Data Integration-Policys

Verwenden Sie den Service Oracle Cloud Infrastructure Identity and Access Management (IAM) mit Identitätsdomains, um Policys zu erstellen.

Standardmäßig können nur die Benutzer in der Gruppe Administrators auf alle Ressourcen und Funktionen in Data Integration zugreifen. Um den Zugriff für Nicht-Administratorbenutzer auf Data Integration-Ressourcen und -Funktionen zu kontrollieren, erstellen Sie IAM-Gruppen, und schreiben Sie dann Policys, die diesen Gruppen den richtigen Zugriff erteilen.

Die folgenden Seiten enthalten weitere Informationen zum Schreiben von Policys:

Überblick über die Policy-Syntax

Die allgemeine Syntax einer Policy-Anweisung lautet:

allow <subject> to <verb> <resource-type> in <location> where <condition>

Beispiel: Sie können Folgendes angeben:

  • Eine Gruppe oder dynamische Gruppe nach Name oder OCID als <subject>. Sie können auch any-user verwenden, um alle Benutzer im Mandanten abzudecken.

  • inspect, read, use und manage als <verb>, um <subject> Zugriff auf Berechtigungen zu erteilen.

    Bei den Verben inspect > read > use > manage wird die Zugriffsebene im Allgemeinen immer weiter erhöht, und die erteilten Berechtigungen sind kumulativ. Beispiel: use umfasst read sowie die Möglichkeit zum Aktualisieren.

  • Eine Ressourcenfamilie wie virtual-network-family als resource-type. Sie können auch eine einzelne Ressource in einer Familie angeben, wie vcns und subnets.

  • Ein Compartment nach Name oder OCID als <location>. Sie können auch tenancy verwenden, um den gesamten Mandanten abzudecken.

  • Eine oder mehrere Bedingungen in <condition>, die erfüllt sein müssen, damit der Zugriff erteilt wird. Bei mehreren Bedingungen können Sie any oder all verwenden.

    Eine Bedingung besteht aus mindestens einer Variablen. Eine Variable kann für die Anforderung selbst (z.B. request.operation) oder für die Ressource relevant sein, die in der Anforderung bearbeitet wird (z.B. target.workspace.id). So berechtigen Sie eine Gruppe zum Verwalten eines bestimmten Workspace und keines anderen Workspace:

    allow group <group-name> to manage dis-workspaces in compartment <compartment-name> where target.workspace.id = '<workspace-ocid>'

    So berechtigen Sie eine Gruppe zum Verwalten aller Data Integration-Ressourcen, außer zum Löschen von Workspaces:

    allow group <group-name> to manage dis-family in compartment <compartment-name> where request.permission != 'DIS_WORKSPACE_DELETE'

Vollständige Informationen finden Sie unter Policy-Syntax.

Weitere Informationen zum Erstellen von Policys finden Sie unter Funktionsweise von Policys und in der Policy-Referenz.

Ressourcentypen

Data Integration bietet sowohl aggregierte als auch individuelle Ressourcentypen zum Schreiben von Policys.

Sie können aggregierte Ressourcentypen verwenden, um weniger Policys zu schreiben. Beispiel: Anstatt das Verwalten von dis-workspaces und dis-work-requests durch eine Gruppe zuzulassen, können Sie eine Policy schreiben, die das Verwalten des aggregierten Ressourcentyps dis-family durch die Gruppe zulässt.

Aggregierter Ressourcentyp Individuelle Ressourcentypen
dis-family

dis-workspaces

dis-work-requests

Die für den aggregierten Ressourcentyp dis-family abgedeckten APIs decken die APIs für dis-workspaces und dis-work-requests ab. Beispiel:
allow group dis-admins to manage dis-family in compartment <compartment_name>
entspricht dem Schreiben der folgenden beiden Policys:
allow group dis-admins to manage dis-workspaces in compartment <compartment_name>
allow group dis-admins to manage dis-work-requests in compartment <compartment_name>

Unterstützte Variablen

Um Bedingungen zu Policys hinzuzufügen, können Sie allgemeine oder servicespezifische Oracle Cloud Infrastructure-Variablen verwenden.

