Data Safeの有効化および使用の前提条件
Oracle Fusion Data Intelligenceインスタンスに関連付けられたOracle Autonomous AI LakehouseインスタンスでData Safeを有効にして使用するために、適用可能なユーザーおよびサービス権限があることを確認します。 また、Oracle Autonomous AI LakehouseインスタンスがData Safeからのネットワーク・トラフィックを許可していることも確認する必要があります。
- ユーザー権限
- 一般的なOracle Cloud Infrastructure Identity and Access Managementポリシー- ユーザーは、Oracle Cloud Infrastructureテナンシ内のポリシーをリストおよび追加できます。
- Data Safeポリシー- ユーザーがData Safeリソースを表示および管理できるようにします。
- サービス権限- Oracle Fusion Data Intelligenceには、Oracle Fusion Data IntelligenceインスタンスのAutonomous AI LakehouseでData Safeを有効にする権限が必要です。
Oracle Cloud Infrastructure Identity and Access Managementポリシーを管理するためのユーザー権限
- シナリオ1 - ユーザーには、Identity and Access Managementポリシーを管理する権限があります(管理- 新しいポリシーの読取りと追加の両方)。 この状況では、Oracle Cloud Infrastructureコンソールは、Oracle Fusion Data IntelligenceサービスのData Safeポリシーが存在するかどうかを検証します。 ポリシーがない場合は、コンソールによってサービス・ポリシーが自動的に作成されます。 その後、該当するユーザーは、Data Safeを使用してOracle Fusion Data Intelligenceインスタンスを作成するか、既存のインスタンスをData Safeに登録できます。
-
シナリオ2 - ユーザーには、Identity and Access Managementポリシーを読み取る権限のみがあります。 この状況では、Oracle Cloud Infrastructureコンソールは、Oracle Fusion Data IntelligenceサービスのData Safeポリシーが存在するかどうかを検証します。 ポリシーがすでに適用されている場合、ユーザーはData Safeを使用してインスタンスを作成するか、既存のインスタンスをData Safeに登録できます。 ポリシーが存在しない場合、該当するユーザーは、Oracle Fusion Data Intelligenceインスタンスの作成時に「Data Safeの有効化」チェック・ボックスを無効にして、インスタンスの作成を続行または停止し、Identity and Access Managementユーザー、グループおよび書込みポリシーの構成をサービス管理者に依頼する必要があります。
サービス管理者は要件に従ってIdentity and Access Managementポリシーを記述できますが、Data Safeを使用してOracle Fusion Data Intelligenceインスタンスを作成および管理する際に、次のサンプル・ポリシーが役立ちます:allow group <identity_domain_name>/FDIDataSafeUsers to read compartments in tenancy allow group <identity_domain_name>/FDIDataSafeUsers to read domains in tenancy allow group <identity_domain_name>/FDIDataSafeUsers to manage policy in tenancy -
ノート:
FDIDataSafeUsersを適切なIdentity and Access Managementグループに置き換えます。
Data Safeリソースを表示および管理するためのユーザー権限
allow group <identity_domain_name>/FDIDataSafeUsers to manage data-safe-family in tenancyノート:
FDIDataSafeUsersを適切なIdentity and Access Managementグループに置き換えます。
ただし、サービス管理者は、該当するIdentity and Access Managementグループへの限定的なアクセスを提供できます。 Autonomous DatabaseのIAMポリシーおよびOracle Data SafeユーザーのIAMポリシーの作成を参照してください。
Data Safe操作を実行するFusion Data Intelligenceの権限
allow any-user to manage data-safe in tenancy where all {request.principal.type = 'fawservice', request.principal.compartment.id = target.compartment.id}
allow any-user to manage data-safe-assessment-family in tenancy where all {request.principal.type = 'fawservice', request.principal.compartment.id = target.compartment.id}
allow any-user to manage data-safe-alert-family in tenancy where all {request.principal.type = 'fawservice', request.principal.compartment.id = target.compartment.id}
allow any-user to manage data-safe-audit-family in tenancy where all {request.principal.type = 'fawservice', request.principal.compartment.id = target.compartment.id}
allow any-user to manage virtual-network-family in tenancy where all {request.principal.type = 'fawservice', request.principal.compartment.id = target.compartment.id}テナンシのルート・コンパートメントのFDI_ADW_Data_Safe_Policyファイルに、Fusion Data IntelligenceのData Safeポリシーが作成されます。 Autonomous AI Lakehouseでデータ・セーフ操作を実行するようにFusion Data Intelligenceを制限しないように、このポリシー・ファイルのポリシー・ステートメントを更新する場合は注意が必要です。
ネットワーク・アクセス
関連付けられたAutonomous AI LakehouseインスタンスがData Safeからのネットワーク・トラフィックを許可していることを確認します。 アクセス制御ルール(ACL)およびプライベート・エンドポイントを使用したネットワーク・アクセスの構成を参照してください。