IAMポリシーの構成

外部KMSプライベート・エンドポイント、ボールトおよびキーを管理するためのIAMポリシーを構成します。

外部KMSを使用すると、テナンシまたは特定のコンパートメント内の外部KMSプライベート・エンドポイント、ボールトおよびキーを管理(作成、変更または削除)するようにIAMポリシーを構成できます。

外部KMSプライベート・エンドポイントを管理するポリシーの例

テナンシまたは特定のコンパートメント内の外部KMSプライベート・エンドポイントを管理(作成、更新および削除)するポリシーを作成します。

ALLOW GROUP <group-name> TO manage ekms-private-endpoints IN compartment <compartment-name>

例

ALLOW GROUP dataflow-sql-endpoint-admin TO manage ekms-private-endpoints IN compartment compartment1

仮想ネットワークを管理するポリシーの例

外部KMSプライベート・エンドポイントには、Virtual Networksを管理するためのポリシーも必要です。テナンシまたは特定のコンパートメントの仮想ネットワークを管理するためのポリシーを作成する必要があります。

ALLOW GROUP <group-user> TO manage virtual-network-family IN compartment <compartment-name>

ALLOW GROUP dataflow-sql-endpoint-admin TO manage virtual-network-family IN compartment compartment1

テナンシまたは特定のコンパートメント内の外部KMSプライベート・エンドポイントを読み取るポリシーの例

テナンシまたは特定のコンパートメント内の外部KMSプライベート・エンドポイントを読み取ることができるポリシーを作成します。

ALLOW GROUP <group-name> TO read ekms-private-endpoints IN compartment <compartment-name>

例

ALLOW GROUP dataflow-sql-endpoint-admin TO read ekms-private-endpoints IN compartment compartment1

テナンシまたは特定のコンパートメント内の外部KMSプライベート・エンドポイントをリストするポリシーの例

テナンシまたは特定のコンパートメント内の外部KMSプライベート・エンドポイントをリストできるポリシーを作成します。

ALLOW GROUP <group-name> TO inspect ekms-private-endpoints IN compartment <compartment-name>

例

ALLOW GROUP dataflow-sql-endpoint-admin TO inspect ekms-private-endpoints IN compartment compartment1

ボールトを管理するポリシーの例

特定のコンパートメント内のボールトの管理をユーザーに許可するポリシーを作成します。

Allow group <group-name> to manage vaults in compartment <compartment-name>

例

Allow group SecurityAdmins to manage vaults in compartment1

キーを管理するポリシーの例

特定のコンパートメント内のキーの管理をユーザーに許可するポリシーを作成します。

Allow group <group-name> to manage keys in compartment <compartment-name>

例

Allow group SecurityAdmins to manage keys in compartment1

ボールトおよびキーに関連するポリシーについては、OCI KMSと同じままです。詳細は、キー管理サービス・ポリシーを参照してください。

管理者がIAMポリシーを使用してボールトおよびキーを管理する方法の詳細は、VaultおよびキーのIAMポリシーの構成を参照してください