Datenquellen einrichten
Registrieren Sie die Datenquellen, für die Sie ein Harvesting ausführen möchten, in Data Catalog. Sie registrieren die Datenquellen als Datenassets.
Sie können ein Datenasset aus einer breiten Auswahl an unterstützten Datenquellen erstellen. Informationen zum Einrichten und Verwalten Ihrer Datenassets finden Sie unter:
Erforderliche IAM-Policys für Datenintegrationsdatenasset
Bevor Sie ein OCI Data Integration-Datenasset erstellen, legen Sie die folgenden Policys fest, um ein Data Integration-Datenasset zu erstellen, Harvesting auszuführen und die Herkunft dafür anzuzeigen.
Erstellen Sie als Voraussetzung eine dynamische Gruppe, die die spezifische Datenkatalog-OCID als Ressource enthält.
Any {resource.id = '<catalog_ocid>'}
-
Legen Sie die folgenden Policys fest, damit die Data Catalog-Instanz die Data Integration-Workspaces lesen und Herkunftsmetadaten daraus erfassen kann:
Allow dynamic-group <dynamic-group-name> to read dis-workspaces in compartment <DIS Workspace Compartment>
Allow dynamic-group <dynamic-group-name> to read dis-workspaces-lineage in compartment <DIS Workspace Compartment>
Hinweis
Wenn Sie die folgenden auf Service-Principal basierenden Policys verwenden, müssen Sie diese bis zum 28. Februar 2024 an die im vorherigen Absatz genannten Policys ändern:Allow dynamic-group <dynamic-group-name> to use dis-workspaces in compartment <DIS Workspace Compartment>
Allow service datacatalog to {DIS_WORKSPACE_LINEAGE_INSPECT, DIS_WORKSPACE_OBJECT_INSPECT} in compartment <DIS Workspace Compartment Name>
-
Für das Anzeigen der Herkunft ist die Berechtigung
CATALOG_DATA_ASSET_READ
erforderlich.Allow <any-user> to read data-catalog-data-assets in compartment <compartment name> where target.catalog.id='<Data Catalog OCID>'
Erforderliche IAM-Policys für Datenflussdatenasset
Bevor Sie ein Datenasset im Katalog für OCI Data Flow in einem anderen Mandanten erstellen, legen Sie die folgenden Policys fest.
Legen Sie im Data Catalog-Mandanten Folgendes fest:
admit any-user of tenancy <Data Flow Tenancy> to manage data-catalog-data-assets in tenancy where all {request.principal.type = 'dataflowrun'}
Legen Sie im Data Flow-Mandanten Folgendes fest:
endorse any-user to manage data-catalog-data-assets in tenancy <Data Catalog Tenancy> where all {request.principal.type = 'dataflowrun'}
Legen Sie die folgende Policy fest, wenn sich die Data Flow-Anwendung und der Data Catalog im selben Mandanten befinden:
allow any-user to manage data-catalog-data-assets in tenancy where all {request.principal.type = 'dataflowrun'}
Erforderliche IAM-Policys für Metastore
Vor dem Erstellen von Metastore-Datenassets erstellen Sie Policys, um den Zugriff auf die erforderlichen Datenobjekte zu ermöglichen.
Any {resource.id = ‘<catalog_ocid>’ }
Erstellen Sie diese Policy, um den Zugriff auf alle Metastore-Instanzen in allen Compartments innerhalb des Mandanten zuzulassen, in dem die Policy erstellt wird.
allow DYNAMIC-GROUP <group_name> to USE data-catalog-metastores in tenancy
allow DYNAMIC-GROUP <group_name> to USE data-catalog-metastores in compartment <compartment name>
allow DYNAMIC-GROUP <group_name> to USE data-catalog-metastores in tenancy where target.metastore.id='<metastore ocid>'
Erforderliche IAM-Policys für MySQL-Datenasset
Sie können den OCI MySQL Database-Service als Datenquelle verwenden, um ein MySQL-Datenasset zu erstellen. In diesem Abschnitt erhalten Sie Informationen zu den Policys, die Sie für eine Gruppe namens "Administrators" benötigen, um mit dem MySQL Database-Service zu arbeiten.
Allow group Administrators to {COMPARTMENT_INSPECT} in tenancy
Allow group Administrators to {VCN_READ, SUBNET_READ, SUBNET_ATTACH, SUBNET_DETACH} in tenancy
Sie benötigen Zugriff auf diese Ressourcentypen, um ein DB-System an ein VCN anzuhängen.