Data Integration unterstützt alle allgemeinen Variablen (siehe Allgemeine Variablen für alle Anforderungen).

In der folgenden Tabelle sind die Ressourcentypvariablen aufgeführt, die Sie verwenden können.

Vorgänge für diesen Ressourcentyp..können diese Variablen verwenden..VariablentypKommentare
dis-workspacetarget.workspace.idEntity (OCID)Nicht für die Verwendung mit CreateWorkspace verfügbar

Vorgänge für diesen API-Pfad..können diese Variablen verwenden..VariablentypKommentare
/workspaces/{workspaceId}/applications/{applicationKey}/*target.application.keyEntity (Schlüssel)Nicht für die Verwendung mit ListApplications, CreateApplication verfügbar
/workspaces/{workspaceId}/applications

source.workspace.id

source.application.key

Entity (Schlüssel)

Nur für die Verwendung mit CreateApplication verfügbar.

Nicht für die Verwendung mit ListApplications, GetApplication, UpdateApplication oder DeleteApplication verfügbar.

/workspaces/{workspaceId}/projects/{projectKey}/*target.object.keyEntity (Schlüssel)
/workspaces/{workspaceId}/folders/{folderKey}/*

target.object.key

target.folder.key

Entity (Schlüssel)target.folder.key ist nur für die Verwendung mit CreateFolder verfügbar
/workspaces/{workspaceId}/dataflows/{dataflowKey}/*

target.object.key

target.folder.key

Entity (Schlüssel)target.folder.key ist nur für die Verwendung mit CreateDataflow, UpdateDataflow verfügbar
/workspaces/{workspaceId}/tasks/{dataflowKey}/*

target.object.key

target.folder.key

Entity (Schlüssel)target.folder.key ist nur für die Verwendung mit CreateTask, UpdateTask verfügbar
/workspaces/{workspaceId}/dataAssets/{dataAssetKey}/*target.object.keyEntity (Schlüssel)
/workspaces/{workspaceId}/connections/{connectionKey}/*

target.object.key

target.folder.key

Entity (Schlüssel)target.folder.key ist nur für die Verwendung mit CreateConnection, UpdateConnection verfügbar
/workspaces/{workspaceId}/pipelines/{pipelineKey}/*

target.object.key

target.folder.key

Entity (Schlüssel)target.folder.key ist nur für die Verwendung mit CreatePipeline, UpdatePipeline verfügbar

Details zu Kombinationen aus Verben und Ressourcentypen

Verwenden Sie Oracle Cloud Infrastructure-Verben und -Ressourcentypen beim Erstellen einer Policy.

In den folgenden Tabellen werden die Berechtigungen und API-Vorgänge angezeigt, die von den einzelnen Verben für Data Integration abgedeckt werden. Die Zugriffsebene ist kumulativ von inspect zu read zu use zu manage. Ein Pluszeichen (+) in einer Tabellenzelle gibt den inkrementellen Zugriff im Vergleich zur Zelle direkt darüber an, während "Keine zusätzlichen" keinen inkrementellen Zugriff angibt.

dis-work-requests
Berechtigung Vollständig abgedeckte APIs

INSPECT

DIS_WORK_REQUEST_INSPECT ListWorkRequests
ListWorkRequestErrors
ListWorkRequestLogs

READ

INSPECT +

INSPECT +

DIS_WORK_REQUEST_READ GetWorkRequest

USE

keine zusätzlichen keine zusätzlichen

MANAGE

keine zusätzlichen keine zusätzlichen
Hinweis

Jede Berechtigung für dis-work-requests deckt mindestens eine API vollständig ab. Es sind keine teilweise abgedeckten APIs für dis-work-requests-Berechtigungen vorhanden.
dis-workspaces
Berechtigung Vollständig abgedeckte APIs

