Políticas de IAM para Oracle AI Data Platform Workbench

Oracle AI Data Platform Workbench se gestiona en OCI y requiere las políticas de IAM proporcionadas.

Para crear nuevas instancias de AI Data Platform Workbench, un usuario necesita al menos MANAGE activado en las políticas de IAM:

allow group <aidpAdminIdentityDomain>/<aidpAdminGroup> to manage ai-data-platforms in compartment id <aidpCompartmentId>

Oracle AI Data Platform Workbench permite a los usuarios dos combinaciones diferentes de políticas entre las que pueden elegir para configurar su instancia.

Opción 1: Políticas de nivel de arrendamiento (ámbito amplio)

Con esta opción, las políticas se definen en el nivel de arrendamiento (raíz), lo que proporciona a Oracle AI Data Platform Workbench un amplio acceso a través de compartimentos.

• Minimiza la necesidad de escribir nuevas políticas de IAM cada vez que agrega nuevas cargas de trabajo, orígenes de datos o compartimentos.
• La experiencia de incorporación más sencilla; requiere el menor número de cambios después de la configuración inicial.
• Los usuarios tienen un ámbito más amplio de permisos.
• Puede que no cumpla con los estrictos requisitos de mínimo privilegio en entornos regulados.

1. Permite que el servicio Oracle AI Data Platform Workbench vea los recursos de OCI IAM para configurar el control de acceso basado en roles de los recursos gestionados de AI Data Platform:

   allow any-user TO {AUTHENTICATION_INSPECT, DOMAIN_INSPECT, DOMAIN_READ, DYNAMIC_GROUP_INSPECT, GROUP_INSPECT, GROUP_MEMBERSHIP_INSPECT, USER_INSPECT, USER_READ} IN TENANCY where all {request.principal.type='aidataplatform'}

2. Permitir que el servicio Oracle AI Data Platform Workbench cree un grupo de logs de OCI y proporcione logs a los usuarios:

   allow any-user to manage log-groups in compartment id <aidpCompartmentId> where ALL { request.principal.type='aidataplatform' }
   allow any-user to read log-content in compartment id <aidpCompartmentId> where ALL { request.principal.type='aidataplatform' }

3. Permitir que el servicio Oracle AI Data Platform Workbench proporcione métricas a los usuarios:

   allow any-user to use metrics in compartment id <aidpCompartmentId> where ALL {request.principal.type='aidataplatform', target.metrics.namespace='oracle_aidataplatform'}

4. Permitir que el servicio Oracle AI Data Platform Workbench cree y gestione el cubo de OCI Object Store para el espacio de trabajo y los datos gestionados en el catálogo maestro:

   allow any-user to manage buckets in tenancy where all { request.principal.type='aidataplatform', any {request.permission = 'BUCKET_CREATE', request.permission = 'BUCKET_INSPECT', request.permission = 'BUCKET_READ', request.permission = 'BUCKET_UPDATE'}}

5. Permitir que el servicio Oracle AI Data Platform Workbench controle/gestione datos en Workspace y el catálogo maestro con acceso restringido por nivel de instancia de AI Data Platform Workbench:

   allow any-user to {TAG_NAMESPACE_USE} in tenancy where all {request.principal.type = 'aidataplatform'}
   allow any-user to manage buckets in tenancy where all { request.principal.id=target.resource.tag.orcl-aidp.governingAidpId, any {request.permission = 'BUCKET_DELETE', request.permission = 'PAR_MANAGE', request.permission = 'RETENTION_RULE_LOCK', request.permission = 'RETENTION_RULE_MANAGE'} }
   allow any-user to read objectstorage-namespaces in tenancy where all { request.principal.type='aidataplatform', any {request.permission = 'OBJECTSTORAGE_NAMESPACE_READ'}}
   allow any-user to manage objects in tenancy where all { request.principal.id=target.bucket.system-tag.orcl-aidp.governingAidpId  }

6. Permitir que el servicio Oracle AI Data Platform Workbench configure el cluster de recursos informáticos para acceder a los datos de una red privada (opcional):

   allow any-user to manage vnics in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform'}
   allow any-user to use subnets in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform'}
   allow any-user to use network-security-groups in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform'}

7. Permite al servicio Object Storage aplicar automáticamente acciones de ciclo de vida (como la supresión permanente o el archivado) a los datos del espacio de trabajo de Oracle AI Data Platform Workbench, lo que reduce el esfuerzo de mantenimiento manual y permite el cumplimiento de las mejores prácticas de retención de datos (opcional):

   allow service objectstorage-<<region_identifier>> to manage object-family in compartment id <<aidp-compartment-ocid>>

Opción 2: políticas de nivel de compartimento (ámbito detallado)

Con esta opción, las políticas se definen en el nivel de compartimento, lo que significa el compartimento en el que se crea la instancia de AI Data Platform.

• Proporciona un límite de seguridad más estricto; limita el acceso de su AI Data Platform Workbench a un único compartimento por defecto.
• Puede agregar nuevas políticas de compartimento de forma incremental cuando los flujos de trabajo necesiten abarcar compartimentos adicionales.
• Requiere que realice actualizaciones manuales de IAM siempre que necesite que el área de trabajo de AI Data Platform acceda a un compartimento diferente.
• Requiere más sobrecarga operativa durante la expansión.

