Políticas de Data Integration
Utilice el servicio Oracle Cloud Infrastructure Identity and Access Management (IAM) con dominios de identidad para crear políticas.
Por defecto, solo los usuarios del grupo Administrators pueden acceder a todos los recursos y funciones de Data Integration. Para controlar el acceso de usuarios que no sean administradores a recursos y funciones de Data Integration, cree grupos de IAM y, a continuación, escriba políticas que proporcionen a esos grupos el acceso adecuado.
- Ejemplos de políticas
- Activar acceso a Data Integration y usar espacios de trabajo
- Activación del uso de red privada en espacios de trabajo
- Activación del acceso a la lista de usuarios y compartimentos
- Activación de acceso para ver espacios de trabajo
- Activación de acceso para obtener detalles del espacio de trabajo
- Activación de acceso para actualizar espacios de trabajo
- Activación de acceso para gestionar espacios de trabajo
- Permitir Búsqueda en Espacios de Trabajo
- Permitir Exportación e Importación de Objetos en Espacios de Trabajo
- Configuración de acceso entre arrendamientos para copia de proyectos y copia de aplicaciones
- Activar Exportación e Importación de Espacio de Trabajo y Objetos en Espacio de Trabajo
- Permisos de política y ejemplos de API
- Ejemplos de políticas con sentencias condicionales
- Activar acceso a OCI Object Storage
- Uso de bases de datos autónomas como destinos
- Publicación en el servicio OCI Data Flow
- Acceder al punto final de REST del servicio IA de OCI
- Activar acceso a Data Integration y usar espacios de trabajo
En las siguientes páginas se proporciona más información sobre la escritura de políticas:
- Visión general de la sintaxis de las políticas
- Creación de una política mediante la consola
- Tipos de recursos
- Variables soportadas
- Detalles de las combinaciones de verbo + tipo de recurso
- Permisos necesarios para cada operación de API
Visión general de la sintaxis de las políticas
La sintaxis general de una sentencia de política es:
allow <subject> to <verb> <resource-type> in <location> where <condition>Por ejemplo, puede especificar:
-
Un grupo o grupo dinámico por nombre u OCID como
<subject>. O bien, puede utilizarany-userpara abarcar a todos los usuarios del arrendamiento. -
inspect,read,useymanagecomo<verb>para otorgar a<subject>acceso a uno o más permisos.A medida que pase de
inspect>read>use>manage, el nivel de acceso aumenta en general y los permisos concedidos son acumulativos. Por ejemplo,useincluyereadmás la capacidad de actualizar. -
Una familia de recursos como
virtual-network-familypararesource-type. O bien, puede especificar un recurso individual en una familia comovcnsysubnets. -
Compartimento por nombre u OCID como
<location>. O bien, puede utilizartenancypara que se abarque todo el arrendamiento. -
Una o más condiciones de
<condition>, que se deben cumplir para que se otorgue acceso. Para varias condiciones, puede utilizaranyuall.Una condición consta de una o más variables. Una variable puede ser relevante para la propia solicitud (por ejemplo,
request.operation) o para el recurso sobre el que se realiza la acción en la solicitud (por ejemplo,target.workspace.id). Para ilustrarlo y permitir que un grupo gestione un espacio de trabajo específico y ningún otro espacio de trabajo:allow group <group-name> to manage dis-workspaces in compartment <compartment-name> where target.workspace.id = '<workspace-ocid>'O bien, para permitir que un grupo gestione todos los recursos de Data Integration, excepto para suprimir espacios de trabajo:
allow group <group-name> to manage dis-family in compartment <compartment-name> where request.permission != 'DIS_WORKSPACE_DELETE'
Para obtener más información, consulte Sintaxis de políticas.
Para obtener más información sobre la creación de políticas, consulte Funcionamiento de las políticas y Referencia de políticas.
Tipos de recursos
Data Integration ofrece tipos de recurso agregados e individuales para escribir políticas.
Puede utilizar los tipos de recurso agregados para escribir menos políticas. Por ejemplo, en lugar de permitir que un grupo gestione dis-workspaces y dis-work-requests, puede escribir una política que permita al grupo gestionar el tipo de recurso agregado dis-family.
| Tipo de recurso agregado | Tipos de recursos individuales |
|---|---|
dis-family |
|
dis-family agregado cubren las API para dis-workspaces y dis-work-requests. Por ejemplo,
allow group dis-admins to manage dis-family in compartment <compartment_name>allow group dis-admins to manage dis-workspaces in compartment <compartment_name>
allow group dis-admins to manage dis-work-requests in compartment <compartment_name>Variables soportadas
Para agregar condiciones a las políticas, puede utilizar variables generales de Oracle Cloud Infrastructure o específicas del servicio.
