ポリシー・アタッチメント

IAMポリシーを作成する場合は、IAMのコンパートメントにアタッチする必要があります。

ルート・コンパートメントにポリシーを記述すると、ポリシーはテナンシ全体に適用されます。通常、管理者グループまたは作成した同様のグループがポリシーを管理します。テナンシにポリシーをアタッチすると、テナンシ内のポリシーを管理できるすべてのユーザーが、テナンシ全体のポリシーを変更または削除できます。子コンパートメントにのみアクセスできるユーザーは、ルート・コンパートメントにアタッチされているポリシーを変更または削除できません。

ポリシーを子コンパートメントにアタッチした場合、そのコンパートメント内のポリシーを管理するためのアクセス権を持つユーザーがポリシーを管理します。つまり、コンパートメント管理者が他のコンパートメントまたはテナンシでより広範なアクセス権を付与することなく、独自のコンパートメントのポリシーを簡単に管理できます。