INSPECT

DIS_WORKSPACE_INSPECT ListWorkspaces
DIS_WORKSPACE_OBJECT_INSPECT ListProjects
ListFolders
ListDataFlows
ListTasks
ListTaskValidations
ListApplications
ListPublishedObjects
ListDependentObjects
ListTaskRuns
ListTaskRunLogs
ListDataAssets
ListConnections
ListSchemas
ListDataEntities
ListConnectionValidation
ListDataFlowValidations
ListExternalPublications
ListExternalPublicationValidations
ListReferences
ListPatchChanges
ListPipelines
ListSchedules
ListTaskSchedules
READ

INSPECT +

INSPECT +

DIS_WORKSPACE_READ GetWorkspace
DIS_WORKSPACE_OBJECT_READ GetCountStatistic
GetProject
GetFolder
GetDataFlow
GetTask
GetTaskValidation
GetApplication
GetPatch
GetPublishedObject
GetDependentObject
GetTaskRun
GetDataAsset
GetConnection
GetSchema
GetDataEntity
GetConnectionValidation
GetDataFlowValidation
GetExternalPublication
GetExternalPublicationValidation
GetReference
GetPipeline
GetSchedule
GetTaskSchedule

USE

READ +

READ +

DIS_WORKSPACE_EXECUTE ExecuteTask
DIS_WORKSPACE_UPDATE UpdateWorkspace
DIS_WORKSPACE_OBJECT_EXECUTE CreateTaskRun
UpdateTaskRun
DIS_WORKSPACE_OBJECT_UPDATE UpdateProject
UpdateFolder
UpdateDataFlow
UpdateTask
UpdateApplication
UpdateDataAsset
UpdateConnection
UpdateReference
UpdateExternalPublication
UpdatePipeline
UpdateSchedule
UpdateTaskSchedule
DIS_WORKSPACE_OBJECT_CREATE CreateProject
CreateFolder
CreateDataFlow
CreateTask
CreateTaskValidation
CreatePatch
CreateApplication
CreateDataAsset
CreateConnection
CreateEntityShape
CreateConnectionValidation
CreateDataFlowValidation
CreateExternalPublication
CreateExternalPublicationValidation
CreatePipeline
CreateSchedule
CreateTaskSchedule
DIS_WORKSPACE_OBJECT_DELETE DeleteProject
DeleteFolder
DeleteDataFlow
DeleteTask
DeleteTaskValidation
DeleteApplication
DeletePatch
DeleteTaskRun
DeleteDataAsset
DeleteConnection
DeleteConnectionValidation
DeleteDataFlowValidation
DeleteExternalPublication
DeleteExternalPublicationValidation
DeletePipeline
DeleteSchedule
DeleteTaskSchedule

MANAGE

USE +

USE +

DIS_WORKSPACE_CREATE CreateWorkspace
DIS_WORKSPACE_DELETE DeleteWorkspace
DIS_WORKSPACE_MOVE ChangeCompartment
DIS_WORKSPACE_START StartWorkspace
DIS_WORKSPACE_STOP StopWorkspace
Hinweis

Jede Berechtigung für dis-workspaces deckt eine API vollständig ab. Es sind keine teilweise abgedeckten APIs für dis-workspaces-Berechtigungen vorhanden.

Für jeden API-Vorgang erforderliche Berechtigungen

In der Tabelle werden die Data Integration-API-Vorgänge in logischer Reihenfolge, gruppiert nach Ressourcentyp, und die erforderlichen Berechtigungen für die Ressourcentypen dis-workspaces und dis-work-requests aufgeführt.

Informationen zu Berechtigungen finden Sie unter Berechtigungen.