Data Integration soporta todas las variables generales (consulte Variables generales para todas las solicitudes).
En la siguiente tabla, se muestran las variables de tipo de recurso que puede utilizar.
| Las operaciones para este tipo de recurso.. | Pueden utilizar estas variables.. | Tipo de Variable | Comentarios |
|---|---|---|---|
dis-workspace | target.workspace.id | Entidad (OCID) | No disponible para su uso con CreateWorkspace |
| Las operaciones para esta ruta de API.. | Pueden utilizar estas variables.. | Tipo de Variable | Comentarios |
|---|---|---|---|
/workspaces/{workspaceId}/applications/{applicationKey}/* | target.application.key | Entidad (clave) | No disponible para su uso con ListApplications, CreateApplication |
/workspaces/{workspaceId}/applications |
|
Entidad (clave) |
Solo disponible para su uso con No disponible para su uso con |
/workspaces/{workspaceId}/projects/{projectKey}/* | target.object.key | Entidad (clave) | |
/workspaces/{workspaceId}/folders/{folderKey}/* |
| Entidad (clave) | target.folder.key solo está disponible para su uso en CreateFolder |
/workspaces/{workspaceId}/dataflows/{dataflowKey}/* |
| Entidad (clave) | target.folder.key solo está disponible para su uso en CreateDataflow, UpdateDataflow |
/workspaces/{workspaceId}/tasks/{dataflowKey}/* |
| Entidad (clave) | target.folder.key solo está disponible para su uso en CreateTask, UpdateTask |
/workspaces/{workspaceId}/dataAssets/{dataAssetKey}/* | target.object.key | Entidad (clave) | |
/workspaces/{workspaceId}/connections/{connectionKey}/* |
| Entidad (clave) | target.folder.key solo está disponible para su uso en CreateConnection, UpdateConnection |
/workspaces/{workspaceId}/pipelines/{pipelineKey}/* |
| Entidad (clave) | target.folder.key solo está disponible para su uso en CreatePipeline, UpdatePipeline |
Detalles de las combinaciones de verbo + tipo de recurso
Utilice verbos y tipos de recursos de Oracle Cloud Infrastructure al crear una política.
En las siguientes tablas, se muestran los permisos y las operaciones de API que cubre Data Integration. El nivel de acceso es acumulativo a medida que pasa de inspect a read a use a manage. Un signo más (+) en una celda de la tabla indica un acceso incremental en comparación con la celda situada directamente encima, mientras que "sin extra" indica que no hay un acceso incremental.
| Permiso | API totalmente cubiertas |
|---|---|
|
INSPECT |
|
| DIS_WORK_REQUEST_INSPECT | ListWorkRequests |
ListWorkRequestErrors |
|
ListWorkRequestLogs |
|
|
READ |
|
|
INSPECT + |
INSPECT + |
| DIS_WORK_REQUEST_READ | GetWorkRequest |
|
USE |
|
| sin extra | sin extra |
|
MANAGE |
|
| sin extra | sin extra |
Cada permiso para
dis-work-requests cubre totalmente una o más API. No hay ninguna API parcialmente cubierta para los permisos dis-work-requests.| Permiso | API totalmente cubiertas |
|---|---|
|
INSPECT |
|
| DIS_WORKSPACE_INSPECT | ListWorkspaces |
| DIS_WORKSPACE_OBJECT_INSPECT | ListProjects |
ListFolders |
