Data Safeの有効化および使用の前提条件
Fusion Data Intelligenceインスタンスに関連付けられたAutonomous Data WarehouseインスタンスでData Safeを有効にして使用するために、適用可能なユーザーおよびサービス権限が設定されていることを確認します。 また、Autonomous Data WarehouseインスタンスでData Safeからのネットワーク・トラフィックが許可されていることも確認する必要があります。
- ユーザー権限
- 一般的なOracle Cloud Infrastructure Identity and Access Managementポリシー- ユーザーは、Oracle Cloud Infrastructureテナンシ内のポリシーをリストおよび追加できます。
- Data Safeポリシー- ユーザーがData Safeリソースを表示および管理できるようにします。
- サービス権限- Fusion Data Intelligenceには、Fusion Data IntelligenceインスタンスのAutonomous Data WarehouseでData Safeを有効にする権限が必要です。
Oracle Cloud Infrastructure Identity and Access Managementポリシーを管理するためのユーザー権限
- シナリオ1 - ユーザーには、Identity and Access Managementポリシーを管理する権限があります(管理- 新しいポリシーの読取りと追加の両方)。 この状況では、Oracle Cloud Infrastructureコンソールで、Fusion Data IntelligenceサービスのData Safeポリシーが存在するかどうかが検証されます。 ポリシーがない場合は、コンソールによってサービス・ポリシーが自動的に作成されます。 その後、適用可能なユーザーは、Data Safeを使用してFusion Data Intelligenceインスタンスを作成するか、既存のインスタンスをData Safeに登録できます。
-
シナリオ2 - ユーザーには、Identity and Access Managementポリシーを読み取る権限のみがあります。 この状況では、Oracle Cloud Infrastructureコンソールで、Fusion Data IntelligenceサービスのData Safeポリシーが存在するかどうかが検証されます。 ポリシーがすでに適用されている場合、ユーザーはData Safeを使用してインスタンスを作成するか、既存のインスタンスをData Safeに登録できます。 ポリシーが存在しない場合、適用可能なユーザーは、Fusion Data Intelligenceインスタンスの作成時に「Data Safeの有効化」チェック・ボックスを無効にして、インスタンスの作成を続行または停止し、サービス管理者にIdentity and Access Managementのユーザー、グループおよび書込みポリシーの構成を依頼する必要があります。
サービス管理者は、要件に従ってIdentity and Access Managementポリシーを記述できますが、次のサンプル・ポリシーは、Data Safeを使用してFusion Data Intelligenceインスタンスを作成および管理する際に役立ちます:allow group <identity_domain_name>/FDIDataSafeUsers to read compartments in tenancy allow group <identity_domain_name>/FDIDataSafeUsers to read domains in tenancy allow group <identity_domain_name>/FDIDataSafeUsers to manage policy in tenancy -
ノート:
FDIDataSafeUsersを適切なIdentity and Access Managementグループに置き換えます。
Data Safeリソースを表示および管理するためのユーザー権限
allow group <identity_domain_name>/FDIDataSafeUsers to manage data-safe-family in tenancyノート:
FDIDataSafeUsersを適切なIdentity and Access Managementグループに置き換えます。
ただし、サービス管理者は、該当するIdentity and Access Managementグループへの限定的なアクセスを提供できます。 Autonomous DatabaseのIAMポリシーおよびOracle Data SafeユーザーのIAMポリシーの作成を参照してください。
Data Safe操作を実行するFusion Data Intelligenceの権限
allow any-user to manage data-safe in tenancy where all {request.principal.type = 'fawservice', request.principal.compartment.id = target.compartment.id}
allow any-user to manage data-safe-assessment-family in tenancy where all {request.principal.type = 'fawservice', request.principal.compartment.id = target.compartment.id}
allow any-user to manage data-safe-alert-family in tenancy where all {request.principal.type = 'fawservice', request.principal.compartment.id = target.compartment.id}
allow any-user to manage data-safe-audit-family in tenancy where all {request.principal.type = 'fawservice', request.principal.compartment.id = target.compartment.id}
allow any-user to manage virtual-network-family in tenancy where all {request.principal.type = 'fawservice', request.principal.compartment.id = target.compartment.id}テナンシのルート・コンパートメントのFDI_ADW_Data_Safe_Policyファイルに、Fusion Data IntelligenceのData Safeポリシーが作成されます。 Fusion Data IntelligenceがAutonomous Data Warehouseでデータ・セーフ操作を実行するように制限しないように、このポリシー・ファイルのポリシー・ステートメントを更新する際には注意が必要です。
ネットワーク・アクセス
関連付けられたAutonomous Data WarehouseインスタンスでData Safeからのネットワーク・トラフィックが許可されていることを確認します。 アクセス制御ルール(ACL)およびプライベート・エンドポイントを使用したネットワーク・アクセスの構成を参照してください。