Erforderliche Berechtigungen
API-Vorgang Berechtigungen
ListWorkspaces DIS_WORKSPACE_INSPECT
GetWorkspace DIS_WORKSPACE_READ
UpdateWorkspace DIS_WORKSPACE_UPDATE
DeleteWorkspace DIS_WORKSPACE_DELETE
CreateWorkspace DIS_WORKSPACE_CREATE
ChangeCompartment DIS_WORKSPACE_MOVE
StartWorkspace DIS_WORKSPACE_START
StopWorkspace DIS_WORKSPACE_STOP
ListWorkRequests DIS_WORK_REQUEST_INSPECT
GetWorkRequest DIS_WORK_REQUEST_READ
ListWorkRequestErrors DIS_WORK_REQUEST_INSPECT
ListWorkRequestLogs DIS_WORK_REQUEST_INSPECT
GetCountStatistic DIS_WORKSPACE_OBJECT_READ
ListProjects DIS_WORKSPACE_OBJECT_INSPECT
CreateProject DIS_WORKSPACE_OBJECT_CREATE
GetProject DIS_WORKSPACE_OBJECT_READ
UpdateProject DIS_WORKSPACE_OBJECT_UPDATE
DeleteProject DIS_WORKSPACE_OBJECT_DELETE
ListFolders DIS_WORKSPACE_OBJECT_INSPECT
CreateFolder DIS_WORKSPACE_OBJECT_CREATE
GetFolder DIS_WORKSPACE_OBJECT_READ
UpdateFolder DIS_WORKSPACE_OBJECT_UPDATE
DeleteFolder DIS_WORKSPACE_OBJECT_DELETE
ListDataFlows DIS_WORKSPACE_OBJECT_INSPECT
CreateDataFlow DIS_WORKSPACE_OBJECT_CREATE
GetDataFlow DIS_WORKSPACE_OBJECT_READ
UpdateDataFlow DIS_WORKSPACE_OBJECT_UPDATE
DeleteDataFlow DIS_WORKSPACE_OBJECT_DELETE
ListTasks DIS_WORKSPACE_OBJECT_INSPECT
CreateTask DIS_WORKSPACE_OBJECT_CREATE
GetTask DIS_WORKSPACE_OBJECT_READ
UpdateTask DIS_WORKSPACE_OBJECT_UPDATE
DeleteTask DIS_WORKSPACE_OBJECT_DELETE
CreateTaskValidation DIS_WORKSPACE_OBJECT_CREATE
ListTaskValidations DIS_WORKSPACE_OBJECT_INSPECT
GetTaskValidations DIS_WORKSPACE_OBJECT_READ
DeleteTaskValidation DIS_WORKSPACE_OBJECT_DELETE
ListApplications DIS_WORKSPACE_OBJECT_INSPECT
CreateApplication DIS_WORKSPACE_OBJECT_CREATE
GetApplication DIS_WORKSPACE_OBJECT_READ
UpdateApplication DIS_WORKSPACE_OBJECT_UPDATE
DeleteApplication DIS_WORKSPACE_OBJECT_DELETE
ListPatches DIS_WORKSPACE_OBJECT_INSPECT
CreatePatch DIS_WORKSPACE_OBJECT_CREATE
GetPatch DIS_WORKSPACE_OBJECT_READ
DeletePatch DIS_WORKSPACE_OBJECT_DELETE
ListPatchChangesDIS_WORKSPACE_OBJECT_INSPECT
ListPublishedObjects DIS_WORKSPACE_OBJECT_INSPECT
GetPublishedObject DIS_WORKSPACE_OBJECT_READ
ListDependentObjects DIS_WORKSPACE_OBJECT_INSPECT
GetDependenObject DIS_WORKSPACE_OBJECT_READ
ListTaskRuns DIS_WORKSPACE_OBJECT_INSPECT
CreateTaskRun DIS_WORKSPACE_OBJECT_EXECUTE
GetTaskRun DIS_WORKSPACE_OBJECT_READ
UpdateTaskRun DIS_WORKSPACE_OBJECT_UPDATE
DeleteTaskRun DIS_WORKSPACE_OBJECT_DELETE
ListTaskRunLogs DIS_WORKSPACE_OBJECT_INSPECT
CreateDataAsset DIS_WORKSPACE_OBJECT_CREATE
ListDataAssets DIS_WORKSPACE_OBJECT_INSPECT
GetDataAsset DIS_WORKSPACE_OBJECT_READ
UpdateDataAsset DIS_WORKSPACE_OBJECT_UPDATE
