Data Integration-Policys

Verwenden Sie den Service Oracle Cloud Infrastructure Identity and Access Management (IAM) mit Identitätsdomains, um Policys zu erstellen.

Standardmäßig können nur die Benutzer in der Gruppe Administrators auf alle Ressourcen und Funktionen in Data Integration zugreifen. Um den Zugriff für Nicht-Administratorbenutzer auf Data Integration-Ressourcen und -Funktionen zu kontrollieren, erstellen Sie IAM-Gruppen, und schreiben Sie dann Policys, die diesen Gruppen den richtigen Zugriff erteilen.

Die folgenden Seiten enthalten einige Policy-Beispiele, die Sie verwenden können:

Policy-Beispiele

Die folgenden Seiten enthalten weitere Informationen zum Schreiben von Policys:

Überblick über die Policy-Syntax

Die allgemeine Syntax einer Policy-Anweisung lautet:

allow <subject> to <verb> <resource-type> in <location> where <condition>

Beispiel: Sie können Folgendes angeben:

Eine Gruppe oder dynamische Gruppe nach Name oder OCID als <subject>. Sie können auch any-user verwenden, um alle Benutzer im Mandanten abzudecken.
inspect, read, use und manage als <verb>, um <subject> Zugriff auf Berechtigungen zu erteilen.

Bei den Verben inspect > read > use > manage wird die Zugriffsebene im Allgemeinen immer weiter erhöht, und die erteilten Berechtigungen sind kumulativ. Beispiel: use umfasst read sowie die Möglichkeit zum Aktualisieren.
Eine Ressourcenfamilie wie virtual-network-family als resource-type. Sie können auch eine einzelne Ressource in einer Familie angeben, wie vcns und subnets.
Ein Compartment nach Name oder OCID als <location>. Sie können auch tenancy verwenden, um den gesamten Mandanten abzudecken.
Eine oder mehrere Bedingungen in <condition>, die erfüllt sein müssen, damit der Zugriff erteilt wird. Bei mehreren Bedingungen können Sie any oder all verwenden.

Eine Bedingung besteht aus mindestens einer Variablen. Eine Variable kann für die Anforderung selbst (z.B. request.operation) oder für die Ressource relevant sein, die in der Anforderung bearbeitet wird (z.B. target.workspace.id). So berechtigen Sie eine Gruppe zum Verwalten eines bestimmten Workspace und keines anderen Workspace:
```
allow group <group-name> to manage dis-workspaces in compartment <compartment-name> where target.workspace.id = '<workspace-ocid>'
```
So berechtigen Sie eine Gruppe zum Verwalten aller Data Integration-Ressourcen, außer zum Löschen von Workspaces:
```
allow group <group-name> to manage dis-family in compartment <compartment-name> where request.permission != 'DIS_WORKSPACE_DELETE'
```

Vollständige Informationen finden Sie unter Policy-Syntax.

Weitere Informationen zum Erstellen von Policys finden Sie unter Funktionsweise von Policys und in der Policy-Referenz.

Ressourcentypen

Data Integration bietet sowohl aggregierte als auch individuelle Ressourcentypen zum Schreiben von Policys.

Sie können aggregierte Ressourcentypen verwenden, um weniger Policys zu schreiben. Beispiel: Anstatt das Verwalten von dis-workspaces und dis-work-requests durch eine Gruppe zuzulassen, können Sie eine Policy schreiben, die das Verwalten des aggregierten Ressourcentyps dis-family durch die Gruppe zulässt.


Aggregierter Ressourcentyp	Individuelle Ressourcentypen
`dis-family`	`dis-workspaces` `dis-work-requests`

Die für den aggregierten Ressourcentyp dis-family abgedeckten APIs decken die APIs für dis-workspaces und dis-work-requests ab. Beispiel:

allow group dis-admins to manage dis-family in compartment <compartment_name>

entspricht dem Schreiben der folgenden beiden Policys:

allow group dis-admins to manage dis-workspaces in compartment <compartment_name>
allow group dis-admins to manage dis-work-requests in compartment <compartment_name>

Unterstützte Variablen

Um Bedingungen zu Policys hinzuzufügen, können Sie allgemeine oder servicespezifische Oracle Cloud Infrastructure-Variablen verwenden.

Data Integration unterstützt alle allgemeinen Variablen (siehe Allgemeine Variablen für alle Anforderungen).

In der folgenden Tabelle sind die Ressourcentypvariablen aufgeführt, die Sie verwenden können.


