Politiques IAM pour Oracle AI Data Platform Workbench

L'atelier de plate-forme de données d'Oracle AI Data Platform Workbench est géré dans OCI et nécessite les politiques IAM fournies.

Pour créer de nouvelles instances AI Data Platform Workbench, un utilisateur doit au moins activer MANAGE dans les politiques IAM :

allow group <aidpAdminIdentityDomain>/<aidpAdminGroup> to manage ai-data-platforms in compartment id <aidpCompartmentId>

Oracle AI Data Platform Workbench permet aux utilisateurs deux combinaisons différentes de politiques parmi lesquelles ils peuvent choisir pour configurer leur instance.

Option 1 : Politiques au niveau de la location (portée étendue)

Avec cette option, vos politiques sont définies au niveau de la location (racine), ce qui donne à votre atelier de plate-forme de données d'Oracle AI un accès étendu à tous les compartiments.

• Réduit la nécessité d'écrire de nouvelles politiques IAM chaque fois que vous ajoutez de nouvelles charges de travail, sources de données ou compartiments.
• Expérience d'intégration la plus facile; nécessite le moins de modifications après la configuration initiale.
• Les utilisateurs ont une portée plus large d'autorisations.
• Peut ne pas répondre à des exigences strictes en matière de privilèges minimaux dans les environnements réglementés.

1. Autorisez le service Oracle AI Data Platform Workbench à voir les ressources OCI IAM pour configurer le contrôle d'accès basé sur les rôles des ressources gérées par AI Data Platform :

   allow any-user TO {AUTHENTICATION_INSPECT, DOMAIN_INSPECT, DOMAIN_READ, DYNAMIC_GROUP_INSPECT, GROUP_INSPECT, GROUP_MEMBERSHIP_INSPECT, USER_INSPECT, USER_READ} IN TENANCY where all {request.principal.type='aidataplatform'}

2. Autoriser le service Oracle AI Data Platform Workbench à créer un groupe de journaux de journalisation OCI et à fournir des journaux aux utilisateurs :

   allow any-user to manage log-groups in compartment id <aidpCompartmentId> where ALL { request.principal.type='aidataplatform' }
   allow any-user to read log-content in compartment id <aidpCompartmentId> where ALL { request.principal.type='aidataplatform' }

3. Autoriser le service Oracle AI Data Platform Workbench à fournir des mesures aux utilisateurs :

   allow any-user to use metrics in compartment id <aidpCompartmentId> where ALL {request.principal.type='aidataplatform', target.metrics.namespace='oracle_aidataplatform'}

4. Autoriser le service Oracle AI Data Platform Workbench à créer et gérer le seau du magasin d'objets OCI pour l'espace de travail et les données gérées dans le catalogue principal :

   allow any-user to manage buckets in tenancy where all { request.principal.type='aidataplatform', any {request.permission = 'BUCKET_CREATE', request.permission = 'BUCKET_INSPECT', request.permission = 'BUCKET_READ', request.permission = 'BUCKET_UPDATE'}}

5. Autoriser le service Oracle AI Data Platform Workbench à régir/gérer les données dans l'espace de travail et le catalogue principal, avec un accès restreint au niveau de l'instance AI Data Platform Workbench :

   allow any-user to {TAG_NAMESPACE_USE} in tenancy where all {request.principal.type = 'aidataplatform'}
   allow any-user to manage buckets in tenancy where all { request.principal.id=target.resource.tag.orcl-aidp.governingAidpId, any {request.permission = 'BUCKET_DELETE', request.permission = 'PAR_MANAGE', request.permission = 'RETENTION_RULE_LOCK', request.permission = 'RETENTION_RULE_MANAGE'} }
   allow any-user to read objectstorage-namespaces in tenancy where all { request.principal.type='aidataplatform', any {request.permission = 'OBJECTSTORAGE_NAMESPACE_READ'}}
   allow any-user to manage objects in tenancy where all { request.principal.id=target.bucket.system-tag.orcl-aidp.governingAidpId  }

6. Autoriser le service Oracle AI Data Platform Workbench à configurer une grappe de calcul pour accéder aux données d'un réseau privé (facultatif) :

   allow any-user to manage vnics in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform'}
   allow any-user to use subnets in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform'}
   allow any-user to use network-security-groups in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform'}

7. Permet au service de stockage d'objets d'appliquer automatiquement des actions de cycle de vie (telles que la suppression permanente ou l'archivage) aux données de votre espace de travail Oracle AI Data Platform Workbench, en réduisant les efforts de maintenance manuelle et en prenant en charge la conformité aux meilleures pratiques de conservation des données (facultatif) :

   allow service objectstorage-<<region_identifier>> to manage object-family in compartment id <<aidp-compartment-ocid>>

Option 2 : Politiques au niveau du compartiment (portée détaillée)

Avec cette option, vos politiques sont définies au niveau du compartiment, c'est-à-dire le compartiment dans lequel votre instance de plate-forme de données d'intelligence artificielle est créée.

• Vous fournit une limite de sécurité plus stricte; limite par défaut l'accès de votre atelier Plate-forme de données d'intelligence artificielle à un seul compartiment.
• Vous pouvez ajouter de nouvelles politiques de compartiment de manière incrémentielle lorsque les flux de travail doivent couvrir d'autres compartiments.
• Vous demande d'effectuer des mises à jour IAM manuelles chaque fois que vous avez besoin de l'atelier Plate-forme de données AI pour accéder à un autre compartiment.
• Exige plus de frais généraux opérationnels pendant l'expansion.

