Oracle Cloud Infrastructureドキュメント

動詞

ポリシー・ステートメントのverb要素は、アクセスのタイプを指定します。たとえば、inspectを使用して、サード・パーティの監査者が指定したリソースをリストできるようにします。

IAMポリシーを作成するための動詞は、Oracleによって定義されます。

少なくともアクセスからほとんどのアクセスまで、次の動詞があります。

  • inspect
  • read
  • use
  • manage

各動詞でカバーされる一般アクセス

次に、可能な動詞ごとの一般的なアクセス・タイプとターゲット・ユーザーを示します。これらは、少なくともアクセスの順番です。一部のリソースでは例外がサポートされています。参照

動詞 ターゲット・ユーザー カバーされるアクセスのタイプ
inspect サードパーティ監査者 リソースに含まれる可能性がある機密情報やユーザー指定のメタデータにはアクセスせずに、リソースをリストできる機能。重要:ポリシーをリストする操作には、ポリシー自体の内容が含まれます。ネットワーキング・リソース・タイプのリスト操作はすべての情報(たとえば、セキュリティ・リストおよびルート表の内容)を返します。
read 内部監査者 inspectに加えて、ユーザー指定のメタデータと実際のリソース自体を取得する機能が含まれます。
use リソースの日常的なエンド・ユーザー readに、既存のリソースを操作する機能を追加します(アクションはリソース・タイプによって異なります)。リソースを更新する権限が含まれますが、「更新」操作が実質的には作成操作と同じであるリソース・タイプ(たとえば、UpdatePolicyUpdateSecurityListなど)は除きます。この場合、「更新」機能はmanage動詞でのみ使用できます。一般に、この動詞には、そのタイプのリソースを作成または削除する機能が含まれません。
manage 管理者 リソースのすべての権限が含まれます。

動詞は、特定の一般的なアクセスのタイプ(たとえば、inspectを指定すると、リソースをリストして取得できます)を提供します。次に、そのアクセスのタイプをポリシー内の特定のリソース・タイプと結合する場合(たとえばAllow group XYZ to inspect compartments in the tenancy)、そのグループに特定のセットの権限とAPI操作(ListCompartmentsGetCompartmentなど)のアクセス権を付与えます。詳細な例は、動詞とリソース・タイプの組合せの詳細を参照してください。「詳細サービス・ポリシー・リファレンス」には各サービスについて同様の表が含まれ、動詞とリソース・タイプの各組合せに対してどのAPI操作が対象かが正確にリストされて提供されます。

特定のリソース・タイプには、いくつかの特別な例外や微妙な違いがあります。

ユーザー: manage usersmanage groupsの両方にアクセスすると、ユーザーとグループの作成および削除、グループに対するユーザーの追加/削除など、ユーザーおよびグループのあらゆる操作を実行できます。ユーザーとグループの作成および削除のためのアクセス権なしでグループのユーザーを追加/削除するには、use usersuse groupsの両方のみが必要です。ポリシー・ビルダーのポリシー・テンプレートを参照してください。

ポリシー:ポリシーの更新は新規ポリシーの作成と同様であるため、ポリシーを更新する機能は、use policiesではなくmanage policiesでのみ使用可能です(既存のポリシー・ステートメントは上書きできます)。また、inspect policiesを使用すると、ポリシーの全コンテンツを取得できます。

オブジェクト・ストレージ・オブジェクト: inspect objectsによって、バケット内のすべてのオブジェクトをリストし、特定のオブジェクトに対してHEAD操作を実行できます。これに対して、read objectsでは、オブジェクト自体をダウンロードできます。

ロード・バランサ・リソース:inspect load-balancersによって、ロード・バランサや関連コンポーネント(バックエンド・セットなど)に関するすべての情報を取得できます。

ネットワーキング・リソース:

inspect動詞では、クラウド・ネットワークのコンポーネント(セキュリティ・リストまたはルート表の名前とOCIDなど)に関する一般情報が戻されるだけではありません。コンポーネントのコンテンツ(たとえば、セキュリティ・リスト内の実際のルール、ルート表内のルートなど)も含まれます。

また、次のタイプの機能はmanage動詞でのみ使用でき、use動詞では使用できません。

  • internet-gatewaysの更新(有効化/無効化)
  • security-listsの更新
  • route-tablesの更新
  • dhcp-optionsの更新
  • Virtual Cloud Network (VCN)へのDynamic Routing Gateway (DRG)のアタッチ
  • DRGと顧客構内機器(CPE)間のIPSec接続の作成
  • ピアVCN
重要

各VCNには、ネットワークの動作に直接影響する様々なコンポーネント(ルート表、セキュリティ・リスト、DHCPオプション、インターネット・ゲートウェイなど)があります。これらのコンポーネントのいずれかを作成する場合、そのコンポーネントとVCNの間の関係を確立します。つまり、コンポーネントを作成してVCN自体を管理することがポリシーで許可されている必要があります。ただし、(ルート・ルールやセキュリティ・リスト・ルールなどの変更のために)そのコンポーネントを更新する機能は、コンポーネントを変更してネットワークの動作に直接影響する場合でも、VCN自体を管理する権限を必要としていません。 この違いは、ユーザーに最低限の権限を付与する柔軟性を提供するためです。これによって、ユーザーがネットワークの他のコンポーネントを管理できるようにするためのみに、VCNへの必要以上のアクセス権を付与せずに済むようにします。特定のタイプのコンポーネントを更新する機能をユーザーに提供することで、ネットワークの動作の制御を暗黙的に信頼することになるので注意してください。