Documentation sur Oracle Cloud Infrastructure

Sécurisation du service de catalogue de données

Oracle Cloud Infrastructure Data Catalog fournit une solution collaborative de découverte et de gouvernance des données, conformément aux meilleures pratiques de sécurité de l'industrie.

Recommandations en matière de sécurité

  • Affectez aux utilisateurs et groupes GIA un accès avec privilège minimal aux ressources de type data-catalog-family.
  • Pour réduire la perte de données due à une suppression accidentelle par un utilisateur autorisé ou à des suppressions malveillantes, Oracle recommande de donner l'autorisation CATALOG_DELETE à un ensemble le plus réduit possible d'utilisateurs et de groupes GIA. Accordez l'autorisation CATALOG_DELETE uniquement aux administrateurs de location et de compartiment.
  • Pour protéger vos sources de données de toute vulnérabilité de sécurité, ne fournissez des données d'identification que pour les comptes en lecture seule. Le catalogue de données n'a besoin que d'un accès en lecture pour collecter des ressources de données.

Exemples de politique de sécurité

Empêcher la suppression de catalogues de données

Créez cette politique pour permettre au groupe DataCatalogUsers d'exécuter toutes les actions sur les catalogues de données, sauf des suppressions.

Allow group DataCatalogUsers to manage data-catalog-family in tenancy
 where request.permission!='CATALOG_DELETE'

Permettre aux utilisateurs de lire toutes les instances de catalogue de données

Créez cette politique pour permettre au groupe DataCatalogUsers de lire toutes les instances de catalogue de données de la location ou d'un compartiment spécifique.

Allow group DataCatalogUsers to read data-catalog-family in tenancy 
Allow group DataCatalogUsers to read data-catalog-family in compartment <compartment-name>

Permettre aux utilisateurs d'accéder aux ressources de données dans les catalogues de données

Créez cette politique pour permettre au groupe DataCatalogUsers de lire ou d'utiliser des ressources de données dans la location ou un compartiment. Par exemple, les politiques permettent au groupe de lire les ressources de données comme suit :
Allow group DataCatalogUsers to use data-catalog-data-assets in tenancy 
Allow group DataCatalogUsers to use data-catalog-data-assets in compartment <compartment-name> where target.catalog.id = '<catalog-OCID>'

Permettre aux utilisateurs d'accéder à des ressources de données spécifiques dans les catalogues de données

Créez cette politique pour permettre au groupe DataCatalogUsers de lire ou d'utiliser des ressources de données spécifiques dans la location ou un compartiment. Par exemple, la politique permettant au groupe de lire des ressources de données spécifiques est la suivante :

Allow group DataCatalogUsers to read data-catalog-data-assets in tenancy where target.data.asset.key = '<data-asset-key>'

Permettre aux utilisateurs d'accéder aux glossaires dans les catalogues de données

Créez cette politique pour permettre au groupe DataCatalogUsers de lire ou d'utiliser des glossaires dans la location ou un compartiment. Par exemple, les politiques permettent au groupe de lire les glossaires comme suit :

Allow group DataCatalogUsers to use data-catalog-glossaries in tenancy 
Allow group DataCatalogUsers to use data-catalog-glossaries in compartment <compartment-name> where target.catalog.id = '<catalog-OCID>'

Pour plus d'informations sur la création de politiques, voir Politiques du service de catalogue de données.