|
ListDataFlows |
|
ListTasks |
|
ListTaskValidations |
|
ListApplications |
|
ListPublishedObjects |
|
ListDependentObjects |
|
ListTaskRuns |
|
ListTaskRunLogs |
|
ListDataAssets |
|
ListConnections |
|
ListSchemas |
|
ListDataEntities |
|
ListConnectionValidation |
|
ListDataFlowValidations |
|
ListExternalPublications | |
ListExternalPublicationValidations | |
ListReferences | |
ListPatchChanges | |
ListPipelines | |
ListSchedules | |
ListTaskSchedules | |
| READ | |
|
INSPECT + |
INSPECT + |
| DIS_WORKSPACE_READ | GetWorkspace |
| DIS_WORKSPACE_OBJECT_READ | GetCountStatistic |
GetProject |
|
GetFolder |
|
GetDataFlow |
|
GetTask |
|
GetTaskValidation |
|
GetApplication |
|
GetPatch |
|
GetPublishedObject |
|
GetDependentObject |
|
GetTaskRun |
|
GetDataAsset |
|
GetConnection |
|
GetSchema |
|
GetDataEntity |
|
GetConnectionValidation |
|
GetDataFlowValidation |
|
GetExternalPublication | |
GetExternalPublicationValidation | |
GetReference | |
GetPipeline | |
GetSchedule | |
GetTaskSchedule | |
|
USE |
|
|
READ + |
READ + |
| DIS_WORKSPACE_EXECUTE | ExecuteTask |
| DIS_WORKSPACE_UPDATE | UpdateWorkspace |
| DIS_WORKSPACE_OBJECT_EXECUTE | CreateTaskRun |
UpdateTaskRun |
|
| DIS_WORKSPACE_OBJECT_UPDATE | UpdateProject |
UpdateFolder |
|
UpdateDataFlow |
|
UpdateTask |
|
UpdateApplication |
|
UpdateDataAsset |
|
UpdateConnection |
|
UpdateReference | |
UpdateExternalPublication | |
UpdatePipeline | |
UpdateSchedule | |
UpdateTaskSchedule | |
| DIS_WORKSPACE_OBJECT_CREATE | CreateProject |
CreateFolder |
|
CreateDataFlow |
|
CreateTask |
|
CreateTaskValidation |
|
CreatePatch |
|
CreateApplication |
|
CreateDataAsset |
|
CreateConnection |
|
CreateEntityShape |
|
CreateConnectionValidation |
|
CreateDataFlowValidation |
|
CreateExternalPublication | |
CreateExternalPublicationValidation | |
CreatePipeline | |
CreateSchedule | |
CreateTaskSchedule | |
| DIS_WORKSPACE_OBJECT_DELETE | DeleteProject |
DeleteFolder |
|
DeleteDataFlow |
|
DeleteTask |
|
DeleteTaskValidation |
|
DeleteApplication |
|
DeletePatch |
|
DeleteTaskRun |
|
DeleteDataAsset |
|
DeleteConnection |
|
DeleteConnectionValidation |
|
DeleteDataFlowValidation |
|
DeleteExternalPublication | |
DeleteExternalPublicationValidation | |
DeletePipeline | |
DeleteSchedule | |
DeleteTaskSchedule | |
|
MANAGE |
|
|
USE + |
USE + |
| DIS_WORKSPACE_CREATE | CreateWorkspace |
| DIS_WORKSPACE_DELETE | DeleteWorkspace |
| DIS_WORKSPACE_MOVE | ChangeCompartment |
| DIS_WORKSPACE_START | StartWorkspace |
| DIS_WORKSPACE_STOP | StopWorkspace |
Cada permiso para
dis-workspaces cubre totalmente una API. No hay ninguna API parcialmente cubierta para los permisos dis-workspaces.Permisos necesarios para cada operación de API
En la tabla se muestran las operaciones de API de Data Integration en un orden lógico, agrupadas por tipo de recurso, y los permisos necesarios para los tipos de recursos dis-workspaces y dis-work-requests.
Para obtener información sobre los permisos, consulte Permisos.