1. Autorisez le service Oracle AI Data Platform Workbench à voir les ressources OCI IAM pour configurer le contrôle d'accès basé sur les rôles des ressources gérées par AI Data Platform :

   allow any-user TO {AUTHENTICATION_INSPECT, DOMAIN_INSPECT, DOMAIN_READ, DYNAMIC_GROUP_INSPECT, GROUP_INSPECT, GROUP_MEMBERSHIP_INSPECT, USER_INSPECT, USER_READ} IN TENANCY where all {request.principal.type='aidataplatform'}

2. Autoriser le service Oracle AI Data Platform Workbench à créer un groupe de journaux de journalisation OCI et à fournir des journaux aux utilisateurs :

   allow any-user to manage log-groups in compartment id <aidpCompartmentId> where ALL { request.principal.type='aidataplatform' }
   allow any-user to read log-content in compartment id <aidpCompartmentId> where ALL { request.principal.type='aidataplatform' }

3. Autoriser le service Oracle AI Data Platform Workbench à fournir des mesures aux utilisateurs :

   allow any-user to use metrics in compartment id <aidpCompartmentId> where ALL {request.principal.type='aidataplatform', target.metrics.namespace='oracle_aidataplatform'}

4. Autoriser le service Oracle AI Data Platform Workbench à créer et gérer le seau du magasin d'objets OCI pour l'espace de travail et les données gérées dans le catalogue principal :

   allow any-user to manage buckets in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform', any {request.permission = 'BUCKET_CREATE', request.permission = 'BUCKET_INSPECT', request.permission = 'BUCKET_READ', request.permission = 'BUCKET_UPDATE'}}

5. Autoriser le service Oracle AI Data Platform Workbench à régir/gérer les données dans l'espace de travail et le catalogue principal, avec un accès restreint au niveau de l'instance AI Data Platform Workbench :

   allow any-user to {TAG_NAMESPACE_USE} in tenancy where all {request.principal.type = 'aidataplatform'}
   allow any-user to manage buckets in compartment id <aidpCompartmentId> where all { request.principal.id=target.resource.tag.orcl-aidp.governingAidpId, any {request.permission = 'BUCKET_DELETE', request.permission = 'PAR_MANAGE', request.permission = 'RETENTION_RULE_LOCK', request.permission = 'RETENTION_RULE_MANAGE'} }
   allow any-user to read objectstorage-namespaces in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform', any {request.permission = 'OBJECTSTORAGE_NAMESPACE_READ'}}
   allow any-user to manage objects in compartment id <aidpCompartmentId> where all { request.principal.id=target.bucket.system-tag.orcl-aidp.governingAidpId  }

6. Autoriser le service Oracle AI Data Platform Workbench à configurer une grappe de calcul pour accéder aux données d'un réseau privé (facultatif) :

   allow any-user to manage vnics in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform'}
   allow any-user to use subnets in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform'}
   allow any-user to use network-security-groups in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform'}

7. Permet au service de stockage d'objets d'appliquer automatiquement des actions de cycle de vie (telles que la suppression permanente ou l'archivage) aux données de votre espace de travail Oracle AI Data Platform Workbench, en réduisant les efforts de maintenance manuelle et en prenant en charge la conformité aux meilleures pratiques de conservation des données (facultatif) :

   allow service objectstorage-<<region_identifier>> to manage object-family in compartment id <<aidp-compartment-ocid>>

Politiques supplémentaires pour les tables externes

Si votre instance AI Data Platform Workbench a besoin d'accéder aux données stockées dans un autre compartiment, vous devez accorder des politiques supplémentaires pour ce compartiment externe. Ces politiques permettent à AI Data Platform Workbench d'inspecter, de lire et de gérer les seaux et les objets du compartiment externe afin de les utiliser dans l'espace de travail AI Data Platform Workbench.

allow any-user to manage buckets in compartment id <external-data-CompartmentId> where all { request.principal.type='aidataplatform', any {request.permission = 'BUCKET_INSPECT', request.permission = 'BUCKET_READ', request.permission = 'BUCKET_UPDATE'}} 
allow any-user to manage buckets in compartment id <external-data-CompartmentId> where all { request.principal.id=target.resource.tag.orcl-aidp.governingAidpId, any {request.permission = 'PAR_MANAGE', request.permission = 'RETENTION_RULE_LOCK', request.permission = 'RETENTION_RULE_MANAGE'} } 
allow any-user to manage objects in compartment id <external-data-CompartmentId> where all { request.principal.id=target.bucket.system-tag.orcl-aidp.governingAidpId } 
allow service objectstorage-<<region_identifier>> to manage object-family in compartment id <external-data-CompartmentId>

Note :

Si vous utilisez un domaine d'identité personnalisé (autre que le domaine par défaut), vous devez faire précéder le nom du groupe du nom de domaine dans votre politique IAM. Par exemple :

allow group <aidpAdminIdentityDomain>/<aidpAdminGroup> to manage ai-data-platforms in compartment id <aidpCompartmentId>

Pour plus d'informations sur les politiques IAM, voir Aperçu des politiques IAM.

Pour voir un AI Data Platform Workbench et vous y connecter, l'administrateur de ce AI Data Platform Workbench doit vous accorder l'accès.