IAM-Policys für Benutzerberechtigungen in Document Understanding

Erfahren Sie mehr über die Ressourcen-Policys von Document Understanding, einschließlich API-Berechtigungen.

Um zu steuern, wer Zugriff auf Document Understanding und den Zugriffstyp der einzelnen Benutzergruppen hat, müssen Sie Policys erstellen. Standardmäßig haben nur die Benutzer in der Gruppe "Administratoren" Zugriff auf alle Document Understanding-Ressourcen. Für alle anderen Benutzer, die den Service verwenden, müssen Sie Policys erstellen, die ihnen korrekte Rechte für Document Understanding-Ressourcen zuweisen. Eine vollständige Liste der Oracle Cloud Infrastructure-Policys finden Sie in der Policy-Referenz für IAM mit Identitätsdomains oder IAM ohne Identitätsdomains.

Wichtig

Erstellen Sie alle Policys auf Root-Compartment-Ebene, also auf Mandantenebene. Klicken Sie in der Mandantenkonsole auf Identität und Sicherheit. Klicken Sie auf Policys, und wählen Sie das Root-Compartment aus.

Policy, die Benutzern Zugriff auf Document Understanding-APIs erteilt

Die Policys auf Root Compartment-Ebene, die für Document Understanding-Benutzer erforderlich sind.

Policy anwenden, um MANAGE-Berechtigung zu erteilen

Eine Policy zum Erteilen von Berechtigungen für die Document Understanding-APIs reicht aus:

allow group <group_in_tenancy> to manage ai-service-document-family in tenancy

Policy für den Zugriff auf Eingabedateien in Object Storage

Die Policys, die für den Zugriff auf Dateien in Object Storage über Document Understanding im selben Mandanten oder mandantenübergreifend erforderlich sind.

Object Storage-Zugriff mit demselben Mandanten

Wenn das Eingabeimage im Object Storage Ihres Mandanten gefunden wird, erstellen Sie eine Gruppe im Mandanten, um die Benutzer zu autorisieren, die dort auf Object Storage zugreifen können. Fügen Sie die folgende Policy in Ihrem Mandanten auf Root Compartment-Ebene hinzu, um der Gruppe Benutzerberechtigungen für den Objektspeicher zu erteilen:

allow group <group_in_tenancy> to manage object-family in tenancy

Mandantenübergreifender Object Storage-Zugriff

Wenn das Eingabeimage im Objektspeicher tenancy_B und Ihre Benutzergruppe in tenancy_A gefunden wird, definieren Sie eine ENDORSE READ-Policy für die Benutzergruppe in Mandant A:

define tenancy <tenancy_B> as <tenancy_B_ocid>
endorse group <group_in_tenancy_A> to read object in tenancy <tenancy_B>

Definieren Sie eine ADMIT READ Policy in tenancy_B für die Benutzergruppe in tenancy_A:

define tenancy <tenancy_A> as <tenancy_A_ocid>
define group <group_in_tenancy_A> as <group_in_tenancy_A_ocid>
admit group <group_in_tenancy_A> of tenancy <tenancy_A> to read object in tenancy

Policy zum Speichern von Ergebnissen in Object Storage

Die Policy, die zum Speichern der Ergebnisse in Object Storage von Document Understanding erforderlich ist.

Fügen Sie die folgende Policy auf Root Compartment-Ebene in Ihrem Mandanten hinzu

Diese Policy erteilt der Gruppe, die Dokumente verarbeitet, die Zugriffsberechtigung für den Objektspeicher:

allow group <group_in_tenancy> to manage object-family in compartment <output_bucket_located_object_storage_compartment>

Oracle Cloud Infrastructure-Dokumentation