| Operación de API | Permisos |
|---|---|
ListWorkspaces |
DIS_WORKSPACE_INSPECT |
GetWorkspace |
DIS_WORKSPACE_READ |
UpdateWorkspace |
DIS_WORKSPACE_UPDATE |
DeleteWorkspace |
DIS_WORKSPACE_DELETE |
CreateWorkspace |
DIS_WORKSPACE_CREATE |
ChangeCompartment |
DIS_WORKSPACE_MOVE |
StartWorkspace |
DIS_WORKSPACE_START |
StopWorkspace |
DIS_WORKSPACE_STOP |
ListWorkRequests |
DIS_WORK_REQUEST_INSPECT |
GetWorkRequest |
DIS_WORK_REQUEST_READ |
ListWorkRequestErrors |
DIS_WORK_REQUEST_INSPECT |
ListWorkRequestLogs |
DIS_WORK_REQUEST_INSPECT |
GetCountStatistic |
DIS_WORKSPACE_OBJECT_READ |
ListProjects |
DIS_WORKSPACE_OBJECT_INSPECT |
CreateProject |
DIS_WORKSPACE_OBJECT_CREATE |
GetProject |
DIS_WORKSPACE_OBJECT_READ |
UpdateProject |
DIS_WORKSPACE_OBJECT_UPDATE |
DeleteProject |
DIS_WORKSPACE_OBJECT_DELETE |
ListFolders |
DIS_WORKSPACE_OBJECT_INSPECT |
CreateFolder |
DIS_WORKSPACE_OBJECT_CREATE |
GetFolder |
DIS_WORKSPACE_OBJECT_READ |
UpdateFolder |
DIS_WORKSPACE_OBJECT_UPDATE |
DeleteFolder |
DIS_WORKSPACE_OBJECT_DELETE |
ListDataFlows |
DIS_WORKSPACE_OBJECT_INSPECT |
CreateDataFlow |
DIS_WORKSPACE_OBJECT_CREATE |
GetDataFlow |
DIS_WORKSPACE_OBJECT_READ |
UpdateDataFlow |
DIS_WORKSPACE_OBJECT_UPDATE |
DeleteDataFlow |
DIS_WORKSPACE_OBJECT_DELETE |
ListTasks |
DIS_WORKSPACE_OBJECT_INSPECT |
CreateTask |
DIS_WORKSPACE_OBJECT_CREATE |
GetTask |
DIS_WORKSPACE_OBJECT_READ |
UpdateTask |
DIS_WORKSPACE_OBJECT_UPDATE |
DeleteTask |
DIS_WORKSPACE_OBJECT_DELETE |
CreateTaskValidation |
DIS_WORKSPACE_OBJECT_CREATE |
ListTaskValidations |
DIS_WORKSPACE_OBJECT_INSPECT |
GetTaskValidations |
DIS_WORKSPACE_OBJECT_READ |
DeleteTaskValidation |
DIS_WORKSPACE_OBJECT_DELETE |
ListApplications |
DIS_WORKSPACE_OBJECT_INSPECT |
CreateApplication |
DIS_WORKSPACE_OBJECT_CREATE |
GetApplication |
DIS_WORKSPACE_OBJECT_READ |
UpdateApplication |
DIS_WORKSPACE_OBJECT_UPDATE |
DeleteApplication |
DIS_WORKSPACE_OBJECT_DELETE |
ListPatches |
DIS_WORKSPACE_OBJECT_INSPECT |
CreatePatch |
DIS_WORKSPACE_OBJECT_CREATE |
GetPatch |
DIS_WORKSPACE_OBJECT_READ |
DeletePatch |
DIS_WORKSPACE_OBJECT_DELETE |
ListPatchChanges | DIS_WORKSPACE_OBJECT_INSPECT |
ListPublishedObjects |
DIS_WORKSPACE_OBJECT_INSPECT |
GetPublishedObject |
DIS_WORKSPACE_OBJECT_READ |
ListDependentObjects |
DIS_WORKSPACE_OBJECT_INSPECT |
GetDependenObject |
DIS_WORKSPACE_OBJECT_READ |
ListTaskRuns |
DIS_WORKSPACE_OBJECT_INSPECT |
CreateTaskRun |
DIS_WORKSPACE_OBJECT_EXECUTE |
GetTaskRun |
DIS_WORKSPACE_OBJECT_READ |
UpdateTaskRun |
DIS_WORKSPACE_OBJECT_UPDATE |
DeleteTaskRun |
DIS_WORKSPACE_OBJECT_DELETE |
ListTaskRunLogs |
DIS_WORKSPACE_OBJECT_INSPECT |
CreateDataAsset |
DIS_WORKSPACE_OBJECT_CREATE |
ListDataAssets |
DIS_WORKSPACE_OBJECT_INSPECT |
GetDataAsset |
DIS_WORKSPACE_OBJECT_READ |
UpdateDataAsset |
DIS_WORKSPACE_OBJECT_UPDATE |
DeleteDataAsset |
