Oracle Cloud Infrastructure - Dokumentation

Datenquellen einrichten

Registrieren Sie die Datenquellen, für die Sie ein Harvesting ausführen möchten, in Data Catalog. Sie registrieren die Datenquellen als Datenassets.

Sie können ein Datenasset aus einer breiten Auswahl an unterstützten Datenquellen erstellen. Informationen zum Einrichten und Verwalten Ihrer Datenassets finden Sie unter:

Erforderliche IAM-Policys für Datenintegrationsdatenasset

Bevor Sie ein OCI Data Integration-Datenasset erstellen, legen Sie die folgenden Policys fest, um ein Data Integration-Datenasset zu erstellen, Harvesting auszuführen und die Herkunft dafür anzuzeigen.

Erstellen Sie als Voraussetzung eine dynamische Gruppe, die die spezifische Datenkatalog-OCID als Ressource enthält.

Any {resource.id = '<catalog_ocid>'}

  • Legen Sie die folgenden Policys fest, damit die Data Catalog-Instanz die Data Integration-Workspaces lesen und Herkunftsmetadaten daraus erfassen kann:

    Allow dynamic-group <dynamic-group-name> to read dis-workspaces in compartment <DIS Workspace Compartment>
    Allow dynamic-group <dynamic-group-name> to read dis-workspaces-lineage in compartment <DIS Workspace Compartment>
    Hinweis

    Wenn Sie die folgenden auf Service-Principal basierenden Policys verwenden, müssen Sie diese bis zum 28. Februar 2024 an die im vorherigen Absatz genannten Policys ändern:
    Allow dynamic-group <dynamic-group-name> to use dis-workspaces in compartment <DIS Workspace Compartment>
    Allow service datacatalog to {DIS_WORKSPACE_LINEAGE_INSPECT, DIS_WORKSPACE_OBJECT_INSPECT} in compartment <DIS Workspace Compartment Name>

  • Für das Anzeigen der Herkunft ist die Berechtigung CATALOG_DATA_ASSET_READ erforderlich.

    Allow <any-user> to read data-catalog-data-assets in compartment <compartment name> where target.catalog.id='<Data Catalog OCID>'

Erforderliche IAM-Policys für Datenflussdatenasset

Bevor Sie ein Datenasset im Katalog für OCI Data Flow in einem anderen Mandanten erstellen, legen Sie die folgenden Policys fest.

Legen Sie im Data Catalog-Mandanten Folgendes fest:

admit any-user of tenancy <Data Flow Tenancy> to manage data-catalog-data-assets in tenancy where all {request.principal.type = 'dataflowrun'}

Legen Sie im Data Flow-Mandanten Folgendes fest:

endorse any-user to manage data-catalog-data-assets in tenancy <Data Catalog Tenancy> where all {request.principal.type = 'dataflowrun'}

Legen Sie die folgende Policy fest, wenn sich die Data Flow-Anwendung und der Data Catalog im selben Mandanten befinden: 

allow any-user to manage data-catalog-data-assets in tenancy where all {request.principal.type = 'dataflowrun'}

Erforderliche IAM-Policys für Metastore

Vor dem Erstellen von Metastore-Datenassets erstellen Sie Policys, um den Zugriff auf die erforderlichen Datenobjekte zu ermöglichen.

Erstellen Sie als Voraussetzung eine dynamische Gruppe, die die spezifische Datenkatalog-OCID als Ressource enthält. 
Any {resource.id = ‘<catalog_ocid>’ }
Zugriff auf alle Metastores in einem Mandanten zulassen

Erstellen Sie diese Policy, um den Zugriff auf alle Metastore-Instanzen in allen Compartments innerhalb des Mandanten zuzulassen, in dem die Policy erstellt wird. 

allow DYNAMIC-GROUP <group_name> to USE data-catalog-metastores in tenancy
Zugriff auf alle Metastores in einem Compartment zulassen
Erstellen Sie die folgende Policy, um der dynamischen Gruppe Zugriff auf alle Metastores in einem Compartment zu erteilen:
allow DYNAMIC-GROUP <group_name> to USE data-catalog-metastores in compartment <compartment name>
Zugriff auf eine bestimmte Metastore-Instanz zulassen
Erstellen Sie die folgende Policy, um der dynamischen Gruppe Zugriff auf einen bestimmten Metastore zu erteilen:
allow DYNAMIC-GROUP <group_name> to USE data-catalog-metastores in tenancy where target.metastore.id='<metastore ocid>'

Erforderliche IAM-Policys für MySQL-Datenasset

Sie können den OCI MySQL Database-Service als Datenquelle verwenden, um ein MySQL-Datenasset zu erstellen. In diesem Abschnitt erhalten Sie Informationen zu den Policys, die Sie für eine Gruppe namens "Administrators" benötigen, um mit dem MySQL Database-Service zu arbeiten.

