Data Integration-Policys
Verwenden Sie den Service Oracle Cloud Infrastructure Identity and Access Management (IAM) mit Identitätsdomains, um Policys zu erstellen.
Standardmäßig können nur die Benutzer in der Gruppe Administrators
auf alle Ressourcen und Funktionen in Data Integration zugreifen. Um den Zugriff für Nicht-Administratorbenutzer auf Data Integration-Ressourcen und -Funktionen zu kontrollieren, erstellen Sie IAM-Gruppen, und schreiben Sie dann Policys, die diesen Gruppen den richtigen Zugriff erteilen.
- Policy-Beispiele
- Zugriff auf Data Integration und Verwendung von Workspaces aktivieren
- Verwendung eines privaten Netzwerks in Workspaces aktivieren
- Zugriff zum Auflisten von Benutzern und Compartments erteilen
- Berechtigung zum Anzeigen von Workspaces erteilen
- Berechtigung zum Abrufen von Workspace-Details erteilen
- Berechtigung zum Aktualisieren von Workspaces erteilen
- Berechtigung zum Verwalten von Workspaces erteilen
- Suchen in Arbeitsbereichen zulassen
- Exportieren und Importieren von Objekten in Workspaces zulassen
- Mandantenübergreifenden Zugriff für Projektkopie und Antragskopie einrichten
- Export und Import von Workspace und Objekten im Workspace aktivieren
- Policy-Beispiele mit Berechtigungen und APIs
- Policy-Beispiele mit bedingten Anweisungen
- Zugriff auf OCI Object Storage aktivieren
- Autonome Datenbanken als Ziele verwenden
- In OCI Data Flow Service veröffentlichen
- Auf OCI AI-Service-REST-Endpunkt zugreifen
- Zugriff auf Data Integration und Verwendung von Workspaces aktivieren
Die folgenden Seiten enthalten weitere Informationen zum Schreiben von Policys:
- Überblick über die Policy-Syntax
- Policy mit der Konsole erstellen
- Ressourcentypen
- Unterstützte Variablen
- Details zu Kombinationen aus Verben und Ressourcentypen
- Für jeden API-Vorgang erforderliche Berechtigungen
Überblick über die Policy-Syntax
Die allgemeine Syntax einer Policy-Anweisung lautet:
allow <subject> to <verb> <resource-type> in <location> where <condition>
Beispiel: Sie können Folgendes angeben:
-
Eine Gruppe oder dynamische Gruppe nach Name oder OCID als
<subject>
. Sie können auchany-user
verwenden, um alle Benutzer im Mandanten abzudecken. -
inspect
,read
,use
undmanage
als<verb>
, um<subject>
Zugriff auf Berechtigungen zu erteilen.Bei den Verben
inspect
>read
>use
>manage
wird die Zugriffsebene im Allgemeinen immer weiter erhöht, und die erteilten Berechtigungen sind kumulativ. Beispiel:use
umfasstread
sowie die Möglichkeit zum Aktualisieren. -
Eine Ressourcenfamilie wie
virtual-network-family
alsresource-type
. Sie können auch eine einzelne Ressource in einer Familie angeben, wievcns
undsubnets
. -
Ein Compartment nach Name oder OCID als
<location>
. Sie können auchtenancy
verwenden, um den gesamten Mandanten abzudecken. -
Eine oder mehrere Bedingungen in
<condition>
, die erfüllt sein müssen, damit der Zugriff erteilt wird. Bei mehreren Bedingungen können Sieany
oderall
verwenden.Eine Bedingung besteht aus mindestens einer Variablen. Eine Variable kann für die Anforderung selbst (z.B.
request.operation
) oder für die Ressource relevant sein, die in der Anforderung bearbeitet wird (z.B.target.workspace.id
). So berechtigen Sie eine Gruppe zum Verwalten eines bestimmten Workspace und keines anderen Workspace:allow group <group-name> to manage dis-workspaces in compartment <compartment-name> where target.workspace.id = '<workspace-ocid>'
So berechtigen Sie eine Gruppe zum Verwalten aller Data Integration-Ressourcen, außer zum Löschen von Workspaces:
allow group <group-name> to manage dis-family in compartment <compartment-name> where request.permission != 'DIS_WORKSPACE_DELETE'
Vollständige Informationen finden Sie unter Policy-Syntax.