Vorgänge für diesen Ressourcentyp..	können diese Variablen verwenden..	Variablentyp	Kommentare
`dis-workspace`	`target.workspace.id`	Entity (OCID)	Nicht für die Verwendung mit `CreateWorkspace` verfügbar


Vorgänge für diesen API-Pfad..	können diese Variablen verwenden..	Variablentyp	Kommentare
`/workspaces/{workspaceId}/applications/{applicationKey}/*`	`target.application.key`	Entity (Schlüssel)	Nicht für die Verwendung mit `ListApplications`, `CreateApplication` verfügbar
`/workspaces/{workspaceId}/applications`	`source.workspace.id` `source.application.key`	Entity (Schlüssel)	Nur für die Verwendung mit `CreateApplication` verfügbar. Nicht für die Verwendung mit `ListApplications`, `GetApplication`, `UpdateApplication` oder `DeleteApplication` verfügbar.
`/workspaces/{workspaceId}/projects/{projectKey}/*`	`target.object.key`	Entity (Schlüssel)
`/workspaces/{workspaceId}/folders/{folderKey}/*`	`target.object.key` `target.folder.key`	Entity (Schlüssel)	`target.folder.key` ist nur für die Verwendung mit `CreateFolder` verfügbar
`/workspaces/{workspaceId}/dataflows/{dataflowKey}/*`	`target.object.key` `target.folder.key`	Entity (Schlüssel)	`target.folder.key` ist nur für die Verwendung mit `CreateDataflow`, `UpdateDataflow` verfügbar
`/workspaces/{workspaceId}/tasks/{dataflowKey}/*`	`target.object.key` `target.folder.key`	Entity (Schlüssel)	`target.folder.key` ist nur für die Verwendung mit `CreateTask`, `UpdateTask` verfügbar
`/workspaces/{workspaceId}/dataAssets/{dataAssetKey}/*`	`target.object.key`	Entity (Schlüssel)
`/workspaces/{workspaceId}/connections/{connectionKey}/*`	`target.object.key` `target.folder.key`	Entity (Schlüssel)	`target.folder.key` ist nur für die Verwendung mit `CreateConnection`, `UpdateConnection` verfügbar
`/workspaces/{workspaceId}/pipelines/{pipelineKey}/*`	`target.object.key` `target.folder.key`	Entity (Schlüssel)	`target.folder.key` ist nur für die Verwendung mit `CreatePipeline`, `UpdatePipeline` verfügbar

Details zu Kombinationen aus Verben und Ressourcentypen

Verwenden Sie Oracle Cloud Infrastructure-Verben und -Ressourcentypen beim Erstellen einer Policy.

In den folgenden Tabellen werden die Berechtigungen und API-Vorgänge angezeigt, die von den einzelnen Verben für Data Integration abgedeckt werden. Die Zugriffsebene ist kumulativ von inspect zu read zu use zu manage. Ein Pluszeichen (+) in einer Tabellenzelle gibt den inkrementellen Zugriff im Vergleich zur Zelle direkt darüber an, während "Keine zusätzlichen" keinen inkrementellen Zugriff angibt.

dis-work-requests


Berechtigung	Vollständig abgedeckte APIs
INSPECT
DIS_WORK_REQUEST_INSPECT	`ListWorkRequests`
	`ListWorkRequestErrors`
	`ListWorkRequestLogs`
READ
INSPECT +	INSPECT +
DIS_WORK_REQUEST_READ	`GetWorkRequest`
USE
keine zusätzlichen	keine zusätzlichen
MANAGE
keine zusätzlichen	keine zusätzlichen

Hinweis

Jede Berechtigung für dis-work-requests deckt mindestens eine API vollständig ab. Es sind keine teilweise abgedeckten APIs für dis-work-requests-Berechtigungen vorhanden.