Erstellen Sie diese Policy, damit Mitglieder der Gruppe "Administrators" den Inhalt aller Compartments im Mandanten auflisten und lesen können:
Allow group Administrators to {COMPARTMENT_INSPECT} in tenancy
Erstellen Sie diese Policy, damit Mitglieder der Gruppe "Administrators" Subnetze lesen, anhängen und trennen sowie virtuelle Cloud-Netzwerke (VCNs) im Mandanten lesen können:
Allow group Administrators to {VCN_READ, SUBNET_READ, SUBNET_ATTACH, SUBNET_DETACH} in tenancy
Hinweis

Sie benötigen Zugriff auf diese Ressourcentypen, um ein DB-System an ein VCN anzuhängen.
Erstellen Sie diese Policy, um Mitgliedern der Gruppe "Administrators" Zugriff auf alle Aspekte des MySQL Database-Service im Mandanten zu erteilen:
Allow group Administrators to manage mysql-family in tenancy
Erstellen Sie diese Policy für das Harvesting von Daten aus der MySQL-Datenbank:
allow group <your-group-name> to use mysql-instances in tenancy

Erforderliche IAM-Policys für Oracle Object Storage-Datenasset

Bevor Sie Oracle Object Storage-Datenassets erstellen, erstellen Sie Policys, um den Zugriff auf die erforderlichen Datenobjekte zu aktivieren. Nachdem Sie diese Policys erstellt haben und das Harvesting des Object Storage-Datenassets ausführen, werden nur die Datenentitys aufgelistet, auf die Ihre Data Catalog-Instanz Zugriff hat. Sie können die Datenobjekte, für die Sie das Harvesting ausführen möchten, in der angezeigten Liste auswählen.

Sie benötigen mindestens die READ-Berechtigung für jeden der Ressourcentypen objectstorage-namespaces, buckets und objects oder für den aggregierten Object Storage-Ressourcentyp object-family. Schritt-für-Schritt-Anweisungen finden Sie im Tutorial Harvesting in Oracle Object Storage ausführen.

Erstellen Sie Resource Principal Policys, um Data Catalog-Zugriffsobjekte in Object Storage zuzulassen. Erstellen Sie als Voraussetzung eine dynamische Gruppe, die die spezifische Datenkatalog-OCID als Ressource enthält.

Beispiel:

Any {resource.id = 'ocid.datacatalog.oc1..<unique_ID>'}
Erforderliche IAM-Policys für denselben Mandanten

Verwenden Sie die folgende Policy, wenn sich Ihre Data Catalog-Instanz und der Object Storage im selben Mandanten befinden:

  • Erstellen Sie diese Policy nur für die root_compartment, um den Zugriff auf jedes Objekt in einem beliebigen Bucket in einem beliebigen Compartment im Mandanten zuzulassen. Da diese Policy für den gesamten Mandanten gilt, hat ein untergeordnetes Compartment keinen Zugriff auf das Root-Verzeichnis oder die übergeordneten Compartments.
    allow dynamic-group <dynamic-group-name> to read object-family in tenancy

Informationen zum Zugriff auf bestimmte Buckets und Compartments innerhalb desselben Mandanten finden Sie unter Policy-Beispiele.

Erforderliche IAM-Policys für verschiedene Mandanten

Erstellen Sie die folgenden Policys als Voraussetzung, wenn sich die Data Catalog-Instanz und der Object Storage in unterschiedlichen Mandanten befinden.

Im Katalogmandanten:

  • Definieren Sie einen Mandanten tenancy-name1, um die Object Storage-OCID zu identifizieren, und geben Sie dann die dynamische Gruppe dynamic-group-name1 an, um object-family in <tenancy-name1> zu verwalten.
    Define tenancy <tenancy-name1> as <object-storage-tenancy-OCID>
Endorse dynamic-group <dynamic-group-name1> to manage object-family in tenancy <tenancy-name1>

In Object Storage-Mandanten:

  • Definieren Sie einen Mandanten tenancy-name2 mit der OCID des Katalogmandanten. Definieren Sie dynamic-group-name2 mit der OCID von dynamic-group-name1, die im Katalogmandanten erstellt wurde, und geben Sie dann dynamic-group-name2 zu, um object-family im Object Storage-Mandanten zu verwalten.
    Define tenancy <tenancy-name2> as <catalog-tenancy-OCID>
Define dynamic-group <dynamic-group-name2> as <dynamic-group-name1-OCID>
Admit dynamic-group <dynamic-group-name2> of tenancy <tenancy-name2> to manage object-family in tenancy

Informationen zum Zugriff auf bestimmte Buckets und Compartments für verschiedene Mandanten finden Sie unter Policy-Beispiele.

Erforderliche IAM-Policys zur Verwendung von OCI Vault

Um Oracle Cloud Infrastructure Vault zu verwenden, erstellen Sie eine dynamische Gruppe, die den Data Catalog-Service als Ressource in der Gruppe enthält. 

Any {resource.type='datacatalog' }
Erstellen Sie die folgende Policy, damit die dynamische Gruppe das Secret lesen kann:
Allow dynamic-group <dynamic group name> to read secret-family in tenancy
Um ein Oracle-Wallet mit Secrets in OCI Vault zu verwenden, führen Sie folgende Schritte aus:
  • Geben Sie ein Wallet-Kennwort ein, wenn Sie das Wallet herunterladen.
  • Entfernen Sie die .p12-Datei aus der heruntergeladenen Wallet-ZIP-Datei.
  • Codieren Sie die geänderte Wallet-ZIP-Datei mit einem beliebigen Base64-Coder in Base64.
  • Kopieren Sie die base64-codierten Daten in ein Secret in einem Vault.
  • Erstellen Sie ein Secret für das Datenbankkennwort.