Weitere Informationen zum Erstellen von Policys finden Sie unter Funktionsweise von Policys und in der Policy-Referenz.
Ressourcentypen
Data Integration bietet sowohl aggregierte als auch individuelle Ressourcentypen zum Schreiben von Policys.
Sie können aggregierte Ressourcentypen verwenden, um weniger Policys zu schreiben. Beispiel: Anstatt das Verwalten von dis-workspaces
und dis-work-requests
durch eine Gruppe zuzulassen, können Sie eine Policy schreiben, die das Verwalten des aggregierten Ressourcentyps dis-family
durch die Gruppe zulässt.
Aggregierter Ressourcentyp | Individuelle Ressourcentypen |
---|---|
dis-family |
|
dis-family
abgedeckten APIs decken die APIs für dis-workspaces
und dis-work-requests
ab. Beispiel:
allow group dis-admins to manage dis-family in compartment <compartment_name>
entspricht dem Schreiben der folgenden beiden Policys:allow group dis-admins to manage dis-workspaces in compartment <compartment_name>
allow group dis-admins to manage dis-work-requests in compartment <compartment_name>
Unterstützte Variablen
Um Bedingungen zu Policys hinzuzufügen, können Sie allgemeine oder servicespezifische Oracle Cloud Infrastructure-Variablen verwenden.
Data Integration unterstützt alle allgemeinen Variablen (siehe Allgemeine Variablen für alle Anforderungen).
In der folgenden Tabelle sind die Ressourcentypvariablen aufgeführt, die Sie verwenden können.
Vorgänge für diesen Ressourcentyp.. | können diese Variablen verwenden.. | Variablentyp | Kommentare |
---|---|---|---|
dis-workspace | target.workspace.id | Entity (OCID) | Nicht für die Verwendung mit CreateWorkspace verfügbar |
Vorgänge für diesen API-Pfad.. | können diese Variablen verwenden.. | Variablentyp | Kommentare |
---|---|---|---|
/workspaces/{workspaceId}/applications/{applicationKey}/* | target.application.key | Entity (Schlüssel) | Nicht für die Verwendung mit ListApplications , CreateApplication verfügbar |
/workspaces/{workspaceId}/applications |
|
Entity (Schlüssel) |
Nur für die Verwendung mit Nicht für die Verwendung mit |
/workspaces/{workspaceId}/projects/{projectKey}/* | target.object.key | Entity (Schlüssel) | |
/workspaces/{workspaceId}/folders/{folderKey}/* |
| Entity (Schlüssel) | target.folder.key ist nur für die Verwendung mit CreateFolder verfügbar |
/workspaces/{workspaceId}/dataflows/{dataflowKey}/* |
| Entity (Schlüssel) | target.folder.key ist nur für die Verwendung mit CreateDataflow , UpdateDataflow verfügbar |
/workspaces/{workspaceId}/tasks/{dataflowKey}/* |
| Entity (Schlüssel) | target.folder.key ist nur für die Verwendung mit CreateTask , UpdateTask verfügbar |
/workspaces/{workspaceId}/dataAssets/{dataAssetKey}/* | target.object.key | Entity (Schlüssel) | |
/workspaces/{workspaceId}/connections/{connectionKey}/* |
| Entity (Schlüssel) | target.folder.key ist nur für die Verwendung mit CreateConnection , UpdateConnection verfügbar |
/workspaces/{workspaceId}/pipelines/{pipelineKey}/* |
| Entity (Schlüssel) | target.folder.key ist nur für die Verwendung mit CreatePipeline , UpdatePipeline verfügbar |
Details zu Kombinationen aus Verben und Ressourcentypen
Verwenden Sie Oracle Cloud Infrastructure-Verben und -Ressourcentypen beim Erstellen einer Policy.
