Oracle Cloud Infrastructure-Dokumentation

Identitäts-Policys einrichten

Für Data Labeling müssen in IAM Policys für den Zugriff auf Ressourcen zum Verwalten von Datensets und zum Beschriften von Datensätzen festgelegt werden.

Informationen zur Funktionsweise von IAM-Policys finden Sie in der Dokumentation zu IAM ohne Identitätsdomas oder IAM mit Identitätsdomas.

Informationen zu Tags und Tag-Namespaces, die zu Ihren Policys hinzugefügt werden müssen, finden Sie unter Tags und Tag Namespaces verwalten.

Benutzer-Policys einrichten

Erstellen Sie in IAM Policys für Ihre Data Labeling-Benutzer, damit der Service ordnungsgemäß funktioniert.

  1. Erstellen Sie eine Gruppe für Ihre Benutzer.
  2. Fügen Sie Ihre Benutzer dieser Gruppe hinzu.
  3. Erstellen Sie eine dynamische Gruppe mit der folgenden Regel: 
    ALL { resource.type = 'datalabelingdataset'}
  4. Erstellen Sie eine Policy im Root Compartment für Benutzer ohne Administratorrechte: 
    allow group <group-name> to read buckets in compartment <compartment-name>
allow group <group-name> to manage objects in compartment <compartment-name>
allow group <group-name> to read objectstorage-namespaces in compartment <compartment-name>
allow group <group-name> to manage data-labeling-family in compartment <compartment-name>
  5. Erstellen Sie eine Policy im Root Compartment für die dynamische Gruppe: 
    allow dynamic-group <dynamic-group-name> to read buckets in compartment <compartment-name>
allow dynamic-group <dynamic-group-name> to read objects in compartment <compartment-name>
allow dynamic-group <dynamic-group-name> to manage objects in compartment <compartment-name> where any {request.permission='OBJECT_CREATE', request.permission='OBJECT_OVERWRITE'}
  6. (Optional) Verwalten Sie Ihren Mandanten nach Bedarf, einschließlich der Einschränkung des Zugriffs auf ein bestimmtes Compartment. Weitere Informationen finden Sie unter Schritte zum Verwalten Ihres Mandanten.
  7. (Optional) Verwalten Sie Ihr Compartment nach Bedarf.

Mandantenübergreifende Policys einrichten

Führen Sie die folgenden Schritte aus, um in Data Labeling mandantenübergreifende Policys einzurichten.

Mit einer mandantenübergreifenden Policy können Sie Ressourcen für Benutzer in einem anderen Mandanten freigeben. Beispiel: Sie können Cross-Tenancy-Policys erstellen, mit denen Ihre Benutzer in einer IAM-Gruppe im Quellmandanten Vorgänge für Datensätze im Zielmandanten ausführen können. Weitere Informationen zu mandantenübergreifenden Policys finden Sie unter Auf Object Storage-Ressourcen mandantenübergreifend zugreifen.

Im folgenden Beispiel möchten die Benutzer der Gruppe group-name im Mandanten source-tenancy die Data Labeling-Funktionalität in einem anderen Mandanten namens destination-tenancy verwenden.

