Documentación de Oracle Cloud Infrastructure

Ejemplos de políticas

A continuación se muestran algunos ejemplos de políticas para Data Catalog.

Una política emplea una sintaxis similar a esta: 

allow <subject> to <verb> <resource-type> in <location> where <conditions>

Para obtener más información, consulte la sintaxis de la política. Para obtener más información sobre la creación de políticas, consulte cómo funcionan las políticas, la referencia de políticas y los detalles de las políticas para Object Storage.

Ejemplos de políticas de Data Catalog

Puede crear políticas para definir cómo desea que los usuarios accedan a los recursos de Data Catalog. Consulte la asignación de verbos a permisos de Data Catalog para decidir qué verbo cumple con nuestros requisitos de acceso.

El verbo read de data-catalogs cubre los mismos permisos y operaciones de API que el verbo inspect con los permisos CATALOG_READ, CATALOG_JOB_DEFINITION_READ, CATALOG_JOB_READ y CATALOG_WORK_REQUEST_READ y las operaciones de API que cubren como, por ejemplo, ListGlossaries, GetCatalog, etc..

Permitir el acceso para ver catálogos de datos en el arrendamiento

Cree esta política para permitir a un grupo ver la lista de todos los catálogos de datos en el arrendamiento:

allow group <group-name> to inspect data-catalogs in tenancy
Permitir el acceso en un compartimento especificado

Cree esta política para que un grupo pueda realizar todas las operaciones enumeradas para CATALOG_READ en un compartimento especificado:

allow group <group-name> to read data-catalogs in compartment <x>
Permitir el acceso para gestionar catálogos de datos

El verbo manage incluye los mismos permisos y operaciones de API que el verbo use con los permisos CATALOG_CREATE, CATALOG_DELETE y CATALOG_MOVE, lo cual incluye las operaciones de API CreateCatalog, DeleteCatalog y MoveCatalog respectivamente.

Cree esta política para permitir que un grupo gestione todos los catálogos de datos de un compartimento específico:

allow group <group-name> to manage data-catalog-family in compartment <x>

Cree esta política para que un grupo pueda gestionar todos los catálogos de datos, pero no pueda suprimirlos:

allow group <group-name> to manage data-catalog-family in compartment <x>
 where request.permission !='CATALOG_DELETE'

Cree esta política para que un grupo pueda gestionar todos los recursos de un catálogo de datos especificado:

allow group <group-name> to manage data-catalog-family in tenancy
 where target.catalog.id = 'ocid.datacatalog.oc1..<unique_ID>'
Ejemplos de políticas de Oracle Object Storage

Antes de crear activos de datos de Object Storage, cree políticas que permitan el acceso a los objetos de datos necesarios. Después de crear estas políticas, al recoger el activo de datos de Object Storage, solo se muestran las entidades de datos a las que la instancia de Data Catalog tiene acceso. Puede seleccionar los objetos de datos que desea recoger de la lista mostrada.

Como mínimo, debe tener el permiso READ para todos los tipos de recurso individuales objectstorage-namespaces, buckets y objects, o para el tipo de recurso agregado de Object Storage object-family. Para obtener instrucciones paso a paso, consulte el tutorial Recopilación desde Oracle Object Storage.

Ejemplos de políticas de Resource Principal

Como requisito previo, cree un grupo dinámico que incluya el OCID del catálogo de datos específico como recurso del grupo.

Ejemplo:

Any {resource.id = 'ocid.datacatalog.oc1..<unique_ID>'}
Permitir el acceso al arrendamiento

Utilice las siguientes políticas si la instancia de Data Catalog y Object Storage están en el mismo arrendamiento:

Permitir el acceso al arrendamiento

  • Cree esta política solo para que root_compartment permita el acceso a cualquier objeto, en cualquier cubo, en cualquier compartimento dentro del arrendamiento. Puesto que el ámbito de esta política es todo el arrendamiento, un compartimento secundario no tendrá acceso a los compartimentos raíz ni principal.
    allow dynamic-group <dynamic-group-name> to read object-family in tenancy

Permitir el acceso a cubos específicos

  • Acceder a cualquier objeto de bucketA o bucketB dentro de un arrendamiento
    allow dynamic group <dynamic-group-name> to read object-family in tenancy 
where any {target.bucket.name='bucketA', target.bucket.name='bucketB'}
  • Acceda a cualquier objeto de bucketA o bucketB dentro de cualquier compartimento
    allow dynamic group <dynamic-group-name> to read object-family in compartment <compartment-name>
where any {target.bucket.name='bucketA', target.bucket.name='bucketB'}
  • Acceder a cualquier objeto de bucketA o bucketB dentro de cualquier compartimento mediante el OCID del compartimento
    allow dynamic group <dynamic-group-name> to read object-family in compartment id <compartment_ocid>
where any {target.bucket.name='bucketA', target.bucket.name='bucketB'}

    Para ver el OCID del compartimento en la consola, abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Servicios. Haga clic en el enlace del compartimento para el recurso de Object Storage. En la página Detalles del compartimento, copie el OCID en Información del compartimento.

