テナンシ全体のリソースにアクセスするためのポリシーの記述

Private Cloud Applianceでは、テナンシが他のテナンシからアクセスできるようにポリシーを記述できるため、テナンシ間でリソースを共有できます。

両方のテナンシの管理者は、どのリソースにアクセスして共有できるかを明示的に示す特別なポリシー・ステートメントを作成する必要があります。これらの特殊文は、次の特殊動詞を使用します。

• 承認: このポリシー・ステートメントは、ソース・テナンシ内のグループが他のテナンシで実行できる作業を示します。別のテナンシのリソースを使用する必要があるユーザーのグループを含むテナンシのendorse文を記述します。
• 許可: このポリシー・ステートメントは、他のテナンシのグループが宛先テナンシで実行できる作業を示します。リソースにアクセスする権限を付与しているテナンシのadmit文を記述します。admit文は、宛先テナンシでのリソース・アクセスを必要とするソース・テナンシのユーザー・グループを識別します。

• 定義: このポリシー・ステートメントは、ソース・テナンシのOCID、ソース・グループのOCIDおよび宛先テナンシのOCIDの別名を割り当てるために使用されます。ソース・テナンシの別名と、admitポリシー・ステートメントで使用するソース・グループの別名を定義します。endorseポリシー・ステートメントで使用する宛先テナンシの別名を定義します。

  defineステートメントは、endorseまたはadmitステートメントと同じポリシー・エンティティに含める必要があります。

endorseステートメントとadmitステートメントは連携して動作します。endorseステートメントがソース・テナンシに存在しているのに対し、admitステートメントが宛先テナンシに存在します。アクセス権を指定する対応ステートメントがない場合、特定のendorseまたはadmitステートメントはアクセス権を与えません。両方のテナンシがアクセスに同意し、アクセスを許可するポリシーを持っている必要があります。

ソース・テナンシでは、次の構文を使用して、defineおよびendorseポリシー・ステートメントを記述します:

define tenancy destination-tenancy-alias as tenancy_ocid

endorse group group-name to verb resource in tenancy destination-tenancy-alias

宛先テナンシでは、次の構文を使用して、2つのdefineポリシー・ステートメントと1つのadmitポリシー・ステートメントを記述します。

define tenancy source-tenancy-alias as tenancy_ocid

define group source-group-alias as group_ocid

admit group source-group-alias of tenancy source-tenancy-alias to verb resource in compartment/tenancy