IAM-Policys für Oracle AI Data Platform Workbench

Oracle AI Data Platform Workbench wird in OCI verwaltet und erfordert die angegebenen IAM-Policys.

Um neue AI Data Platform Workbench-Instanzen zu erstellen, muss ein Benutzer mindestens MANAGE in IAM-Policys aktiviert haben:

allow group <aidpAdminIdentityDomain>/<aidpAdminGroup> to manage ai-data-platforms in compartment id <aidpCompartmentId>

Oracle AI Data Platform Workbench ermöglicht Benutzern zwei verschiedene Kombinationen von Policys, aus denen sie wählen können, um ihre Instanz einzurichten.

Option 1: Policys auf Mandantenebene (Broad Scope)

Mit dieser Option werden Ihre Policys auf Mandanten-(Root-)Ebene definiert, sodass die Oracle AI Data Platform Workbench umfassenden Zugriff über Compartments hinweg bietet.

• Minimiert die Notwendigkeit, jedes Mal neue IAM-Policys zu schreiben, wenn Sie neue Workloads, Datenquellen oder Compartments hinzufügen.
• Einfachste Onboarding-Erfahrung; erfordert die geringsten Änderungen nach der ersten Einrichtung.
• Benutzer verfügen über einen breiteren Geltungsbereich von Berechtigungen.
• Erfüllt in regulierten Umgebungen möglicherweise keine strengen Mindestanforderungen.

1. Lassen Sie zu, dass der Oracle AI Data Platform Workbench-Service OCI-IAM-Ressourcen anzeigt, um die rollenbasierte Zugriffskontrolle für von AI Data Platform verwaltete Ressourcen zu konfigurieren:

   allow any-user TO {AUTHENTICATION_INSPECT, DOMAIN_INSPECT, DOMAIN_READ, DYNAMIC_GROUP_INSPECT, GROUP_INSPECT, GROUP_MEMBERSHIP_INSPECT, USER_INSPECT, USER_READ} IN TENANCY where all {request.principal.type='aidataplatform'}

2. Lassen Sie zu, dass der Oracle AI Data Platform Workbench-Service eine OCI-Loggruppe erstellt und Benutzern Logs bereitstellt:

   allow any-user to manage log-groups in compartment id <aidpCompartmentId> where ALL { request.principal.type='aidataplatform' }
   allow any-user to read log-content in compartment id <aidpCompartmentId> where ALL { request.principal.type='aidataplatform' }

3. Zulassen, dass der Oracle AI Data Platform Workbench-Service Metriken für Benutzer bereitstellt:

   allow any-user to use metrics in compartment id <aidpCompartmentId> where ALL {request.principal.type='aidataplatform', target.metrics.namespace='oracle_aidataplatform'}

4. Oracle AI Data Platform Workbench-Service zum Erstellen und Verwalten des OCI-Objektspeicher-Buckets für Workspace und verwaltete Daten im Masterkatalog zulassen:

   allow any-user to manage buckets in tenancy where all { request.principal.type='aidataplatform', any {request.permission = 'BUCKET_CREATE', request.permission = 'BUCKET_INSPECT', request.permission = 'BUCKET_READ', request.permission = 'BUCKET_UPDATE'}}

5. Zulassen, dass der Oracle AI Data Platform Workbench-Service Daten in Workspace und Master Catalog mit eingeschränktem Zugriff auf die AI Data Platform Workbench-Instanzebene verwaltet/verwaltet:

   allow any-user to {TAG_NAMESPACE_USE} in tenancy where all {request.principal.type = 'aidataplatform'}
   allow any-user to manage buckets in tenancy where all { request.principal.id=target.resource.tag.orcl-aidp.governingAidpId, any {request.permission = 'BUCKET_DELETE', request.permission = 'PAR_MANAGE', request.permission = 'RETENTION_RULE_LOCK', request.permission = 'RETENTION_RULE_MANAGE'} }
   allow any-user to read objectstorage-namespaces in tenancy where all { request.principal.type='aidataplatform', any {request.permission = 'OBJECTSTORAGE_NAMESPACE_READ'}}
   allow any-user to manage objects in tenancy where all { request.principal.id=target.bucket.system-tag.orcl-aidp.governingAidpId  }

6. Konfigurieren des Compute-Clusters für den Zugriff auf Daten in einem privaten Netzwerk durch den Oracle AI Data Platform Workbench-Service zulassen (optional):

   allow any-user to manage vnics in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform'}
   allow any-user to use subnets in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform'}
   allow any-user to use network-security-groups in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform'}

7. Ermöglicht dem Object Storage-Service, Lebenszyklusaktionen (z.B. permanentes Löschen oder Archivieren) automatisch auf Ihre Oracle AI Data Platform Workbench-Workspace-Daten anzuwenden. Dadurch wird der manuelle Wartungsaufwand reduziert und die Einhaltung der Best Practices zur Datenaufbewahrung unterstützt (optional):

   allow service objectstorage-<<region_identifier>> to manage object-family in compartment id <<aidp-compartment-ocid>>

Option 2: Policys auf Compartment-Ebene (Fein granulierter Geltungsbereich)

Mit dieser Option werden Ihre Policys auf Compartment-Ebene definiert. Das bedeutet, das Compartment, in dem die AI Data Platform-Instanz erstellt wird.

• Bietet eine engere Sicherheitsgrenze. Beschränkt den Zugriff Ihrer AI Data Platform Workbench auf ein einzelnes Compartment standardmäßig.
• Sie können neue Compartment-Policys inkrementell hinzufügen, wenn Workflows zusätzliche Compartments umfassen müssen.
• Sie müssen immer dann manuelle IAM-Updates vornehmen, wenn AI Data Platform Workbench auf ein anderes Compartment zugreifen muss.
• Erfordert mehr Betriebsaufwand während der Expansion.