  1. Erstellen Sie eine Gruppe in source-tenancy, und fügen Sie ihr Benutzer hinzu.
  2. Fügen Sie die folgenden Policys in source-tenancy hinzu, damit group-name bestätigt wird und das Dataset in destination-tenancy verwalten kann: 
    DEFINE tenancy destination-tenancy AS <destination-tenancy-ocid>
ENDORSE group group-name TO manage data-labeling-family IN tenancy destination-tenancy
  3. Fügen Sie in destination-tenancy Policy-Anweisungen hinzu, die es group-name ermöglichen, das Dataset zu bearbeiten: 
    DEFINE tenancy source-tenancy AS <source-tenancy-ocid>
DEFINE group group-name AS <source-tenancy-group-ocid>
ADMIT group group-name OF tenancy source-tenancy TO manage data-labeling-family IN tenancy
  4. (Optional) Sie können in destination-tenancy eine Policy hinzufügen, um den Zugriff auf ein bestimmtes Compartment zu beschränken. In diesem Beispiel heißt das Compartment dataset-compartment: 
    DEFINE tenancy source-tenancy AS <source-tenancy-ocid>
DEFINE group group-name AS <source-tenancy-group-ocid>
ADMIT group group-name OF tenancy source-tenancy TO manage data-labeling-family IN compartment dataset-compartment
  5. (Optional) Wenn der Bucket in destination-tenancy vorhanden ist, müssen Sie auch mandantenübergreifende Policys für Object Storage-Ressourcen hinzufügen. Fügen Sie die folgende Policy-Anweisung hinzu, um der Gruppe group-name den Zugriff auf die Object Storage-Ressourcen in destination-tenancy zu ermöglichen:
    Fügen Sie unter source-tenancy Folgendes hinzu:
    ENDORSE group group-name to read buckets in tenancy destination-tenancy
ENDORSE group group-name to manage objects in tenancy destination-tenancy
ENDORSE group group-name to read objectstorage-namespaces in tenancy destination-tenancy
    Fügen Sie unter destination-tenancy Folgendes hinzu: 
    ADMIT group group-name of tenancy source-tenancy to read buckets in tenancy
ADMIT group group-name of tenancy source-tenancy to manage objects in tenancy
ADMIT group group-name of tenancy source-tenancy to read objectstorage-namespaces in tenancy
    Weitere Informationen zum Schreiben von mandantenübergreifenden Policys finden Sie unter Auf Object Storage-Ressourcen mandantenübergreifend zugreifen.

Mandantenübergreifende Policys einrichten, um das Dataset mit einem Object Storage-Bucket zu verknüpfen

Wenn das Data Labeling-Dataset in einem anderen Mandanten als der Object Storage-Bucket erstellt wird, benötigen Sie eine Policy, um das Dataset und den Bucket zu verknüpfen.

Für mandantenübergreifenden Zugriff liegt möglicherweise eines der folgenden drei Szenarios vor, für die eine Verknüpfungs-Policy erforderlich ist.

  1. Der Benutzer und der Object Storage-Bucket befinden sich in demselben Mandanten (in diesem Beispiel Mandant A), und das Dataset befindet sich in einem anderen Mandanten (in diesem Beispiel Mandant B).
    1. Fügen Sie die folgende Policy in Mandant A hinzu:
      define tenancy B as <tenancy-B-ocid> 
endorse group Group-A associate buckets in tenancy with data-labeling-datasets in tenancy B
    2. Fügen Sie die folgende Policy in Mandant B hinzu:
      define tenancy A as <tenancy-A-ocid>
define group Group-A as <Group-A-ocid>
Admit group Group-B of tenancy A associate buckets in tenancy A with data-labeling-datasets in tenancy
  2. Der Benutzer und das Dataset befinden sich in demselben Mandanten (in diesem Beispiel Mandant A), und der Bucket befindet sich in einem anderen Mandanten (in diesem Beispiel Mandant B).
    1. Fügen Sie die folgende Policy in Mandant A hinzu:
      define tenancy B as <tenancy-B-ocid> 
endorse group Group-A associate buckets in tenancy B with data-labeling-datasets in tenancy
    2. Fügen Sie die folgende Policy in Mandant B hinzu:
      define tenancy A as <tenancy-A-ocid>
define group Group-A as <Group-A-ocid>
Admit group Group-A of tenancy A associate buckets in tenancy with data-labeling-datasets in tenancy A
  3. Der Benutzer befindet sich in einem Mandanten (in diesem Beispiel Mandant A), das Dataset befindet sich in einem anderen Mandanten ( in diesem Beispiel Mandant B), und der Bucket befindet sich in einem dritten Mandanten ( in diesem Beispiel Mandant C).
    1. Fügen Sie die folgende Policy in Mandant A hinzu:
      define tenancy B as <tenancy-B-ocid> 
define tenancy C as <tenancy-C-ocid> 
endorse group Group-A associate buckets in tenancy C with data-labeling-datasets in tenancy B
    2. Fügen Sie die folgende Policy in Mandant B hinzu:
      define tenancy A as <tenancy-A-ocid>
define tenancy C as <tenancy-C-ocid>
define group Group-A as <Group-A-ocid>
Admit group Group-A of tenancy A associate buckets in tenancy C with data-labeling-datasets in tenancy
    3. Fügen Sie die folgende Policy in Mandant C hinzu:
      define tenancy A as <tenancy-A-ocid>
define tenancy B as <tenancy-B-ocid>
define group Group-A as <Group-A-ocid>
Admit group Group-A of tenancy A associate buckets in tenancy with data-labeling-datasets in tenancy B