In den folgenden Tabellen werden die Berechtigungen und API-Vorgänge angezeigt, die von den einzelnen Verben für Data Integration abgedeckt werden. Die Zugriffsebene ist kumulativ von inspect
zu read
zu use
zu manage
. Ein Pluszeichen (+)
in einer Tabellenzelle gibt den inkrementellen Zugriff im Vergleich zur Zelle direkt darüber an, während "Keine zusätzlichen" keinen inkrementellen Zugriff angibt.
Berechtigung | Vollständig abgedeckte APIs |
---|---|
INSPECT |
|
DIS_WORK_REQUEST_INSPECT | ListWorkRequests |
ListWorkRequestErrors |
|
ListWorkRequestLogs |
|
READ |
|
INSPECT + |
INSPECT + |
DIS_WORK_REQUEST_READ | GetWorkRequest |
USE |
|
keine zusätzlichen | keine zusätzlichen |
MANAGE |
|
keine zusätzlichen | keine zusätzlichen |
Jede Berechtigung für
dis-work-requests
deckt mindestens eine API vollständig ab. Es sind keine teilweise abgedeckten APIs für dis-work-requests
-Berechtigungen vorhanden.Berechtigung | Vollständig abgedeckte APIs |
---|---|
INSPECT |
|
DIS_WORKSPACE_INSPECT | ListWorkspaces |
DIS_WORKSPACE_OBJECT_INSPECT | ListProjects |
ListFolders |
|
ListDataFlows |
|
ListTasks |
|
ListTaskValidations |
|
ListApplications |
|
ListPublishedObjects |
|
ListDependentObjects |
|
ListTaskRuns |
|
ListTaskRunLogs |
|
ListDataAssets |
|
ListConnections |
|
ListSchemas |
|
ListDataEntities |
|
ListConnectionValidation |
|
ListDataFlowValidations |
|
ListExternalPublications | |
ListExternalPublicationValidations | |
ListReferences | |
ListPatchChanges | |
ListPipelines | |
ListSchedules | |
ListTaskSchedules | |
READ | |
INSPECT + |
INSPECT + |
DIS_WORKSPACE_READ | GetWorkspace |
DIS_WORKSPACE_OBJECT_READ | GetCountStatistic |
GetProject |
|
GetFolder |
|
GetDataFlow |
|
GetTask |
|
GetTaskValidation |
|
GetApplication |
|
GetPatch |
|
GetPublishedObject |
|
GetDependentObject |
|
GetTaskRun |
|
GetDataAsset |
|
GetConnection |
|
GetSchema |
|
GetDataEntity |
|
GetConnectionValidation |
|
GetDataFlowValidation |
|
GetExternalPublication | |
GetExternalPublicationValidation | |
GetReference | |
GetPipeline | |
GetSchedule | |
GetTaskSchedule | |
USE |
|
READ + |
READ + |
DIS_WORKSPACE_EXECUTE | ExecuteTask |
DIS_WORKSPACE_UPDATE | UpdateWorkspace |
DIS_WORKSPACE_OBJECT_EXECUTE | CreateTaskRun |
UpdateTaskRun |
|
DIS_WORKSPACE_OBJECT_UPDATE | UpdateProject |
UpdateFolder |
|
UpdateDataFlow |
|
UpdateTask |
|
UpdateApplication |
|
UpdateDataAsset |
|
UpdateConnection |
|
UpdateReference | |