1. Lassen Sie zu, dass der Oracle AI Data Platform Workbench-Service OCI-IAM-Ressourcen anzeigt, um die rollenbasierte Zugriffskontrolle für von AI Data Platform verwaltete Ressourcen zu konfigurieren:

   allow any-user TO {AUTHENTICATION_INSPECT, DOMAIN_INSPECT, DOMAIN_READ, DYNAMIC_GROUP_INSPECT, GROUP_INSPECT, GROUP_MEMBERSHIP_INSPECT, USER_INSPECT, USER_READ} IN TENANCY where all {request.principal.type='aidataplatform'}

2. Lassen Sie zu, dass der Oracle AI Data Platform Workbench-Service eine OCI-Loggruppe erstellt und Benutzern Logs bereitstellt:

   allow any-user to manage log-groups in compartment id <aidpCompartmentId> where ALL { request.principal.type='aidataplatform' }
   allow any-user to read log-content in compartment id <aidpCompartmentId> where ALL { request.principal.type='aidataplatform' }

3. Zulassen, dass der Oracle AI Data Platform Workbench-Service Metriken für Benutzer bereitstellt:

   allow any-user to use metrics in compartment id <aidpCompartmentId> where ALL {request.principal.type='aidataplatform', target.metrics.namespace='oracle_aidataplatform'}

4. Oracle AI Data Platform Workbench-Service zum Erstellen und Verwalten des OCI-Objektspeicher-Buckets für Workspace und verwaltete Daten im Masterkatalog zulassen:

   allow any-user to manage buckets in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform', any {request.permission = 'BUCKET_CREATE', request.permission = 'BUCKET_INSPECT', request.permission = 'BUCKET_READ', request.permission = 'BUCKET_UPDATE'}}

5. Zulassen, dass der Oracle AI Data Platform Workbench-Service Daten in Workspace und Master Catalog mit eingeschränktem Zugriff auf die AI Data Platform Workbench-Instanzebene verwaltet/verwaltet:

   allow any-user to {TAG_NAMESPACE_USE} in tenancy where all {request.principal.type = 'aidataplatform'}
   allow any-user to manage buckets in compartment id <aidpCompartmentId> where all { request.principal.id=target.resource.tag.orcl-aidp.governingAidpId, any {request.permission = 'BUCKET_DELETE', request.permission = 'PAR_MANAGE', request.permission = 'RETENTION_RULE_LOCK', request.permission = 'RETENTION_RULE_MANAGE'} }
   allow any-user to read objectstorage-namespaces in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform', any {request.permission = 'OBJECTSTORAGE_NAMESPACE_READ'}}
   allow any-user to manage objects in compartment id <aidpCompartmentId> where all { request.principal.id=target.bucket.system-tag.orcl-aidp.governingAidpId  }

6. Konfigurieren des Compute-Clusters für den Zugriff auf Daten in einem privaten Netzwerk durch den Oracle AI Data Platform Workbench-Service zulassen (optional):

   allow any-user to manage vnics in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform'}
   allow any-user to use subnets in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform'}
   allow any-user to use network-security-groups in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform'}

7. Ermöglicht dem Object Storage-Service, Lebenszyklusaktionen (z.B. permanentes Löschen oder Archivieren) automatisch auf Ihre Oracle AI Data Platform Workbench-Workspace-Daten anzuwenden. Dadurch wird der manuelle Wartungsaufwand reduziert und die Einhaltung der Best Practices zur Datenaufbewahrung unterstützt (optional):

   allow service objectstorage-<<region_identifier>> to manage object-family in compartment id <<aidp-compartment-ocid>>

Zusätzliche Policys für externe Tabellen

Wenn Ihre AI Data Platform Workbench-Instanz auf Daten zugreifen muss, die in einem anderen Compartment gespeichert sind, müssen Sie zusätzliche Policys für dieses externe Compartment erteilen. Mit diesen Policys kann AI Data Platform Workbench Buckets und Objekte im externen Compartment prüfen, lesen und verwalten, um sie im AI Data Platform Workbench-Workspace zu verwenden.

allow any-user to manage buckets in compartment id <external-data-CompartmentId> where all { request.principal.type='aidataplatform', any {request.permission = 'BUCKET_INSPECT', request.permission = 'BUCKET_READ', request.permission = 'BUCKET_UPDATE'}} 
allow any-user to manage buckets in compartment id <external-data-CompartmentId> where all { request.principal.id=target.resource.tag.orcl-aidp.governingAidpId, any {request.permission = 'PAR_MANAGE', request.permission = 'RETENTION_RULE_LOCK', request.permission = 'RETENTION_RULE_MANAGE'} } 
allow any-user to manage objects in compartment id <external-data-CompartmentId> where all { request.principal.id=target.bucket.system-tag.orcl-aidp.governingAidpId } 
allow service objectstorage-<<region_identifier>> to manage object-family in compartment id <external-data-CompartmentId>

Hinweis:

Wenn Sie eine benutzerdefinierte Identitätsdomain (nicht standardmäßig) verwenden, müssen Sie dem Gruppennamen den Domainnamen in Ihrer IAM-Policy voranstellen. Beispiel:

allow group <aidpAdminIdentityDomain>/<aidpAdminGroup> to manage ai-data-platforms in compartment id <aidpCompartmentId>

Weitere Informationen zu IAM-Policys finden Sie unter Überblick über IAM-Policys.

Um eine AI Data Platform Workbench anzuzeigen und sich anzumelden, muss Ihnen der Administrator dieser AI Data Platform Workbench Zugriff erteilen.