dis-workspaces


Berechtigung	Vollständig abgedeckte APIs
INSPECT
DIS_WORKSPACE_INSPECT	`ListWorkspaces`
DIS_WORKSPACE_OBJECT_INSPECT	`ListProjects`
	`ListFolders`
	`ListDataFlows`
	`ListTasks`
	`ListTaskValidations`
	`ListApplications`
	`ListPublishedObjects`
	`ListDependentObjects`
	`ListTaskRuns`
	`ListTaskRunLogs`
	`ListDataAssets`
	`ListConnections`
	`ListSchemas`
	`ListDataEntities`
	`ListConnectionValidation`
	`ListDataFlowValidations`
	`ListExternalPublications`
	`ListExternalPublicationValidations`
	`ListReferences`
	`ListPatchChanges`
	`ListPipelines`
	`ListSchedules`
	`ListTaskSchedules`
READ
INSPECT +	INSPECT +
DIS_WORKSPACE_READ	`GetWorkspace`
DIS_WORKSPACE_OBJECT_READ	`GetCountStatistic`
	`GetProject`
	`GetFolder`
	`GetDataFlow`
	`GetTask`
	`GetTaskValidation`
	`GetApplication`
	`GetPatch`
	`GetPublishedObject`
	`GetDependentObject`
	`GetTaskRun`
	`GetDataAsset`
	`GetConnection`
	`GetSchema`
	`GetDataEntity`
	`GetConnectionValidation`
	`GetDataFlowValidation`
	`GetExternalPublication`
	`GetExternalPublicationValidation`
	`GetReference`
	`GetPipeline`
	`GetSchedule`
	`GetTaskSchedule`
USE
READ +	READ +
DIS_WORKSPACE_EXECUTE	`ExecuteTask`
DIS_WORKSPACE_UPDATE	`UpdateWorkspace`
DIS_WORKSPACE_OBJECT_EXECUTE	`CreateTaskRun`
DIS_WORKSPACE_OBJECT_EXECUTE	`UpdateTaskRun`
DIS_WORKSPACE_OBJECT_UPDATE	`UpdateProject`
	`UpdateFolder`
	`UpdateDataFlow`
	`UpdateTask`
	`UpdateApplication`
	`UpdateDataAsset`
	`UpdateConnection`
	`UpdateReference`
	`UpdateExternalPublication`
	`UpdatePipeline`
	`UpdateSchedule`
	`UpdateTaskSchedule`
DIS_WORKSPACE_OBJECT_CREATE	`CreateProject`
	`CreateFolder`
	`CreateDataFlow`
	`CreateTask`
	`CreateTaskValidation`
	`CreatePatch`
	`CreateApplication`
	`CreateDataAsset`
	`CreateConnection`
	`CreateEntityShape`
	`CreateConnectionValidation`
	`CreateDataFlowValidation`
	`CreateExternalPublication`
	`CreateExternalPublicationValidation`
	`CreatePipeline`
	`CreateSchedule`
	`CreateTaskSchedule`
DIS_WORKSPACE_OBJECT_DELETE	`DeleteProject`
	`DeleteFolder`
	`DeleteDataFlow`
	`DeleteTask`
	`DeleteTaskValidation`
	`DeleteApplication`
	`DeletePatch`
	`DeleteTaskRun`
	`DeleteDataAsset`
	`DeleteConnection`
	`DeleteConnectionValidation`
	`DeleteDataFlowValidation`
	`DeleteExternalPublication`
	`DeleteExternalPublicationValidation`
	`DeletePipeline`
	`DeleteSchedule`
	`DeleteTaskSchedule`
MANAGE
USE +	USE +
DIS_WORKSPACE_CREATE	`CreateWorkspace`
DIS_WORKSPACE_DELETE	`DeleteWorkspace`
DIS_WORKSPACE_MOVE	`ChangeCompartment`
DIS_WORKSPACE_START	`StartWorkspace`
DIS_WORKSPACE_STOP	`StopWorkspace`

Hinweis

Jede Berechtigung für dis-workspaces deckt eine API vollständig ab. Es sind keine teilweise abgedeckten APIs für dis-workspaces-Berechtigungen vorhanden.

Für jeden API-Vorgang erforderliche Berechtigungen

In der Tabelle werden die Data Integration-API-Vorgänge in logischer Reihenfolge, gruppiert nach Ressourcentyp, und die erforderlichen Berechtigungen für die Ressourcentypen dis-workspaces und dis-work-requests aufgeführt.

Informationen zu Berechtigungen finden Sie unter Berechtigungen.