1. Permite que el servicio Oracle AI Data Platform Workbench vea los recursos de OCI IAM para configurar el control de acceso basado en roles de los recursos gestionados de AI Data Platform:

   allow any-user TO {AUTHENTICATION_INSPECT, DOMAIN_INSPECT, DOMAIN_READ, DYNAMIC_GROUP_INSPECT, GROUP_INSPECT, GROUP_MEMBERSHIP_INSPECT, USER_INSPECT, USER_READ} IN TENANCY where all {request.principal.type='aidataplatform'}

2. Permitir que el servicio Oracle AI Data Platform Workbench cree un grupo de logs de OCI y proporcione logs a los usuarios:

   allow any-user to manage log-groups in compartment id <aidpCompartmentId> where ALL { request.principal.type='aidataplatform' }
   allow any-user to read log-content in compartment id <aidpCompartmentId> where ALL { request.principal.type='aidataplatform' }

3. Permitir que el servicio Oracle AI Data Platform Workbench proporcione métricas a los usuarios:

   allow any-user to use metrics in compartment id <aidpCompartmentId> where ALL {request.principal.type='aidataplatform', target.metrics.namespace='oracle_aidataplatform'}

4. Permitir que el servicio Oracle AI Data Platform Workbench cree y gestione el cubo de OCI Object Store para el espacio de trabajo y los datos gestionados en el catálogo maestro:

   allow any-user to manage buckets in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform', any {request.permission = 'BUCKET_CREATE', request.permission = 'BUCKET_INSPECT', request.permission = 'BUCKET_READ', request.permission = 'BUCKET_UPDATE'}}

5. Permitir que el servicio Oracle AI Data Platform Workbench controle/gestione datos en Workspace y el catálogo maestro con acceso restringido por nivel de instancia de AI Data Platform Workbench:

   allow any-user to {TAG_NAMESPACE_USE} in tenancy where all {request.principal.type = 'aidataplatform'}
   allow any-user to manage buckets in compartment id <aidpCompartmentId> where all { request.principal.id=target.resource.tag.orcl-aidp.governingAidpId, any {request.permission = 'BUCKET_DELETE', request.permission = 'PAR_MANAGE', request.permission = 'RETENTION_RULE_LOCK', request.permission = 'RETENTION_RULE_MANAGE'} }
   allow any-user to read objectstorage-namespaces in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform', any {request.permission = 'OBJECTSTORAGE_NAMESPACE_READ'}}
   allow any-user to manage objects in compartment id <aidpCompartmentId> where all { request.principal.id=target.bucket.system-tag.orcl-aidp.governingAidpId  }

6. Permitir que el servicio Oracle AI Data Platform Workbench configure el cluster de recursos informáticos para acceder a los datos de una red privada (opcional):

   allow any-user to manage vnics in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform'}
   allow any-user to use subnets in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform'}
   allow any-user to use network-security-groups in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform'}

7. Permite al servicio Object Storage aplicar automáticamente acciones de ciclo de vida (como la supresión permanente o el archivado) a los datos del espacio de trabajo de Oracle AI Data Platform Workbench, lo que reduce el esfuerzo de mantenimiento manual y permite el cumplimiento de las mejores prácticas de retención de datos (opcional):

   allow service objectstorage-<<region_identifier>> to manage object-family in compartment id <<aidp-compartment-ocid>>

Políticas adicionales para tablas externas

Si su instancia de AI Data Platform Workbench necesita acceder a los datos almacenados en un compartimento diferente, debe otorgar políticas adicionales para ese compartimento externo. Estas políticas permiten a AI Data Platform Workbench inspeccionar, leer y gestionar cubos y objetos en el compartimento externo para utilizarlos dentro del espacio de trabajo de AI Data Platform Workbench.

allow any-user to manage buckets in compartment id <external-data-CompartmentId> where all { request.principal.type='aidataplatform', any {request.permission = 'BUCKET_INSPECT', request.permission = 'BUCKET_READ', request.permission = 'BUCKET_UPDATE'}} 
allow any-user to manage buckets in compartment id <external-data-CompartmentId> where all { request.principal.id=target.resource.tag.orcl-aidp.governingAidpId, any {request.permission = 'PAR_MANAGE', request.permission = 'RETENTION_RULE_LOCK', request.permission = 'RETENTION_RULE_MANAGE'} } 
allow any-user to manage objects in compartment id <external-data-CompartmentId> where all { request.principal.id=target.bucket.system-tag.orcl-aidp.governingAidpId } 
allow service objectstorage-<<region_identifier>> to manage object-family in compartment id <external-data-CompartmentId>

Note:

Si utiliza un dominio de identidad personalizado (no por defecto), debe anteponer el nombre de grupo al nombre de dominio de la política de IAM. Por ejemplo:

allow group <aidpAdminIdentityDomain>/<aidpAdminGroup> to manage ai-data-platforms in compartment id <aidpCompartmentId>

Para obtener más información sobre las políticas de IAM, consulte Visión general de las políticas de IAM.

Para ver e iniciar sesión en un área de trabajo de AI Data Platform, el administrador de ese área de trabajo de AI Data Platform le debe otorgar acceso.