UpdateExternalPublication | |
UpdatePipeline | |
UpdateSchedule | |
UpdateTaskSchedule | |
DIS_WORKSPACE_OBJECT_CREATE | CreateProject |
CreateFolder |
|
CreateDataFlow |
|
CreateTask |
|
CreateTaskValidation |
|
CreatePatch |
|
CreateApplication |
|
CreateDataAsset |
|
CreateConnection |
|
CreateEntityShape |
|
CreateConnectionValidation |
|
CreateDataFlowValidation |
|
CreateExternalPublication | |
CreateExternalPublicationValidation | |
CreatePipeline | |
CreateSchedule | |
CreateTaskSchedule | |
DIS_WORKSPACE_OBJECT_DELETE | DeleteProject |
DeleteFolder |
|
DeleteDataFlow |
|
DeleteTask |
|
DeleteTaskValidation |
|
DeleteApplication |
|
DeletePatch |
|
DeleteTaskRun |
|
DeleteDataAsset |
|
DeleteConnection |
|
DeleteConnectionValidation |
|
DeleteDataFlowValidation |
|
DeleteExternalPublication | |
DeleteExternalPublicationValidation | |
DeletePipeline | |
DeleteSchedule | |
DeleteTaskSchedule | |
MANAGE |
|
USE + |
USE + |
DIS_WORKSPACE_CREATE | CreateWorkspace |
DIS_WORKSPACE_DELETE | DeleteWorkspace |
DIS_WORKSPACE_MOVE | ChangeCompartment |
DIS_WORKSPACE_START | StartWorkspace |
DIS_WORKSPACE_STOP | StopWorkspace |
Jede Berechtigung für
dis-workspaces
deckt eine API vollständig ab. Es sind keine teilweise abgedeckten APIs für dis-workspaces
-Berechtigungen vorhanden.Für jeden API-Vorgang erforderliche Berechtigungen
In der Tabelle werden die Data Integration-API-Vorgänge in logischer Reihenfolge, gruppiert nach Ressourcentyp, und die erforderlichen Berechtigungen für die Ressourcentypen dis-workspaces
und dis-work-requests
aufgeführt.
Informationen zu Berechtigungen finden Sie unter Berechtigungen.
API-Vorgang | Berechtigungen |
---|---|
ListWorkspaces |
DIS_WORKSPACE_INSPECT |
GetWorkspace |
DIS_WORKSPACE_READ |
UpdateWorkspace |
DIS_WORKSPACE_UPDATE |
DeleteWorkspace |
DIS_WORKSPACE_DELETE |
CreateWorkspace |
DIS_WORKSPACE_CREATE |
ChangeCompartment |
DIS_WORKSPACE_MOVE |
StartWorkspace |
DIS_WORKSPACE_START |
StopWorkspace |
DIS_WORKSPACE_STOP |
ListWorkRequests |
DIS_WORK_REQUEST_INSPECT |
GetWorkRequest |
DIS_WORK_REQUEST_READ |
ListWorkRequestErrors |
DIS_WORK_REQUEST_INSPECT |
ListWorkRequestLogs |
DIS_WORK_REQUEST_INSPECT |
GetCountStatistic |
DIS_WORKSPACE_OBJECT_READ |
ListProjects |
DIS_WORKSPACE_OBJECT_INSPECT |
CreateProject |
DIS_WORKSPACE_OBJECT_CREATE |
GetProject |
DIS_WORKSPACE_OBJECT_READ |
UpdateProject |
DIS_WORKSPACE_OBJECT_UPDATE |
DeleteProject |
DIS_WORKSPACE_OBJECT_DELETE |
