Documentación de Oracle Cloud Infrastructure

Configuración de políticas de identidad

Data Flow necesita que se definan políticas en IAM para acceder a los recursos a fin de que pueda gestionar puntos finales SQL.

Puede crear las políticas manualmente. Para obtener más información sobre el funcionamiento de las políticas de IAM, consulte Gestión de identidad y acceso. Para obtener más información sobre las etiquetas y los espacios de nombres de etiquetas que se agregarán a sus políticas, consulte Gestión de etiquetas y espacios de nombre de etiquetas.

Creación manual de políticas

En lugar de utilizar las plantillas de IAM para crear las políticas de Data Flow, puede crearlas usted mismo en el creador de políticas de IAM.

Siga los pasos de Gestión de políticas en IAM con dominios de identidad o sin dominios de identidad para crear manualmente las siguientes políticas:

Políticas de Usuario

Aplique políticas de usuario en IAM.

Para usuarios de administración similar a los puntos finales SQL:
  • Cree un grupo en el servicio de identidad denominado dataflow-sql-endpoints-admin y agregue usuarios al mismo.
  • Cree una política denominada dataflow-sql-endpoints-admin y agregue las sentencias siguientes:
    ALLOW GROUP dataflow-sql-endpoints-admin TO MANAGE dataflow-sqlendpoint IN compartment <compartment-id>
ALLOW GROUP dataflow-sql-endpoints-admin TO INSPECT data-catalog-metastores IN compartment <compartment-id>
Para todos los demás usuarios, que solo están autorizados a conectar y ejecutar SQL a través de puntos finales SQL:
  • Cree un grupo en el servicio de identidad denominado dataflow-sqlendpoint-users y agregue usuarios al mismo.
  • Cree una política denominada dataflow-sqlendpoint-users y agregue la siguiente sentencia después de crear un punto final de SQL:
    ALLOW GROUP dataflow-sqlendpoint-users TO USE dataflow-sqlendpoint IN compartment <compartment-id> WHERE target.dataflow-sqlendpoint.id = <sql-endpoint-ocid>
Federación con proveedores de identidad

Puede activar la conexión única a clusters SQL de Data Flow con un proveedor de identidad compatible con SAML 2.0.

Si utiliza sistemas SAML 2.0 de federación de identidad, como Oracle Identity Cloud Service, Microsoft Active Directory, Okta o cualquier otro proveedor que soporte SAML 2.0, puede utilizar un nombre de usuario y contraseña en muchos sistemas, incluida la consola de Oracle Cloud Infrastructure. Para activar esta experiencia de conexión única, el administrador de inquilino (u otro usuario con los mismos privilegios) debe configurar la confianza de federación en IAM. Para obtener más información adecuada para el proveedor de identidad, consulte:

Cuando haya configurado la confianza de federación, utilice la consola de Oracle Cloud Infrastructure para asignar el grupo de usuarios de proveedor de identidad adecuado al grupo de usuarios de Data Flow necesario en el servicio de identidad.

Política de metastore

Los puntos finales SQL de Data Flow necesitan permiso para realizar acciones en nombre del usuario o grupo en el metastore del arrendamiento.

Puede otorgar acceso a puntos finales SQL de dos formas:
  • Cree una política, dataflow-sqlendpoint-metastore, y agregue la siguiente sentencia:
    ALLOW any-user to {CATALOG_METASTORE_EXECUTE} in tenancy where request.principal.type = 'dataflowsqlendpoint'
  • Crear un grupo dinámico:
    ALL {resource.compartment.id = '<compartment_id>'}
    y agregue la siguiente política:
    ALLOW DYNAMIC-GROUP <dynamic-group-name> to {CATALOG_METASTORE_EXECUTE, CATALOG_METASTORE_INSPECT, CATALOG_METASTORE_READ}
in tenancy WHERE ALL {request.principal.type='dataflowsqlendpoint'}
Nota

Solo se permite un metastore por arrendamiento.
Políticas de puntos finales privados

Necesita políticas para utilizar puntos finales SQL de Data Flow con puntos finales privados.

Para crear, editar o gestionar puntos finales privados, necesita las siguientes políticas.
  • Para permitir el uso de virtual-network-family:
    ALLOW GROUP dataflow-sql-endpoint-admin TO USE virtual-network-family IN compartment <compartment-name>
  • Para permitir el acceso a recursos más específicos:
    ALLOW GROUP dataflow-sql-endpoint-admin TO MANAGE vnics IN compartment <compartment-name>
ALLOW GROUP dataflow-sql-endpoint-admin TO USE subnets IN compartment <compartment-name>
ALLOW GROUP dataflow-sql-endpoint-admin TO USE network-security-groups IN compartment <compartment-name>
  • Para permitir el acceso a operaciones específicas:
    ALLOW GROUP dataflow-sql-endpoint-admin TO MANAGE virtual-network-family IN compartment <compartment-name>
   WHERE any {request.operation='CreatePrivateEndpoint',
              request.operation='UpdatePrivateEndpoint',
              request.operation='DeletePrivateEndpoint'}

Aunque estos ejemplos otorgan las políticas a dataflow-sql-endpoint-admin, puede seleccionar otorgar estas políticas a un subjuego de usuarios. De esta forma, se limitan los usuarios que pueden realizar operaciones en puntos finales privados.

Solo los usuarios del grupo dataflow-sql-endpoint-admin pueden crear puntos finales SQL que puedan activar una configuración de punto final privado o volver a cambiar la configuración de red a Internet. Consulte Seguridad para conocer el juego correcto de privilegios. Un usuario del grupo dataflow-sql-endpoint-users puede conectarse a un punto final de SQL y ejecutar SQL.
Nota

Cuando se configura correctamente, los puntos finales privados pueden acceder a una combinación de recursos privados en los recursos de VCN e Internet. Proporcione una lista de estos recursos en la sección Zonas de DNS al configurar un punto final privado.
Para obtener más información sobre los puntos finales privados, consulte Configuración de una red privada.