DeleteDataAsset DIS_WORKSPACE_OBJECT_DELETE
CreateConnection DIS_WORKSPACE_OBJECT_CREATE
ListConnections DIS_WORKSPACE_OBJECT_INSPECT
GetConnection DIS_WORKSPACE_OBJECT_READ
UpdateConnection DIS_WORKSPACE_OBJECT_UPDATE
DeleteConnection DIS_WORKSPACE_OBJECT_DELETE
GetSchema DIS_WORKSPACE_OBJECT_READ
ListSchemas DIS_WORKSPACE_OBJECT_INSPECT
ListDataEntities DIS_WORKSPACE_OBJECT_INSPECT
CreateEntityShape DIS_WORKSPACE_OBJECT_CREATE
GetDataEntity DIS_WORKSPACE_OBJECT_READ
CreateConnectionValidation DIS_WORKSPACE_OBJECT_CREATE
ListConnectionValidations DIS_WORKSPACE_OBJECT_INSPECT
GetConnectionValidation DIS_WORKSPACE_OBJECT_READ
DeleteConnectionValidation DIS_WORKSPACE_OBJECT_DELETE
CreateDataFlowValidation DIS_WORKSPACE_OBJECT_CREATE
ListDataFlowValidations DIS_WORKSPACE_OBJECT_INSPECT
GetDataFlowValidation DIS_WORKSPACE_OBJECT_READ
DeleteDataFlowValiation DIS_WORKSPACE_OBJECT_DELETE
ListReferencesDIS_WORKSPACE_OBJECT_INSPECT
GetReferenceDIS_WORKSPACE_OBJECT_READ
UpdateReferenceDIS_WORKSPACE_OBJECT_UPDATE
ListExternalPublicationsDIS_WORKSPACE_OBJECT_INSPECT
CreateExternalPublicationDIS_WORKSPACE_OBJECT_CREATE
GetExternalPublicationDIS_WORKSPACE_OBJECT_READ
UpdateExternalPublicationDIS_WORKSPACE_OBJECT_UPDATE
DeleteExternalPublicationDIS_WORKSPACE_OBJECT_DELETE
ListExternalPublicationValidationsDIS_WORKSPACE_OBJECT_INSPECT
CreateExternalPublicationValidationDIS_WORKSPACE_OBJECT_CREATE
GetExternalPublicationValidationDIS_WORKSPACE_OBJECT_READ
DeleteExternalPublicationValidationDIS_WORKSPACE_OBJECT_DELETE
ListPipelinesDIS_WORKSPACE_OBJECT_INSPECT
GetPipelineDIS_WORKSPACE_OBJECT_READ
UpdatePipelineDIS_WORKSPACE_OBJECT_UPDATE
CreatePipelineDIS_WORKSPACE_OBJECT_CREATE
DeletePipelineDIS_WORKSPACE_OBJECT_DELETE
ListSchedulesDIS_WORKSPACE_OBJECT_INSPECT
GetScheduleDIS_WORKSPACE_OBJECT_READ
UpdateScheduleDIS_WORKSPACE_OBJECT_UPDATE
CreateScheduleDIS_WORKSPACE_OBJECT_CREATE
DeleteScheduleDIS_WORKSPACE_OBJECT_DELETE
ListTaskSchedulesDIS_WORKSPACE_OBJECT_INSPECT
GetTaskScheduleDIS_WORKSPACE_OBJECT_READ
UpdateTaskScheduleDIS_WORKSPACE_OBJECT_UPDATE
CreateTaskScheduleDIS_WORKSPACE_OBJECT_CREATE
DeleteTaskScheduleDIS_WORKSPACE_OBJECT_DELETE
CreateExportRequest DIS_WORKSPACE_OBJECT_EXPORT
GetExportRequest DIS_WORKSPACE_OBJECT_READ
ListExportRequests DIS_WORKSPACE_OBJECT_INSPECT
UpdateExportRequest DIS_WORKSPACE_OBJECT_UPDATE
DeleteExportRequest DIS_WORKSPACE_OBJECT_DELETE
CreateImportRequest DIS_WORKSPACE_OBJECT_IMPORT
GetImportRequest DIS_WORKSPACE_OBJECT_READ
ListImportRequests DIS_WORKSPACE_OBJECT_INSPECT
UpdateImportRequest DIS_WORKSPACE_OBJECT_UPDATE
DeleteImportRequest DIS_WORKSPACE_OBJECT_DELETE