ListFolders |
DIS_WORKSPACE_OBJECT_INSPECT |
CreateFolder |
DIS_WORKSPACE_OBJECT_CREATE |
GetFolder |
DIS_WORKSPACE_OBJECT_READ |
UpdateFolder |
DIS_WORKSPACE_OBJECT_UPDATE |
DeleteFolder |
DIS_WORKSPACE_OBJECT_DELETE |
ListDataFlows |
DIS_WORKSPACE_OBJECT_INSPECT |
CreateDataFlow |
DIS_WORKSPACE_OBJECT_CREATE |
GetDataFlow |
DIS_WORKSPACE_OBJECT_READ |
UpdateDataFlow |
DIS_WORKSPACE_OBJECT_UPDATE |
DeleteDataFlow |
DIS_WORKSPACE_OBJECT_DELETE |
ListTasks |
DIS_WORKSPACE_OBJECT_INSPECT |
CreateTask |
DIS_WORKSPACE_OBJECT_CREATE |
GetTask |
DIS_WORKSPACE_OBJECT_READ |
UpdateTask |
DIS_WORKSPACE_OBJECT_UPDATE |
DeleteTask |
DIS_WORKSPACE_OBJECT_DELETE |
CreateTaskValidation |
DIS_WORKSPACE_OBJECT_CREATE |
ListTaskValidations |
DIS_WORKSPACE_OBJECT_INSPECT |
GetTaskValidations |
DIS_WORKSPACE_OBJECT_READ |
DeleteTaskValidation |
DIS_WORKSPACE_OBJECT_DELETE |
ListApplications |
DIS_WORKSPACE_OBJECT_INSPECT |
CreateApplication |
DIS_WORKSPACE_OBJECT_CREATE |
GetApplication |
DIS_WORKSPACE_OBJECT_READ |
UpdateApplication |
DIS_WORKSPACE_OBJECT_UPDATE |
DeleteApplication |
DIS_WORKSPACE_OBJECT_DELETE |
ListPatches |
DIS_WORKSPACE_OBJECT_INSPECT |
CreatePatch |
DIS_WORKSPACE_OBJECT_CREATE |
GetPatch |
DIS_WORKSPACE_OBJECT_READ |
DeletePatch |
DIS_WORKSPACE_OBJECT_DELETE |
ListPatchChanges | DIS_WORKSPACE_OBJECT_INSPECT |
ListPublishedObjects |
DIS_WORKSPACE_OBJECT_INSPECT |
GetPublishedObject |
DIS_WORKSPACE_OBJECT_READ |
ListDependentObjects |
DIS_WORKSPACE_OBJECT_INSPECT |
GetDependenObject |
DIS_WORKSPACE_OBJECT_READ |
ListTaskRuns |
DIS_WORKSPACE_OBJECT_INSPECT |
CreateTaskRun |
DIS_WORKSPACE_OBJECT_EXECUTE |
GetTaskRun |
DIS_WORKSPACE_OBJECT_READ |
UpdateTaskRun |
DIS_WORKSPACE_OBJECT_UPDATE |
DeleteTaskRun |
DIS_WORKSPACE_OBJECT_DELETE |
ListTaskRunLogs |
DIS_WORKSPACE_OBJECT_INSPECT |
CreateDataAsset |
DIS_WORKSPACE_OBJECT_CREATE |
ListDataAssets |
DIS_WORKSPACE_OBJECT_INSPECT |
GetDataAsset |
DIS_WORKSPACE_OBJECT_READ |
UpdateDataAsset |
DIS_WORKSPACE_OBJECT_UPDATE |
DeleteDataAsset |
DIS_WORKSPACE_OBJECT_DELETE |
CreateConnection |
DIS_WORKSPACE_OBJECT_CREATE |
ListConnections |
DIS_WORKSPACE_OBJECT_INSPECT |
GetConnection |
DIS_WORKSPACE_OBJECT_READ |
UpdateConnection |
DIS_WORKSPACE_OBJECT_UPDATE |
DeleteConnection |
DIS_WORKSPACE_OBJECT_DELETE |
GetSchema |
DIS_WORKSPACE_OBJECT_READ |
ListSchemas |
DIS_WORKSPACE_OBJECT_INSPECT |
ListDataEntities |
DIS_WORKSPACE_OBJECT_INSPECT |
CreateEntityShape |
