Documentación de Oracle Cloud Infrastructure

Requisitos para activar y utilizar Data Safe

Asegúrese de contar con los permisos de usuario y servicio aplicables para activar y utilizar Data Safe en la instancia de Autonomous Data Warehouse asociada a la instancia de Fusion Data Intelligence. También debe asegurarse de que la instancia de Autonomous Data Warehouse permita el tráfico de red desde Data Safe.

Los permisos necesarios son:
  • Permisos de Usuario
    • Políticas generales de Oracle Cloud Infrastructure Identity and Access Management: permiten al usuario mostrar y agregar políticas en el arrendamiento de Oracle Cloud Infrastructure.
    • Políticas de Data Safe: permiten al usuario ver y gestionar los recursos de Data Safe.
  • Permisos de servicio: Fusion Data Intelligence necesita permiso para activar Data Safe en Autonomous Data Warehouse de la instancia de Fusion Data Intelligence.

Permisos de usuario para gestionar las políticas de Oracle Cloud Infrastructure Identity and Access Management

La consola de Oracle Cloud Infrastructure se basa en el permiso del usuario conectado para mostrar y crear políticas en el arrendamiento de Oracle Cloud Infrastructure. En función de los permisos del usuario, se aplican dos escenarios:
  • Escenario 1: el usuario tiene permiso para gestionar las políticas de gestión de identidad y acceso (gestionar - leer y agregar nuevas políticas). En esta situación, la consola de Oracle Cloud Infrastructure verifica si existen las políticas de Data Safe para el servicio Fusion Data Intelligence. Si faltan las políticas, la consola crea automáticamente las políticas de servicio. Después de esto, el usuario aplicable puede crear la instancia de Fusion Data Intelligence con Data Safe o registrar la instancia existente con Data Safe.

  • Escenario 2: el usuario solo tiene permiso para leer las políticas de gestión de identidad y acceso. En esta situación, la consola de Oracle Cloud Infrastructure verifica si existen las políticas de Data Safe para el servicio Fusion Data Intelligence. Si las políticas ya están en vigor, el usuario puede continuar creando la instancia con Data Safe o registrar la instancia existente con Data Safe. Si las políticas no están presentes, el usuario aplicable debe desactivar la casilla de control Activar Data Safe durante la creación de la instancia de Fusion Data Intelligence para continuar o dejar de crear la instancia y solicitar al administrador del servicio que configure los usuarios, los grupos y las políticas de escritura de Identity and Access Management.

    Mientras que un administrador de servicio puede escribir las políticas de Identity and Access Management según sus requisitos, estas políticas de ejemplo pueden ser útiles al crear y gestionar instancias de Fusion Data Intelligence con Data Safe:
    allow group <identity_domain_name>/FDIDataSafeUsers to read compartments in tenancy
allow group <identity_domain_name>/FDIDataSafeUsers to read domains in tenancy
allow group <identity_domain_name>/FDIDataSafeUsers to manage policy in tenancy
  • Nota

    Sustituya FDIDataSafeUsers por el grupo de gestión de identidad y acceso adecuado.

Permisos de usuario para ver y gestionar recursos de Data Safe

Al activar Data Safe para la instancia de Autonomous Data Warehouse aplicable, Fusion Data Intelligence crea varios recursos de Data Safe, como targetDataBase, auditPolicy, auditProfile, auditTrial y alertPolicyAssociations, entre otros. Cree la siguiente política amplia para gestionar los recursos de Data Safe en el arrendamiento:
allow group <identity_domain_name>/FDIDataSafeUsers to manage data-safe-family in tenancy
Nota

Sustituya FDIDataSafeUsers por el grupo de gestión de identidad y acceso adecuado.

Sin embargo, como administrador de servicio, puede proporcionar acceso limitado a los grupos de Identity and Access Management aplicables. Consulte Políticas de IAM para Autonomous Database y Creación de políticas de IAM para usuarios de Oracle Data Safe.

Permiso para que Fusion Data Intelligence realice operaciones de Data Safe

Fusion Data Intelligence necesita permiso para realizar las operaciones relacionadas con Data Safe en la instancia de Autonomous Data Warehouse asociada. El sistema verifica que el usuario que ha iniciado sesión tiene permisos para mostrar y agregar políticas y si el usuario que ha iniciado sesión tiene los permisos y si las políticas aún no se han creado, el sistema crea las siguientes políticas:
allow any-user to manage data-safe in tenancy where all {request.principal.type = 'fawservice', request.principal.compartment.id = target.compartment.id}
allow any-user to manage data-safe-assessment-family in tenancy where all {request.principal.type = 'fawservice', request.principal.compartment.id = target.compartment.id}
allow any-user to manage data-safe-alert-family in tenancy where all {request.principal.type = 'fawservice', request.principal.compartment.id = target.compartment.id}
allow any-user to manage data-safe-audit-family in tenancy where all {request.principal.type = 'fawservice', request.principal.compartment.id = target.compartment.id}
allow any-user to manage virtual-network-family in tenancy where all {request.principal.type = 'fawservice', request.principal.compartment.id = target.compartment.id}

El sistema crea las políticas de Data Safe para Fusion Data Intelligence en el archivo FDI_ADW_Data_Safe_Policy del compartimento raíz del arrendamiento. Debe tener cuidado al actualizar las sentencias de política de este archivo de política para evitar restringir Fusion Data Intelligence para realizar operaciones de seguridad de datos en Autonomous Data Warehouse.

Acceso de red

Verifique que la instancia de Autonomous Data Warehouse asociada permite el tráfico de red desde Data Safe. Consulte Configure Network Access with Access Control Rules (ACL) and Private Endpoints.