Erforderliche Berechtigungen
API-Vorgang	Berechtigungen
`ListWorkspaces`	DIS_WORKSPACE_INSPECT
`GetWorkspace`	DIS_WORKSPACE_READ
`UpdateWorkspace`	DIS_WORKSPACE_UPDATE
`DeleteWorkspace`	DIS_WORKSPACE_DELETE
`CreateWorkspace`	DIS_WORKSPACE_CREATE
`ChangeCompartment`	DIS_WORKSPACE_MOVE
`StartWorkspace`	DIS_WORKSPACE_START
`StopWorkspace`	DIS_WORKSPACE_STOP
`ListWorkRequests`	DIS_WORK_REQUEST_INSPECT
`GetWorkRequest`	DIS_WORK_REQUEST_READ
`ListWorkRequestErrors`	DIS_WORK_REQUEST_INSPECT
`ListWorkRequestLogs`	DIS_WORK_REQUEST_INSPECT
`GetCountStatistic`	DIS_WORKSPACE_OBJECT_READ
`ListProjects`	DIS_WORKSPACE_OBJECT_INSPECT
`CreateProject`	DIS_WORKSPACE_OBJECT_CREATE
`GetProject`	DIS_WORKSPACE_OBJECT_READ
`UpdateProject`	DIS_WORKSPACE_OBJECT_UPDATE
`DeleteProject`	DIS_WORKSPACE_OBJECT_DELETE
`ListFolders`	DIS_WORKSPACE_OBJECT_INSPECT
`CreateFolder`	DIS_WORKSPACE_OBJECT_CREATE
`GetFolder`	DIS_WORKSPACE_OBJECT_READ
`UpdateFolder`	DIS_WORKSPACE_OBJECT_UPDATE
`DeleteFolder`	DIS_WORKSPACE_OBJECT_DELETE
`ListDataFlows`	DIS_WORKSPACE_OBJECT_INSPECT
`CreateDataFlow`	DIS_WORKSPACE_OBJECT_CREATE
`GetDataFlow`	DIS_WORKSPACE_OBJECT_READ
`UpdateDataFlow`	DIS_WORKSPACE_OBJECT_UPDATE
`DeleteDataFlow`	DIS_WORKSPACE_OBJECT_DELETE
`ListTasks`	DIS_WORKSPACE_OBJECT_INSPECT
`CreateTask`	DIS_WORKSPACE_OBJECT_CREATE
`GetTask`	DIS_WORKSPACE_OBJECT_READ
`UpdateTask`	DIS_WORKSPACE_OBJECT_UPDATE
`DeleteTask`	DIS_WORKSPACE_OBJECT_DELETE
`CreateTaskValidation`	DIS_WORKSPACE_OBJECT_CREATE
`ListTaskValidations`	DIS_WORKSPACE_OBJECT_INSPECT
`GetTaskValidations`	DIS_WORKSPACE_OBJECT_READ
`DeleteTaskValidation`	DIS_WORKSPACE_OBJECT_DELETE
`ListApplications`	DIS_WORKSPACE_OBJECT_INSPECT
`CreateApplication`	DIS_WORKSPACE_OBJECT_CREATE
`GetApplication`	DIS_WORKSPACE_OBJECT_READ
`UpdateApplication`	DIS_WORKSPACE_OBJECT_UPDATE
`DeleteApplication`	DIS_WORKSPACE_OBJECT_DELETE
`ListPatches`	DIS_WORKSPACE_OBJECT_INSPECT
`CreatePatch`	DIS_WORKSPACE_OBJECT_CREATE
`GetPatch`	DIS_WORKSPACE_OBJECT_READ
`DeletePatch`	DIS_WORKSPACE_OBJECT_DELETE
`ListPatchChanges`	DIS_WORKSPACE_OBJECT_INSPECT
`ListPublishedObjects`	DIS_WORKSPACE_OBJECT_INSPECT
`GetPublishedObject`	DIS_WORKSPACE_OBJECT_READ
`ListDependentObjects`	DIS_WORKSPACE_OBJECT_INSPECT
`GetDependenObject`	DIS_WORKSPACE_OBJECT_READ
`ListTaskRuns`	DIS_WORKSPACE_OBJECT_INSPECT
`CreateTaskRun`	DIS_WORKSPACE_OBJECT_EXECUTE
`GetTaskRun`	DIS_WORKSPACE_OBJECT_READ
`UpdateTaskRun`	DIS_WORKSPACE_OBJECT_UPDATE
`DeleteTaskRun`	DIS_WORKSPACE_OBJECT_DELETE
`ListTaskRunLogs`	DIS_WORKSPACE_OBJECT_INSPECT
`CreateDataAsset`	DIS_WORKSPACE_OBJECT_CREATE
`ListDataAssets`	DIS_WORKSPACE_OBJECT_INSPECT
`GetDataAsset`	DIS_WORKSPACE_OBJECT_READ
`UpdateDataAsset`	DIS_WORKSPACE_OBJECT_UPDATE
`DeleteDataAsset`	DIS_WORKSPACE_OBJECT_DELETE
