コンパートメント階層でのIAMポリシーの管理 (2026/02/26)

コンパートメント階層でのIAMポリシーの管理 (2026/02/26)

https://www.ateam-oracle.com/managing-iam-policies-in-compartment-hierarchy

投稿者:Kiran Thakkar | Master Principal Cloud Architect

Rahul Pratap Singh | Senior Product Manager

はじめに

Oracle Cloud Infrastructureでは、コンパートメント階層ベースの新しいポリシー評価方法が導入されました。この方法では、これまでよりも多くのIAMポリシーステートメントがサポートされます。この変更により、お客様はポリシー評価の一貫性とサービスの信頼性を維持しながら、IAMポリシーを従来の制限を超えて拡張できるようになります。 

Oracle Cloud Infrastructure (OCI) では、ルート・コンパートメントからリーフ・コンパートメントに至るまで、コンパートメント 階層に沿って評価される IAM ポリシー・ステートメントの総数に制限が設けられるようになりました 。このガイドでは、ポリシー関連のエラーが発生する可能性のある理由を説明し、 それらのエラーを解決および防止するための 実践的で優先順位の高いアクションを紹介します。

コンパートメント階層

まず、コンパートメント階層とは何かを理解しましょう。以下のコンパートメント構造では、すべてのコンパートメント階層を示しています。

上記のコンパートメント構造について、すべてのコンパートメント階層を示す図を以下に示します。

上の図にある色付きの縦線はすべて、コンパートメント階層を表しています。図に示されているように、ルートコンパートメントはすべてのコンパートメント階層の一部です。同様に、レベル1のコンパートメントは複数のコンパートメント階層の一部となります。一方、リーフコンパートメントは1つのコンパートメント階層のみに含まれます。そのため、可能な限り、ほとんどのポリシーをリーフコンパートメントレベルで記述することをお勧めします。 

注: 一部のサービスはルートコンパートメントに存在します。これらのポリシーはルートコンパートメントに記述する必要があります。 

この制限の背景については、公式ドキュメントを参照してください:  
https://docs.oracle.com/en-us/iaas/Content/Identity/policymgmt/policy-limits-compartment-hierarchy.htm

IAM ポリシーステートメントの制限

いずれかのコンパートメント階層で IAM ポリシー ステートメントの制限を超えると、IAM ポリシーの作成、更新、または削除中にエラーが発生する可能性があります。

エラーの例: 
このコンパートメント階層に許可されているポリシー ステートメントの最大数に達しました (制限: 500、現在の使用量: 502)。 

上記のエラーが表示された場合、影響を受けないもの: 

  • コンパートメント階層内の サポートされている制限内の既存の IAM ポリシーは 影響を受けません。
  • すでに作成され有効なポリシーについては、 ランタイム アクセスの強制には影響はありません。 
  • ポリシーまたはコンパートメントをアクティブに変更しない限り、アクションは必要ありません。 

なぜこのエラーが表示されるのでしょうか? IAMポリシーの制限は、コンパートメント階層レベルで 評価されます 。ルートコンパートメントで定義され、子コンパートメントに継承されたすべてのポリシーは、まとめてカウントされます。階層の上位、特にルートにポリシーが多すぎると、たとえそれらのポリシーがリソースの小さなサブセットにしか関連していなくても、すぐに制限に達する可能性があります。コンパートメント階層のポリシーステートメント数を説明するために、上に示したコンパートメント階層の小さなサブセットについて、下の図で各コンパートメント階層のポリシーステートメント数をカウントします。

上の図では、赤い円はそれぞれ、そのコンパートメント内のポリシーステートメントの数を表しています。図示されている構造には4つのコンパートメント階層が含まれており、各階層のポリシーステートメントの総数がその下に表示されます。4つの階層全体で、1つの階層あたりのポリシーステートメントの最大数は450です。

これにより、強調する価値のあるいくつかの重要な観察結果が得られます。

  • ルート コンパートメント レベルで定義されたポリシー ステートメントは、すべてのコンパートメント階層にカウントされるため、ルート レベルのポリシーは、スコープの点で最も広範囲に及び、ポリシー ステートメントの制限への影響の点でも広範囲に及びます。
  • AppDev コンパートメントで定義されたポリシーは、構造内の共有位置を反映して、3 つの異なる階層に貢献します。
  • 対照的に、リーフ コンパートメント内のポリシー (PRD や NPRD など) は、それぞれの個別の階層に対してのみカウントされるため、ポリシー制限の観点からは最も効果的です。

