールの理解を参照)。

次に、管理者グループ(デフォルト・アイデンティティ・ドメイン内)がテナンシ内で何でも実行できるようにする組込みポリシーを示します:

Allow group Administrators to manage all-resources in tenancy

ポリシー継承のため、管理者グループはテナンシのどのコンパートメントでもすべての操作を実行できます。

たとえば、3つのレベルのコンパートメント(CompartmentA、CompartmentBおよびCompartmentC)を持つテナンシを考えてみます。

CompartmentAのリソースに適用されるポリシーは、CompartmentBおよびCompartmentCのリソースにも適用されます。

次の例では、グループNetworkAdmins (デフォルト・アイデンティティ・ドメイン内)がCompartmentAのVCNsを管理できるようにします。これは、CompartmentBおよびCompartmentCのVCNsを管理できることも意味します。

Allow group default/NetworkAdmins to manage virtual-network-family in compartment CompartmentA