`CreateConnection`	DIS_WORKSPACE_OBJECT_CREATE
`ListConnections`	DIS_WORKSPACE_OBJECT_INSPECT
`GetConnection`	DIS_WORKSPACE_OBJECT_READ
`UpdateConnection`	DIS_WORKSPACE_OBJECT_UPDATE
`DeleteConnection`	DIS_WORKSPACE_OBJECT_DELETE
`GetSchema`	DIS_WORKSPACE_OBJECT_READ
`ListSchemas`	DIS_WORKSPACE_OBJECT_INSPECT
`ListDataEntities`	DIS_WORKSPACE_OBJECT_INSPECT
`CreateEntityShape`	DIS_WORKSPACE_OBJECT_CREATE
`GetDataEntity`	DIS_WORKSPACE_OBJECT_READ
`CreateConnectionValidation`	DIS_WORKSPACE_OBJECT_CREATE
`ListConnectionValidations`	DIS_WORKSPACE_OBJECT_INSPECT
`GetConnectionValidation`	DIS_WORKSPACE_OBJECT_READ
`DeleteConnectionValidation`	DIS_WORKSPACE_OBJECT_DELETE
`CreateDataFlowValidation`	DIS_WORKSPACE_OBJECT_CREATE
`ListDataFlowValidations`	DIS_WORKSPACE_OBJECT_INSPECT
`GetDataFlowValidation`	DIS_WORKSPACE_OBJECT_READ
`DeleteDataFlowValiation`	DIS_WORKSPACE_OBJECT_DELETE
`ListReferences`	DIS_WORKSPACE_OBJECT_INSPECT
`GetReference`	DIS_WORKSPACE_OBJECT_READ
`UpdateReference`	DIS_WORKSPACE_OBJECT_UPDATE
`ListExternalPublications`	DIS_WORKSPACE_OBJECT_INSPECT
`CreateExternalPublication`	DIS_WORKSPACE_OBJECT_CREATE
`GetExternalPublication`	DIS_WORKSPACE_OBJECT_READ
`UpdateExternalPublication`	DIS_WORKSPACE_OBJECT_UPDATE
`DeleteExternalPublication`	DIS_WORKSPACE_OBJECT_DELETE
`ListExternalPublicationValidations`	DIS_WORKSPACE_OBJECT_INSPECT
`CreateExternalPublicationValidation`	DIS_WORKSPACE_OBJECT_CREATE
`GetExternalPublicationValidation`	DIS_WORKSPACE_OBJECT_READ
`DeleteExternalPublicationValidation`	DIS_WORKSPACE_OBJECT_DELETE
`ListPipelines`	DIS_WORKSPACE_OBJECT_INSPECT
`GetPipeline`	DIS_WORKSPACE_OBJECT_READ
`UpdatePipeline`	DIS_WORKSPACE_OBJECT_UPDATE
`CreatePipeline`	DIS_WORKSPACE_OBJECT_CREATE
`DeletePipeline`	DIS_WORKSPACE_OBJECT_DELETE
`ListSchedules`	DIS_WORKSPACE_OBJECT_INSPECT
`GetSchedule`	DIS_WORKSPACE_OBJECT_READ
`UpdateSchedule`	DIS_WORKSPACE_OBJECT_UPDATE
`CreateSchedule`	DIS_WORKSPACE_OBJECT_CREATE
`DeleteSchedule`	DIS_WORKSPACE_OBJECT_DELETE
`ListTaskSchedules`	DIS_WORKSPACE_OBJECT_INSPECT
`GetTaskSchedule`	DIS_WORKSPACE_OBJECT_READ
`UpdateTaskSchedule`	DIS_WORKSPACE_OBJECT_UPDATE
`CreateTaskSchedule`	DIS_WORKSPACE_OBJECT_CREATE
`DeleteTaskSchedule`	DIS_WORKSPACE_OBJECT_DELETE
`CreateExportRequest`	DIS_WORKSPACE_OBJECT_EXPORT
`GetExportRequest`	DIS_WORKSPACE_OBJECT_READ
`ListExportRequests`	DIS_WORKSPACE_OBJECT_INSPECT
`UpdateExportRequest`	DIS_WORKSPACE_OBJECT_UPDATE
`DeleteExportRequest`	DIS_WORKSPACE_OBJECT_DELETE
`CreateImportRequest`	DIS_WORKSPACE_OBJECT_IMPORT
`GetImportRequest`	DIS_WORKSPACE_OBJECT_READ
`ListImportRequests`	DIS_WORKSPACE_OBJECT_INSPECT
`UpdateImportRequest`	DIS_WORKSPACE_OBJECT_UPDATE
`DeleteImportRequest`	DIS_WORKSPACE_OBJECT_DELETE