DIS_WORKSPACE_OBJECT_CREATE |
GetDataEntity |
DIS_WORKSPACE_OBJECT_READ |
CreateConnectionValidation |
DIS_WORKSPACE_OBJECT_CREATE |
ListConnectionValidations |
DIS_WORKSPACE_OBJECT_INSPECT |
GetConnectionValidation |
DIS_WORKSPACE_OBJECT_READ |
DeleteConnectionValidation |
DIS_WORKSPACE_OBJECT_DELETE |
CreateDataFlowValidation |
DIS_WORKSPACE_OBJECT_CREATE |
ListDataFlowValidations |
DIS_WORKSPACE_OBJECT_INSPECT |
GetDataFlowValidation |
DIS_WORKSPACE_OBJECT_READ |
DeleteDataFlowValiation |
DIS_WORKSPACE_OBJECT_DELETE |
ListReferences | DIS_WORKSPACE_OBJECT_INSPECT |
GetReference | DIS_WORKSPACE_OBJECT_READ |
UpdateReference | DIS_WORKSPACE_OBJECT_UPDATE |
ListExternalPublications | DIS_WORKSPACE_OBJECT_INSPECT |
CreateExternalPublication | DIS_WORKSPACE_OBJECT_CREATE |
GetExternalPublication | DIS_WORKSPACE_OBJECT_READ |
UpdateExternalPublication | DIS_WORKSPACE_OBJECT_UPDATE |
DeleteExternalPublication | DIS_WORKSPACE_OBJECT_DELETE |
ListExternalPublicationValidations | DIS_WORKSPACE_OBJECT_INSPECT |
CreateExternalPublicationValidation | DIS_WORKSPACE_OBJECT_CREATE |
GetExternalPublicationValidation | DIS_WORKSPACE_OBJECT_READ |
DeleteExternalPublicationValidation | DIS_WORKSPACE_OBJECT_DELETE |
ListPipelines | DIS_WORKSPACE_OBJECT_INSPECT |
GetPipeline | DIS_WORKSPACE_OBJECT_READ |
UpdatePipeline | DIS_WORKSPACE_OBJECT_UPDATE |
CreatePipeline | DIS_WORKSPACE_OBJECT_CREATE |
DeletePipeline | DIS_WORKSPACE_OBJECT_DELETE |
ListSchedules | DIS_WORKSPACE_OBJECT_INSPECT |
GetSchedule | DIS_WORKSPACE_OBJECT_READ |
UpdateSchedule | DIS_WORKSPACE_OBJECT_UPDATE |
CreateSchedule | DIS_WORKSPACE_OBJECT_CREATE |
DeleteSchedule | DIS_WORKSPACE_OBJECT_DELETE |
ListTaskSchedules | DIS_WORKSPACE_OBJECT_INSPECT |
GetTaskSchedule | DIS_WORKSPACE_OBJECT_READ |
UpdateTaskSchedule | DIS_WORKSPACE_OBJECT_UPDATE |
CreateTaskSchedule | DIS_WORKSPACE_OBJECT_CREATE |
DeleteTaskSchedule | DIS_WORKSPACE_OBJECT_DELETE |
CreateExportRequest |
DIS_WORKSPACE_OBJECT_EXPORT |
GetExportRequest |
DIS_WORKSPACE_OBJECT_READ |
ListExportRequests |
DIS_WORKSPACE_OBJECT_INSPECT |
UpdateExportRequest |
DIS_WORKSPACE_OBJECT_UPDATE |
DeleteExportRequest |
DIS_WORKSPACE_OBJECT_DELETE |
CreateImportRequest |
DIS_WORKSPACE_OBJECT_IMPORT |
GetImportRequest |
DIS_WORKSPACE_OBJECT_READ |
ListImportRequests |
DIS_WORKSPACE_OBJECT_INSPECT |
UpdateImportRequest |
DIS_WORKSPACE_OBJECT_UPDATE |
DeleteImportRequest |
DIS_WORKSPACE_OBJECT_DELETE |