階層ごとの制限に近づくと、環境の拡大に応じてポリシーを追加する能力が制限される可能性があるため、コンパートメント構造を計画する際には、ポリシー ステートメントが階層間でどのように蓄積されるかを理解することが重要です。

推奨されるアクション: 
コンパートメント階層内のIAMポリシーステートメントの数を減らし、ポリシーの作成/更新の失敗やコンパートメントの移動の失敗を防ぐには、以下の手順に従ってください。リスクの最も低い変更から順番にアクションを実行してください。 

1. 未使用、重複、または不要なポリシーを削除します。 
これは、コンパートメント構造を変更せずにポリシー ステートメントの数を減らす最も速い方法です。 

  • 廃止されたプロジェクトまたは環境に関連付けられたポリシー 
  • 同じ権限を付与する重複ステートメント 
  • 必要なくなった一時的な移行またはブレイクグラスポリシー 

例 1:  
以前 (重複ステートメント): 
グループ AppTeamA にコンパートメント Dev 内のインスタンスの管理を許可する 
グループ AppTeamA にコンパートメント Dev 内のインスタンスの読み取りを許可する 

後 (重複を削除): 
グループ AppTeamA がコンパートメント Dev 内のインスタンスを管理できるようにします。 
上記の例では、重複または冗長な権限 (「読み取り」や「管理」など) を削除して重複するポリシー ステートメントを統合し、全体的なポリシー数を減らすことを提案しています。 

例2:
サービス osms にテナンシー内のインスタンスの読み取りを許可する 
サービス osms にテナンシー内のインスタンスの読み取りを許可する
複数のアプリケーションチームが、ルートコンパートメント内の異なるポリシーオブジェクトに同じポリシーステートメントを作成する場合があります。これらの重複ステートメントを見つけて、どちらか一方を削除できます。

例3:  
サービスobjectstorage-us-ashburn-1にコンパートメントDevのキーの読み取りを許可する 
サービスobjectstorage-us-ashburn-1にテナンシーのキーの読み取りを許可する 

サービス FaaS がコンパートメント Dev で仮想ネットワーク ファミリを使用できるようにする 
サービス FaaS がテナンシーで仮想ネットワーク ファミリを使用できるようにする 

上記の例は、コンパートメント階層の異なるレベルで冗長なステートメントを排除し、ルートコンパートメントとリーフコンパートメントの両方で権限が不必要に重複しないようにする必要があることを示しています。ポリシーはリーフレベルに保持し、ルートからは削除するのがベストプラクティスですが、他のチームがユースケースでルートのポリシーに依存していないことを確認する必要があります。 

2. ポリシーをターゲットコンパートメントに近づける ルートコンパートメント
で定義されたポリシーは テナンシー全体に適用され、すべてのコンパートメント階層でカウントされます。ポリシーのスコープを適切な最下位のコンパートメント(主にリーフコンパートメント)に限定すると、継承が削減され、関連のない階層のステートメント数も減少します。 

例: 
グループFinanceAdminsにコンパートメントRoot:App:Prod:Finance内のバケットの管理を許可する 
上記のポリシーステートメントは、テナンシ内のすべてのコンパートメント階層のポリシーステートメント制限にカウントされます。 
代わりに、以下に示すように、ポリシーをFinanceコンパートメントに移動します。
グループFinanceAdminsにコンパートメントFinance内のバケットの管理を許可する 
上記のポリシーステートメントは、「Finance」コンパートメント階層のみにカウントされ、ルートコンパートメント内のポリシー数も削減されます。  

3. 既存のポリシーをリファクタリングして簡素化する 
最小限の権限を維持しながらポリシーを統合することで、限定的で繰り返しの多い記述を削減します。 
典型的なリファクタリング 

  • 同じグループとリソース ファミリのステートメントを結合する 
  • 不要になった権限を削除する 
  • 多数の単一リソースステートメントを、より少ないファミリーレベルのステートメントに置き換えます(適切な場合) 