Permitir el acceso a un compartimento específico

  • Acceder a cualquier cubo de un compartimento específico

    allow dynamic-group <dynamic-group-name> to read object-family in compartment <compartment-name>

    Al recoger un activo de datos de Object Storage, se muestran las entidades de datos de todos los cubos del compartimento especificado. A continuación, puede seleccionar los objetos de datos en estos cubos para la recogida.

  • Acceder a cualquier cubo de un compartimento mediante el OCID de compartimento 
    allow dynamic-group <dynamic-group-name> to read object-family in compartment id <compartment_ocid>

    Para ver el OCID del compartimento en la consola, abra el menú de navegación y seleccione Identidad y seguridad. En Identidad, seleccione Compartimentos. Haga clic en el enlace del compartimento para el recurso de Object Storage. En la página Detalles del compartimento, copie el OCID en Información del compartimento.

Permitir el acceso a un arrendamiento diferente

Cree las siguientes políticas como requisito si la instancia de Data Catalog y Object Storage están en distintos arrendamientos.

En el arrendamiento del catálogo:

  • Defina un arrendamiento tenancy-name1 para identificar el OCID de Object Storage y, a continuación, apruebe el grupo dinámico dynamic-group-name1 para gestionar object-family en <tenancy-name1>.
    Define tenancy <tenancy-name1> as <object-storage-tenancy-OCID>
Endorse dynamic-group <dynamic-group-name1> to manage object-family in tenancy <tenancy-name1>

En el arrendamiento de Object Storage:

  • Defina un arrendamiento tenancy-name2 con el OCID del arrendamiento del catálogo. Defina dynamic-group-name2 con el OCID de dynamic-group-name1 creado en el arrendamiento del catálogo y, a continuación, admita dynamic-group-name2 para gestionar object-family en el arrendamiento de Object Storage.
    Define tenancy <tenancy-name2> as <catalog-tenancy-OCID>
Define dynamic-group <dynamic-group-name2> as <dynamic-group-name1-OCID>
Admit dynamic-group <dynamic-group-name2> of tenancy <tenancy-name2> to manage object-family in tenancy

Permitir el acceso a cubos específicos

Acceso a cubos específicos como BucketA o BucketB en un compartimento.

En el arrendamiento del catálogo:

Define tenancy <tenancy-name2> as <object-storage-tenancy-OCID>
Endorse dynamic group <dynamic-group-name1> to manage object-family in compartment <compartmentA> where any {target.bucket.name='bucketA', target.bucket.name='bucketB'}

En el arrendamiento de Object Storage:

Define tenancy <tenancy-name1> as <catalog-tenancy-OCID>
Define dynamic-group <dynamic-group-name2> as <dynamic-group-name1-OCID>
Admit dynamic group <dynamic-group-name2> of tenancy <tenancy-name1> to manage object-family in compartment compartmentA where any {target.bucket.name='bucketA', target.bucket.name='bucketB'}

Del mismo modo, también puede acceder a cubos de un compartimento mediante el ID de compartimento.

Permitir el acceso a un compartimento específico

Acceda a cualquier cubo de un compartimento específico mediante el nombre del compartimento.

En el arrendamiento del catálogo:
Define tenancy <tenancy-name2> as <object-storage-tenancy-OCID>
Endorse dynamic group <dynamic-group-name1> to manage object-family in compartment <compartment-name>
En el arrendamiento de Object Storage:
Define tenancy <tenancy-name1> as <catalog-tenancy-OCID>
Define dynamic group <dynamic-group-name2> as <dynamic-group-name1-OCID>
admit dynamic group <dynamic-group-name2> of tenancy <tenancy-name1> to manage object-family in compartment <compartment-name>

De forma similar, puede acceder a cualquier cubo de un compartimento específico mediante el OCID del compartimento.

Ejemplos de política de punto final privado

Para que los usuarios del catálogo de datos puedan configurar redes privadas, debe crear políticas.