DIS_WORKSPACE_OBJECT_DELETE |
CreateConnection |
DIS_WORKSPACE_OBJECT_CREATE |
ListConnections |
DIS_WORKSPACE_OBJECT_INSPECT |
GetConnection |
DIS_WORKSPACE_OBJECT_READ |
UpdateConnection |
DIS_WORKSPACE_OBJECT_UPDATE |
DeleteConnection |
DIS_WORKSPACE_OBJECT_DELETE |
GetSchema |
DIS_WORKSPACE_OBJECT_READ |
ListSchemas |
DIS_WORKSPACE_OBJECT_INSPECT |
ListDataEntities |
DIS_WORKSPACE_OBJECT_INSPECT |
CreateEntityShape |
DIS_WORKSPACE_OBJECT_CREATE |
GetDataEntity |
DIS_WORKSPACE_OBJECT_READ |
CreateConnectionValidation |
DIS_WORKSPACE_OBJECT_CREATE |
ListConnectionValidations |
DIS_WORKSPACE_OBJECT_INSPECT |
GetConnectionValidation |
DIS_WORKSPACE_OBJECT_READ |
DeleteConnectionValidation |
DIS_WORKSPACE_OBJECT_DELETE |
CreateDataFlowValidation |
DIS_WORKSPACE_OBJECT_CREATE |
ListDataFlowValidations |
DIS_WORKSPACE_OBJECT_INSPECT |
GetDataFlowValidation |
DIS_WORKSPACE_OBJECT_READ |
DeleteDataFlowValiation |
DIS_WORKSPACE_OBJECT_DELETE |
ListReferences | DIS_WORKSPACE_OBJECT_INSPECT |
GetReference | DIS_WORKSPACE_OBJECT_READ |
UpdateReference | DIS_WORKSPACE_OBJECT_UPDATE |
ListExternalPublications | DIS_WORKSPACE_OBJECT_INSPECT |
CreateExternalPublication | DIS_WORKSPACE_OBJECT_CREATE |
GetExternalPublication | DIS_WORKSPACE_OBJECT_READ |
UpdateExternalPublication | DIS_WORKSPACE_OBJECT_UPDATE |
DeleteExternalPublication | DIS_WORKSPACE_OBJECT_DELETE |
ListExternalPublicationValidations | DIS_WORKSPACE_OBJECT_INSPECT |
CreateExternalPublicationValidation | DIS_WORKSPACE_OBJECT_CREATE |
GetExternalPublicationValidation | DIS_WORKSPACE_OBJECT_READ |
DeleteExternalPublicationValidation | DIS_WORKSPACE_OBJECT_DELETE |
ListPipelines | DIS_WORKSPACE_OBJECT_INSPECT |
GetPipeline | DIS_WORKSPACE_OBJECT_READ |
UpdatePipeline | DIS_WORKSPACE_OBJECT_UPDATE |
CreatePipeline | DIS_WORKSPACE_OBJECT_CREATE |
DeletePipeline | DIS_WORKSPACE_OBJECT_DELETE |
ListSchedules | DIS_WORKSPACE_OBJECT_INSPECT |
GetSchedule | DIS_WORKSPACE_OBJECT_READ |
UpdateSchedule | DIS_WORKSPACE_OBJECT_UPDATE |
CreateSchedule | DIS_WORKSPACE_OBJECT_CREATE |
DeleteSchedule | DIS_WORKSPACE_OBJECT_DELETE |
ListTaskSchedules | DIS_WORKSPACE_OBJECT_INSPECT |
GetTaskSchedule | DIS_WORKSPACE_OBJECT_READ |
UpdateTaskSchedule | DIS_WORKSPACE_OBJECT_UPDATE |
CreateTaskSchedule | DIS_WORKSPACE_OBJECT_CREATE |
DeleteTaskSchedule | DIS_WORKSPACE_OBJECT_DELETE |
CreateExportRequest |
DIS_WORKSPACE_OBJECT_EXPORT |
GetExportRequest |
DIS_WORKSPACE_OBJECT_READ |
ListExportRequests |
DIS_WORKSPACE_OBJECT_INSPECT |
UpdateExportRequest |
DIS_WORKSPACE_OBJECT_UPDATE |
DeleteExportRequest |
DIS_WORKSPACE_OBJECT_DELETE |
CreateImportRequest |
DIS_WORKSPACE_OBJECT_IMPORT |
GetImportRequest |
DIS_WORKSPACE_OBJECT_READ |
ListImportRequests |
DIS_WORKSPACE_OBJECT_INSPECT |
UpdateImportRequest |
DIS_WORKSPACE_OBJECT_UPDATE |
DeleteImportRequest |
DIS_WORKSPACE_OBJECT_DELETE |