 
(複数の狭いステートメント): 
グループ DevOps にコンパートメント App 内のインスタンスの読み取りを許可する 
グループ DevOps にコンパートメント App 内のボリュームの読み取りを許可する 
グループ DevOps にコンパートメント App 内の vnic-attachments の読み取りを許可する 

後(ファミリーごとに統合): 
グループ DevOps がコンパートメント アプリの compute-family を読み取ることを許可します。 

4. タグベースのポリシーを使用する(長期的な最適化) 
タグベースのポリシーを使用すると、より少ないポリシーステートメントでアクセス制御を拡張できます。タグの一貫性が保たれている場合、タグベースのポリシーは、コンパートメントまたはリソース固有の多くのステートメントを置き換えることができます。 

仕組み 

  • リソースにタグを適用する(例:Environment=PROD) 
  • 一致するタグに基づいてアクセスを許可するポリシーを記述する 

リソースに適用されるタグの例 

環境 = PROD 
ポリシー: 
グループ ProdAppAdmins がコンパートメント Network 内の network-family-resources を使用できるようにします (target.resource.tag.Environment = 'PROD') 

ガイダンス 

  • チーム間で一貫したタグキーと値を使用する 
  • 定義されたタグを優先し、タグの作成と更新にガバナンスを適用する 

追加サポート 

推奨されるアクションを完了した後も IAM ポリシー制限エラーが引き続き発生する場合は、次のオプションを使用します。 

  • Oracle アカウント チームにお問い合わせください。 
    次の場合は、Oracle アカウント マネージャーまたはカスタマー サクセス マネージャーにご連絡ください。 
  • この問題は生産作業負荷に影響する 
  • 大規模なポリシーリファクタリングやタグ付け戦略に関するガイダンスが必要です 
  • 複数のコンパートメントまたはリージョンにわたるアーキテクチャの変更を評価するための支援が必要です 
  • アカウント チームが現在の IAM 設計を確認し、次のステップを推奨いたします。 
  • サポートサービスリクエストを開く 
    ポリシー操作がブロックされたままの場合、または変更の検証にサポートが必要な場合は、サポートサービスリクエストを開いてください。解決を迅速に進めるために、以下の情報をご提供ください。
  • APIまたはコンソールから返される完全なエラーメッセージ 
  • 影響を受けるコンパートメントのOCIDとコンパートメント階層 
  • 失敗した操作(ポリシーの作成、ポリシーの更新、コンパートメントの移動) 
  • 現在のポリシーステートメントの使用状況(利用可能な場合) 

サポート リクエストの作成方法については、 
https ://docs.oracle.com/iaas/Content/GSG/Tasks/contactingsupport.htm を参照してください。

参考文献 

コメント

コメントを投稿

このブログの人気の投稿

Oracle Database 19cサポート・タイムラインの重要な更新 (2024/11/20)

イメージ
Oracle Database 19cサポート・タイムラインの重要な更新 (2024/11/20) https://mikedietrichde.com/2024/11/20/important-update-to-oracle-database-19c-support-timelines/ 長い沈黙は、私が隠れているという意味ではありません。つまり、今はとても忙しいということです。そして、より少ない旅行で、私はあなたのコメントにもブログと返信するより多くの時間を持っていることを願っています。それでも、Oracle Database 19cサポート・タイムラインの非常に重要な更新について説明します。 * 更新された内容 2024年11月19日現在、Oracle Database 19cのサポート・タイムラインが調整されています。 MOSノート: 742060.1 – 現在のデータベース・リリースのリリース・スケジュールを見ると、新しい日付が表示されます。 Premier Support、2029年12月31日まで 2030年1月1日から2032年12月31日までの拡張サポート 2033年1月1日から2034年12月31日までのアップグレード・サポート これは知ることがとても大切です。 他のリリースの更新はありますか。 MOSノートの終わりにある変更ログ: 742060.1 – 現在のデータベース・リリースのリリース・スケジュールでは、Oracle Database 21cの最新の更新も確認できます。このリリースのPremier Support期間は、2027年7月31日まで延長されました。 また、Oracle Database 23aiのパッチ適用終了日は2032年12月31日に設定されています。 Lifetime Support Policy 更新は、Oracle Technology Productsの Oracle Lifetime Support Policy (6ページ)でも確認できます。 From: Oracle Lifetime Support Policy for Oracle Technology Product s – page 6 – Nov 19, 2024 特に、次の表に示す制限事項に注意してください。 Oracle Database 1...
続きを読む