Permitir a los usuarios gestionar puntos finales privados del catálogo de datos

Cree esta política para que un grupo pueda realizar todas las acciones en los puntos finales privados del catálogo de datos.

allow group <group-name> to manage data-catalog-private-endpoints in tenancy
Permitir a los usuarios gestionar recursos de red

Cree esta política para permitir a un grupo realizar todas las operaciones relacionadas con la red en el arrendamiento.

allow group <group-name> to manage virtual-network-family in tenancy
Permitir a los usuarios ver mensajes de error de punto final privado

Si va a gestionar el recurso de puntos finales privados del catálogo de datos, le recomendamos que también disponga del permiso para gestionar solicitudes de trabajo. Esto garantiza que pueda ver los mensajes de log y de error que se encuentran al trabajar con puntos finales privados.

allow group <group-name> to manage work-requests in tenancy
Impedir a los usuarios suprimir puntos finales privados del catálogo de datos

Cree esta política para que un grupo pueda realizar todas las acciones en los puntos finales privados del catálogo de datos, excepto suprimirlos.

allow group <group-name> to manage data-catalog-private-endpoints in tenancy
 where request.permission!='CATALOG_PRIVATE_ENDPOINT_DELETE'
Ejemplos de políticas de glosarios

Puede crear políticas para definir cómo desea que los usuarios accedan a los recursos de glosario. Consulte la asignación de verbos a permisos de glosario para decidir qué verbo cumple con nuestros requisitos de acceso. Por ejemplo, INSPECT permite a los usuarios ver la lista de glosarios disponibles y READ permite a los usuarios ver los detalles del glosario y exportarlo.

Cree esta política para permitir a un grupo realizar todas las operaciones en todos los glosarios, categorías y términos disponibles en el arrendamiento:

allow group <group-name> to manage data-catalog-glossaries in tenancy

Cree esta política para permitir a un grupo crear, actualizar y suprimir términos, categorías y relaciones en un glosario específico:

allow group <group-name> to use data-catalog-glossaries in tenancy where target.glossary.key = '<glossary-key>'
Nota

Puede copiar la clave del glosario necesario desde la página de detalles del glosario de la interfaz de usuario.

Cree esta política para permitir a un grupo ver los glosarios y sus detalles en un compartimento específico:

allow group <group-name> to read data-catalog-glossaries in compartment <x>

Cree esta política permitir a un grupo ver la lista de todos los glosarios disponibles en un catálogo de datos específico del arrendamiento:

allow group <group-name> to inspect data-catalog-glossaries in tenancy where target.catalog.id = 'ocid.datacatalog.oc1..<unique_ID>'
Ejemplos de políticas de activos de datos

Puede crear políticas para definir cómo desea que los usuarios accedan a los recursos de activos de datos. Consulte la asignación de verbos a permisos de activos de datos para decidir qué verbo cumple con nuestros requisitos de acceso. Por ejemplo, INSPECT permite a los usuarios ver la lista de activos de datos disponibles y READ permite a los usuarios ver los detalles de los activos de datos.

Cree esta política para permitir a un grupo realizar todas las operaciones en todos los activos de datos disponibles en un arrendamiento:

allow group <group-name> to manage data-catalog-data-assets in tenancy

Cree esta política para permitir a un grupo utilizar un activo de datos específico en un arrendamiento:

allow group <group-name> to use data-catalog-data-assets in tenancy where target.data-asset.key='<data-asset-key>'
Nota

Puede copiar la clave de activo de datos necesario desde la página de detalles del activo de datos de la interfaz de usuario.

Cree esta política para permitir a un grupo ver los detalles (como las conexiones, las carpetas, las entidades de datos, los atributos, etc.) de todos los activos de datos disponibles en un compartimento específico:

allow group <group-name> to read data-catalog-data-assets in compartment <x>

Cree esta política permitir a un grupo ver la lista de los activos de datos disponibles en un catálogo de datos específico de un compartimento concreto:

allow group <group-name> to inspect data-catalog-data-assets in compartment <x> where target.catalog.id = 'ocid.datacatalog.oc1..<unique_ID>'
Ejemplos de políticas de metastore

Para obtener más información, consulte Políticas de IAM necesarias.

Ejemplos de política de seguridad

Impedir que los usuarios supriman instancias de Data Catalog

Cree esta política para que el grupo DataCatalogUsers pueda realizar todas las acciones en los catálogos de datos, excepto su supresión.

allow group DataCatalogUsers to manage data-catalog-family in tenancy
 where request.permission!='CATALOG_DELETE'