소개

OCI의 정책은 AWS의 정책 설정처럼 포치 포치로 할 수 없었기 때문에
곤혹까지는 하지 않았습니다만 정리해 둡니다.

정책을 만들려고했습니다.

정책을 설정하는 그룹 만들기

대시보드에서 '그룹'을 클릭합니다.


그룹 만들기를 클릭합니다.


이름 및 설명을 입력하고 만들기를 클릭합니다.


만들어졌습니다.

정책 만들기

같은 화면에서 '정책'을 클릭


정책 만들기를 클릭합니다.


이번에는 로드 밸런서와 오브젝트 스토리지의 권한을 맞춰 보았습니다.
이름, 설명, 문장을 입력하면
만들기를 클릭


이것으로 작성 완료
해당 그룹에 속한 사용자에게이 정책이 적용됩니다.

정책 작성 방법 정보

하고 싶은 것에 의해 지정 방법이 여러가지 있으므로 기본은 정책 구문 매뉴얼 를 보는 것이 좋다고 생각합니다만,
나는 아래의 쓰는 방법으로 기본 쓰고 있습니다.

테넌시 전체에 권한을 부여하는 구문

ALLOW GROUP <グループ名> to <動詞> <Resource-Types> IN TENANCY

구획에 권한을 부여하는 구문

ALLOW GROUP <グループ名> to <動詞> <Resource-Types> IN COMPARTMENT 

동사 정보

매뉴얼은 아래에서
동사에 대한 설명서

간단히 정리하면


동사
허용되는 권한
주로 이런 사용자


inspect
목록 표시
어떤 리소스를 사용하고 있는지 알고 싶은 사용자

읽기
목록 보기, 메타데이터, 데이터
내용만 표시하고 싶은 사용자

사용
목록 보기, 메타데이터, 데이터, 업데이트 작업
기존 리소스를 이용하는 사용자

manage
모든 조작
리소스를 만드는 사용자, 관리자

Resource-Types 정보

매뉴얼은 아래에서
Resource-Types에 대한 설명서

수가 많아 소개하기 어렵지만 패밀리 자원 유형이라는 큰 자원 유형이 존재합니다.


패밀리 자원 유형
허용되는 리소스
상세 링크


all-resources
OCI 모든 리소스
-

cluster-family
Container Engine for Kubernetes
Container Engine for Kubernetes에 대해 자세히 알아보기

database-family
데이터베이스 서비스
데이터베이스 서비스에 대해 자세히 알아보기

dns
DNS 서비스
DNS 서비스에 대해 자세히 알아보기

file-family
파일 스토리지 서비스
파일 스토리지 서비스에 대해 자세히 알아보기

instance-family
컴퓨팅
인스턴스 패밀리 자원 유형 세부사항

object-family
오브젝트 스토리지, 아카이브 스토리지
오브젝트 스토리지, 아카이브 스토리지 및 데이터 전송에 대해 자세히 알아보기

virtual-network-family
네트워크
virtual-network-family 자원 유형에 대해 자세히 알아보기

volume-family
블록 볼륨
volume-family 자원 유형 세부사항


세밀하게 권한을 설정하지 않으면 패밀리 자원 유형을 지정할 수 있습니다.
상세하게 지정하고 싶은 경우는 상세 페이지로부터 내용을 확인해 지정해 주세요.

이런 식으로 동사마다 허용되는 내용을 확인할 수 있습니다.

오브젝트의 자원 유형


※주의하는 것이 상세 페이지가 일본어로 자동 번역되어 지정하는 리소스 타입의 이름이 일본어가 되어 버리므로,
소스에서 보거나 영어 페이지로 날아서 확인해야합니다.

객체라고 원문::objects 부분이 지정명

결론

혼자 이용하는 분에는 디폴트의 모든 권한이 붙은 채로 좋다고 생각합니다만,
유저를 추가해 갈 때에는 담당에 맞춘 권한을 붙여 주는 것이 좋다고 생각합니다.