ミリ秒の問題: BCCグループとOCIが市場データ・パフォーマンスを再定義する方法(AWSに対するベンチマークを使用) (2025/11/13)

イメージ
ミリ秒の問題: BCCグループとOCIが市場データ・パフォーマンスを再定義する方法(AWSに対するベンチマークを使用) (2025/11/13) https://blogs.oracle.com/cloud-infrastructure/post/milliseconds-matter-bcc-group-and-oci-vs-aws 投稿者: Steven Riley | Senior Cloud Architect William Bierds | Business Analyst and Systems Engineer - BCC Group International Travis Liles | Master Principal Cloud Architect Puru Patel | Cloud Architect - FSI これは、BCC グループと Oracle Cloud Infrastructure (OCI) 間の市場データ パートナーシップを紹介するブログ シリーズの第 2 部です。   はじめに 金融市場データアプリケーションは、トレーダー、金融機関、そして市場参加者が情報に基づいた意思決定を行えるよう、リアルタイムデータを提供することで、取引エコシステムにおいて重要な役割を果たしています。 前回のブログ で述べたように、取引環境において最適なパフォーマンスを確保するには、市場データを超低レイテンシかつ高い信頼性で配信する必要があります。 今日の急速に変化する金融市場において、クラウドは市場データ・アプリケーションにとって強力な推進力として台頭しています。適切なネットワークとインフラストラクチャがあれば、企業は実行時間の短縮、可用性の向上、そして堅牢なセキュリティを実現できます。しかし、企業によるクラウド導入は遅れており、ワークロードのクラウド移行計画を中止しているケースもあります。そこで、BCCグループとOracle Cloud Infrastructure(OCI)のパートナーシップが注目されています。 BCCグループは、主力市場データアプリケーションであるONE PlatformをOCI上に導入しました。このブログでは、以下の点について説明します。 このパートナーシップがなぜこれほど相乗効果をもたらすのかを探る OC...
続きを読む

OCIサービスを利用したWebサイトの作成 その4~Identity Cloud Serviceでサイトの一部を保護 (2021/12/30)

イメージ
OCIサービスを利用したWebサイトの作成 その4~Identity Cloud Serviceでサイトの一部を保護 (2021/12/30) https://blogs.oracle.com/cloudsecurity/post/using-oci-services-part-4 投稿者: Christopher Johnson 今回は、OCI Native Servicesを使って完全にサーバーレスでWebサイトをホスティングするシリーズの第4弾です。     パート1 では、OCI WAF + API Gateway + Functionを使用して、OCI Object Store Bucketから静的コンテンツを提供する基本的な方法を紹介しました。     パート2 では、バケットを(公開ではなく)非公開にし、Resource Prinicpalを使用して安全にアクセスする方法を紹介しました。     パート3 では、ハードコードされた設定を削除し、代わりにそれらの設定をアプリケーションに保存する方法を紹介しました。 パート4では、サイトの一部をログインの後ろに置いてみようと思っています。 この記事は、ちょっとした「フクロウの描き方」のようなものになりそうです。でも、コードを見ればきっと理解できるはずです! IDCSでアプリケーションを作成 注:OCI Identity Domains は、OCI の新規顧客に対して IDCS の機能を直ちに提供します。現在 IDCS を使用している顧客については、既存の IDCS ストライプは今後数ヶ月の間に OCI Identity Domains に移行される予定です。詳細については、OCI Identity Domainの ドキュメント を参照してください。この変更は、このブログで説明したセキュリティ・パターンに影響を与えるものではありません。このブログで IDCS に起因するセキュリティ機能は、OCI Identity Domainsでも提供されます。 まず最初に、サイトを表現するために IDCS で実際にアプリケーションを作成する必要があります。 IDCSコンソールを開き、「アプリケーション」に移動し、「作成」をクリックします。Functionアプリケーシ...
続きを読む