Documentación de Oracle Cloud Infrastructure

Configuración de políticas de identidad

Data Labeling requiere que se definan políticas en IAM para acceder a recursos para gestionar juegos de datos y registros de etiquetas.

Para obtener información sobre cómo funcionan las políticas de IAM, consulte la documentación de IAM sin dominios de identidad o de IAM con dominios de identidad.

Para obtener información sobre las etiquetas y los espacios de nombre de etiquetas que se agregarán a sus políticas, consulte Gestión de etiquetas y espacios de nombre de etiquetas.

Configuración de políticas de usuario

Cree políticas en IAM para los usuarios de Data Labeling para que el servicio funcione correctamente.

  1. Cree un grupo para los usuarios.
  2. Agregue los usuarios a este grupo.
  3. Cree un grupo dinámico con la siguiente regla: 
    ALL { resource.type = 'datalabelingdataset'}
  4. Cree una política en el compartimento raíz para usuarios que no sean administradores: 
    allow group <group-name> to read buckets in compartment <compartment-name>
allow group <group-name> to manage objects in compartment <compartment-name>
allow group <group-name> to read objectstorage-namespaces in compartment <compartment-name>
allow group <group-name> to manage data-labeling-family in compartment <compartment-name>
  5. Cree una política en el compartimento raíz para el grupo dinámico: 
    allow dynamic-group <dynamic-group-name> to read buckets in compartment <compartment-name>
allow dynamic-group <dynamic-group-name> to read objects in compartment <compartment-name>
allow dynamic-group <dynamic-group-name> to manage objects in compartment <compartment-name> where any {request.permission='OBJECT_CREATE', request.permission='OBJECT_OVERWRITE'}
  6. (Opcional) Gestione su arrendamiento según corresponda, incluyendo la restricción del acceso a un compartimento específico. Para obtener más información, consulte pasos para gestionar su arrendamiento.
  7. (Opcional) Gestión del compartimento según corresponda.

Configuración de políticas entre arrendamientos

Siga estos pasos para configurar políticas entre arrendamientos en Data Labeling.

Una política entre arrendamientos permite compartir recursos con usuarios de otro arrendamiento. Por ejemplo, puede escribir políticas entre arrendamientos que permitan a los usuarios de un grupo de IAM del arrendamiento de origen realizar operaciones en juegos de datos en el arrendamiento de destino. Para obtener más información sobre las políticas entre arrendamientos, consulte Acceso a recursos de Object Storage entre arrendamientos.

En el siguiente ejemplo, los usuarios del grupo, group-name, del arrendamiento, source-tenancy, desean utilizar la funcionalidad Data Labeling en un arrendamiento diferente, denominado destination-tenancy.

  1. Cree un grupo en source-tenancy y agréguele usuarios.
  2. Agregue las siguientes políticas en source-tenancy, de modo que group-name esté aprobado y pueda gestionar el juego de datos en destination-tenancy: 
    DEFINE tenancy destination-tenancy AS <destination-tenancy-ocid>
ENDORSE group group-name TO manage data-labeling-family IN tenancy destination-tenancy
  3. En destination-tenancy, agregue sentencias de política que permitan que group-name funcione en el juego de datos: 
    DEFINE tenancy source-tenancy AS <source-tenancy-ocid>
DEFINE group group-name AS <source-tenancy-group-ocid>
ADMIT group group-name OF tenancy source-tenancy TO manage data-labeling-family IN tenancy
  4. (Opcional) Puede agregar una política para limitar el acceso a un compartimento específico en destination-tenancy. En este ejemplo, el compartimento se denomina dataset-compartment: 
    DEFINE tenancy source-tenancy AS <source-tenancy-ocid>
DEFINE group group-name AS <source-tenancy-group-ocid>
ADMIT group group-name OF tenancy source-tenancy TO manage data-labeling-family IN compartment dataset-compartment
  5. (Opcional) Si el cubo está presente en destination-tenancy, también debe agregar políticas de arrendamiento cruzado para los recursos de Object Storage. Agregue las siguientes sentencias de política para permitir que el grupo, group-name, acceda a los recursos de Object Storage en destination-tenancy:
    En source-tenancy, agregue:
    ENDORSE group group-name to read buckets in tenancy destination-tenancy
ENDORSE group group-name to manage objects in tenancy destination-tenancy
ENDORSE group group-name to read objectstorage-namespaces in tenancy destination-tenancy
    En destination-tenancy, agregue: 
    ADMIT group group-name of tenancy source-tenancy to read buckets in tenancy
ADMIT group group-name of tenancy source-tenancy to manage objects in tenancy
ADMIT group group-name of tenancy source-tenancy to read objectstorage-namespaces in tenancy
    Para obtener más información sobre la escritura de políticas entre arrendamientos, consulte Acceso a recursos de Object Storage entre arrendamientos.

Configuración de políticas entre arrendamientos para asociar el juego de datos a un cubo de Object Storage

Si el juego de datos de Data Labeling se crea en un arrendamiento diferente al cubo de Object Storage, necesita una política para asociar el juego de datos y el cubo.

Para el acceso entre arrendamientos, podría tener uno de los tres escenarios siguientes, los cuales requieren una política de asociación.

  1. El usuario y el cubo de Object Storage están en el mismo arrendamiento (que en este ejemplo es el arrendamiento A) y el juego de datos está en un arrendamiento diferente (que en este ejemplo es el arrendamiento B).
    1. Agregue la siguiente política en el arrendamiento A:
      define tenancy B as <tenancy-B-ocid> 
endorse group Group-A associate buckets in tenancy with data-labeling-datasets in tenancy B
    2. Agregue la siguiente política en el arrendamiento B:
      define tenancy A as <tenancy-A-ocid>
define group Group-A as <Group-A-ocid>
Admit group Group-B of tenancy A associate buckets in tenancy A with data-labeling-datasets in tenancy
  2. El usuario y el juego de datos están en el mismo arrendamiento (que en este ejemplo es el arrendamiento A) y el cubo está en un arrendamiento diferente (que en este ejemplo es el arrendamiento B).
    1. Agregue la siguiente política en el arrendamiento A:
      define tenancy B as <tenancy-B-ocid> 
endorse group Group-A associate buckets in tenancy B with data-labeling-datasets in tenancy
    2. Agregue la siguiente política en el arrendamiento B:
      define tenancy A as <tenancy-A-ocid>
define group Group-A as <Group-A-ocid>
Admit group Group-A of tenancy A associate buckets in tenancy with data-labeling-datasets in tenancy A
  3. El usuario está en un arrendamiento (que en este ejemplo es el arrendamiento A), el juego de datos está en otro arrendamiento (que en este ejemplo es el arrendamiento B) y el cubo está en un tercer arrendamiento (que en este ejemplo es el arrendamiento C).
    1. Agregue la siguiente política en el arrendamiento A:
      define tenancy B as <tenancy-B-ocid> 
define tenancy C as <tenancy-C-ocid> 
endorse group Group-A associate buckets in tenancy C with data-labeling-datasets in tenancy B
    2. Agregue la siguiente política en el arrendamiento B:
      define tenancy A as <tenancy-A-ocid>
define tenancy C as <tenancy-C-ocid>
define group Group-A as <Group-A-ocid>
Admit group Group-A of tenancy A associate buckets in tenancy C with data-labeling-datasets in tenancy
    3. Agregue la siguiente política en el arrendamiento C:
      define tenancy A as <tenancy-A-ocid>
define tenancy B as <tenancy-B-ocid>
define group Group-A as <Group-A-ocid>
Admit group Group-A of tenancy A associate buckets in tenancy with data-labeling-datasets in tenancy B