Allow group Administrators to manage mysql-family in tenancy
allow group <your-group-name> to use mysql-instances in tenancy
Erforderliche IAM-Policys für Oracle Object Storage-Datenasset
Bevor Sie Oracle Object Storage-Datenassets erstellen, erstellen Sie Policys, um den Zugriff auf die erforderlichen Datenobjekte zu aktivieren. Nachdem Sie diese Policys erstellt haben und das Harvesting des Object Storage-Datenassets ausführen, werden nur die Datenentitys aufgelistet, auf die Ihre Data Catalog-Instanz Zugriff hat. Sie können die Datenobjekte, für die Sie das Harvesting ausführen möchten, in der angezeigten Liste auswählen.
Sie benötigen mindestens die READ
-Berechtigung für jeden der Ressourcentypen objectstorage-namespaces
, buckets
und objects
oder für den aggregierten Object Storage-Ressourcentyp object-family
. Schritt-für-Schritt-Anweisungen finden Sie im Tutorial Harvesting in Oracle Object Storage ausführen.
Erstellen Sie Resource Principal Policys, um Data Catalog-Zugriffsobjekte in Object Storage zuzulassen. Erstellen Sie als Voraussetzung eine dynamische Gruppe, die die spezifische Datenkatalog-OCID als Ressource enthält.
Beispiel:
Any {resource.id = 'ocid.datacatalog.oc1..<unique_ID>'}
Verwenden Sie die folgende Policy, wenn sich Ihre Data Catalog-Instanz und der Object Storage im selben Mandanten befinden:
- Erstellen Sie diese Policy nur für die
root_compartment
, um den Zugriff auf jedes Objekt in einem beliebigen Bucket in einem beliebigen Compartment im Mandanten zuzulassen. Da diese Policy für den gesamten Mandanten gilt, hat ein untergeordnetes Compartment keinen Zugriff auf das Root-Verzeichnis oder die übergeordneten Compartments.allow dynamic-group <dynamic-group-name> to read object-family in tenancy
Informationen zum Zugriff auf bestimmte Buckets und Compartments innerhalb desselben Mandanten finden Sie unter Policy-Beispiele.
Erstellen Sie die folgenden Policys als Voraussetzung, wenn sich die Data Catalog-Instanz und der Object Storage in unterschiedlichen Mandanten befinden.
Im Katalogmandanten:
- Definieren Sie einen Mandanten
tenancy-name1
, um die Object Storage-OCID zu identifizieren, und geben Sie dann die dynamische Gruppedynamic-group-name1
an, umobject-family
in<tenancy-name1>
zu verwalten.Define tenancy <tenancy-name1> as <object-storage-tenancy-OCID> Endorse dynamic-group <dynamic-group-name1> to manage object-family in tenancy <tenancy-name1>
In Object Storage-Mandanten:
- Definieren Sie einen Mandanten
tenancy-name2
mit der OCID des Katalogmandanten. Definieren Siedynamic-group-name2
mit der OCID vondynamic-group-name1
, die im Katalogmandanten erstellt wurde, und geben Sie danndynamic-group-name2
zu, umobject-family
im Object Storage-Mandanten zu verwalten.Define tenancy <tenancy-name2> as <catalog-tenancy-OCID> Define dynamic-group <dynamic-group-name2> as <dynamic-group-name1-OCID> Admit dynamic-group <dynamic-group-name2> of tenancy <tenancy-name2> to manage object-family in tenancy
Informationen zum Zugriff auf bestimmte Buckets und Compartments für verschiedene Mandanten finden Sie unter Policy-Beispiele.
Erforderliche IAM-Policys zur Verwendung von OCI Vault
Um Oracle Cloud Infrastructure Vault zu verwenden, erstellen Sie eine dynamische Gruppe, die den Data Catalog-Service als Ressource in der Gruppe enthält.
Any {resource.type='datacatalog' }
Allow dynamic-group <dynamic group name> to read secret-family in tenancy
- Geben Sie ein Wallet-Kennwort ein, wenn Sie das Wallet herunterladen.
- Entfernen Sie die
.p12
-Datei aus der heruntergeladenen Wallet-ZIP-Datei. - Codieren Sie die geänderte Wallet-ZIP-Datei mit einem beliebigen Base64-Coder in Base64.
- Kopieren Sie die base64-codierten Daten in ein Secret in einem Vault.
- Erstellen Sie ein Secret für das Datenbankkennwort.