リソース
リソース・タイプは、Oracleによって定義されます。リソース・タイプは、ポリシーを適用するタイプまたはリソースを指定します。
構文:
<resource> | all-resourcesアクセス権が付与される条件を指定する機能など、ポリシーをより細かくするには、他のオプションもあります。
アクセス権が付与される条件を指定する機能など、ポリシーをより細かくするには、他の方法があります。詳細は、条件を参照してください。
サービス・リソース・タイプの詳細は、「詳細なサービス・ポリシー・リファレンス」または使用しているサービスを参照してください。
個別リソース・タイプ
個々のリソース・タイプには、特定のタイプのリソースが含まれます。複数のvcnsがある場合、サブジェクト内のすべてのユーザーが動詞を実行できます。たとえば、vcnsリソース・タイプは、仮想クラウド・ネットワーク(VCNs)専用です。その他の個別のリソース・タイプには、subnets、instancesおよびvolumesがあります。サポートされているリソース・タイプの詳細は、サービスの詳細を参照してください。
Allow group HelpDesk to manage vcns in tenancyアクセス権が付与される条件を指定する機能など、ポリシーをより細かくするには、他のオプションもあります。
ファミリ・リソース・タイプ
ポリシーの記述を容易にするために、ファミリ・リソース・タイプには、多くの場合一緒に管理される個別のリソース・タイプがいくつか含まれます。たとえば、仮想ネットワーク・ファミリ・タイプでは、VCNsの管理に関連する様々なリソース・タイプ(vcns、サブネット、ルート表、セキュリティ・リストなど)がまとめられます。個々のリソース・タイプのみにアクセスできるより詳細なポリシーを作成する必要がある場合は、実行できます。しかし、より幅広いリソースにアクセスできるようにポリシーを簡単に作成することもできます。
別の例としては、ブロック・ボリュームにはボリューム、ボリューム・アタッチメントおよびボリューム・バックアップがあります。ボリュームのバックアップの作成のみにアクセス権を付与する必要がある場合は、ポリシーでボリューム・バックアップ・リソース・タイプを指定できます。ただし、すべてのリソースに幅広いアクセス権限を付与する必要がある場合は、volume-familyというファミリ・タイプを指定できます。
Allow group A-Users to manage volume-family in compartment Project-Aサービスが個々のリソース・タイプを新しく導入するとき、それらは通常、そのサービスのファミリ・タイプに含まれます。たとえば、ネットワーキングが新しい個別のリソース・タイプを導入した場合、それはvirtual-network-familyリソース・タイプの定義に自動的に組み込まれます。サービス更新時のリソース・タイプの定義に対する変更の詳細は、ポリシーとサービスの更新に関する項を参照してください。
複数のリソース・タイプを必要とするアクセス
例:
一部のAPI操作では、いくつかのリソース・タイプにアクセスする必要があります。たとえば、LaunchInstance操作では、コンピュート・インスタンスを作成し、クラウド・ネットワークを使用する機能が必要です。CreateVolumeBackup操作では、ボリュームとボリューム・バックアップの両方にアクセスする必要があります。各リソース・タイプへのアクセス権を付与するには、個別のポリシー・ステートメントが必要です。
Allow group A-Users to manage volumes in compartment Project-AAllow group B-Users to manage volume-backups in compartment Project-Aこれらの個々のステートメントは同じポリシー内に存在する必要はなく、ユーザーは異なるグループに属することから必要なアクセス権を得ることができます。
たとえば、Georgeは、ボリューム・リソース・タイプに必要なアクセス・レベルを付与するグループと、volume-backupsリソース・タイプに必要なアクセス権を付与する別のグループ内に配置できます。個々の文の合計により、GeorgeはCreateVolumeBackupにアクセスできます。
すべてのリソース
コンパートメントまたはテナンシ内のすべてのリソースを指定するには、all-resourcesを使用します。例:
Allow group A-Admins to manage all-resources in compartment Project-A