所有者であるユーザーまたはグループを変更する (有効な ACL が特別なプリンシパルを使用している場合)。 オブジェクトを制御する役割マップの有効な ACL が Owner-User または Owner-Group のプリンシパルを使用している場合、オブジェクトの所有者であるユーザーまたはグループを変更することにより、オブジェクトでの有効な権限を変更することができます。 新規の所有ユーザー/グループを参照して、Owner-User または Owner-Group のアクセス制御エントリからオブジェクトにアクセスするアカウントに権限を付与するかどうかを判別します。
オブジェクトのバインディングを別の役割マップに変更する。 この方法では、オブジェクト自身の権限のみを変更します。同じ役割マップやポリシーを使用する別のオブジェクトの権限は変更されません。 オブジェクトの役割マップのバインディングを変更する前に、目的の有効な ACL を指定するのに適した新しい役割マップを作成する必要が生じる場合があります。
オブジェクトの役割マップのマッピングを変更する。役割マップのマッピングを変更すると、役割マップのポリシーにあるどのメタタイプの ACL に、この変更に関連した役割のアクセス制御エントリがあるかに応じて、同じ役割マップが制御するメタタイプのオブジェクトにおけるアクセスも変更される場合があります。 具体的なプリンシパルを、実行する役割に追加したり、実行する役割から削除したりすることができます。 例えば、役割マップのマッピングを変更して、この変更によってエレメントの有効な ACL が変更された場合、この役割マップによって保護されるすべてのエレメントでも、その保護が変更されます。
役割マップのポリシーのメタタイプ固有な ACL を変更する。 ポリシーのメタタイプ固有な ACL を変更すると、そのポリシーを実施するすべての役割マップが制御する同じメタタイプのすべてのオブジェクトについて、有効なアクセスが変更されます。 この変更では、変更される保護の範囲が最も大きくなります。 メタタイプの ACL でプリンシパルを追加または削除したり、既存のプリンシパルに付与された権限を変更したりすることができます。例えば、ポリシーでエレメント ACL を変更した場合、そのポリシーを実施するすべての役割マップが保護するすべてのエレメントでも、その保護が変更されます。