Exemples de politiques

Voici quelques exemples de politiques pour le catalogue de données.

La syntaxe d'une politique se présente ainsi :

allow <subject> to <verb> <resource-type> in <location> where <conditions>

Pour plus de détails, voir Syntaxe d'une politique. Pour plus d'informations sur la création de politiques, voir Fonctionnement des politiques, Informations de référence sur les politiques et Informations détaillées sur les politiques pour le stockage d'objets.

Exemples de politiques de catalogue de données

Vous pouvez créer des politiques pour définir la façon dont vous souhaitez que vos utilisateurs accèdent aux ressources du catalogue de données. Consultez le mappage des verbes et des autorisations du catalogue de données pour identifier le verbe qui répond à vos exigences d'accès.

Le verbe read pour data-catalogs couvre les mêmes autorisations et opérations d'API que le verbe inspect plus les autorisations CATALOG_READ, CATALOG_JOB_DEFINITION_READ, CATALOG_JOB_READ et CATALOG_WORK_REQUEST_READ ainsi que les opérations d'API qu'elles couvrent, telles que ListGlossaries, GetCatalog, etc.

Autoriser l'accès pour voir les catalogues de données dans la location

Créez cette politique pour permettre à un groupe de voir la liste de tous les catalogues de données de la location :

allow group <group-name> to inspect data-catalogs in tenancy
Autoriser l'accès à un compartiment spécifié

Créez cette politique pour permettre à un groupe d'effectuer toutes les opérations listées pour CATALOG_READ dans un compartiment spécifique :

allow group <group-name> to read data-catalogs in compartment <x>
Autoriser l'accès pour gérer les catalogues de données

Le verbe manage inclut les mêmes autorisations et opérations d'API que le verbe use, plus les autorisations CATALOG_CREATE, CATALOG_DELETE et CATALOG_MOVE, qui incluent les opérations d'API CreateCatalog, DeleteCatalog et MoveCatalog respectivement.

Créez cette politique pour permettre à un groupe de gérer tous les catalogues de données dans un compartiment spécifique :

allow group <group-name> to manage data-catalog-family in compartment <x>

Créez cette politique pour permettre à un groupe de gérer tous les catalogues de données, sans pourvoir les supprimer :

allow group <group-name> to manage data-catalog-family in compartment <x>
 where request.permission !='CATALOG_DELETE'

Créez cette politique pour permettre à un groupe de gérer toutes les ressources dans un catalogue de données spécifié :

allow group <group-name> to manage data-catalog-family in tenancy
 where target.catalog.id = 'ocid.datacatalog.oc1..<unique_ID>'
Exemples de politiques du service de stockage d'objets Oracle

Avant de créer des ressources de données de stockage d'objets, créez des politiques pour autoriser l'accès aux objets de données requis. Une fois ces politiques créées, lorsque vous collectez la ressource de données de stockage d'objets, seules les entités auxquelles votre instance de catalogue de données a accès sont listées. Vous pouvez sélectionner les objets de données à collecter dans la liste affichée.

Vous devez au minimum disposer de l'autorisation READ sur tous les types de ressource individuels objectstorage-namespaces, buckets et objects, ou sur le type de ressource agrégé object-family du service de stockage d'objets. Pour obtenir des instructions étape par étape, consultez le tutoriel Collecte à partir du service de stockage d'objets Oracle.

Exemples de politiques de principal de ressource

En tant que condition préalable, créez un groupe dynamique incluant l'OCID du catalogue de données spécifique en tant que ressource dans le groupe.

Exemple :

Any {resource.id = 'ocid.datacatalog.oc1..<unique_ID>'}
Autoriser l'accès à une location

Utilisez les politiques suivantes si votre instance de catalogue de données et le stockage d'objets se trouvent dans la même location :

Autoriser l'accès à une location

  • Créez cette politique uniquement pour root_compartment afin d'autoriser l'accès à tout objet, dans n'importe quel seau, dans n'importe quel compartiment de la location. Comme la portée de cette politique est la location entière, un compartiment enfant n'aura pas accès au compartiment racine ou aux compartiments parents.
    allow dynamic-group <dynamic-group-name> to read object-family in tenancy

Autoriser l'accès à des seaux spécifiques

  • Accéder à tout objet dans bucketA ou bucketB dans une location
    allow dynamic group <dynamic-group-name> to read object-family in tenancy 
    where any {target.bucket.name='bucketA', target.bucket.name='bucketB'}
  • Accéder à tout objet dans bucketA ou bucketB dans n'importe quel compartiment
    allow dynamic group <dynamic-group-name> to read object-family in compartment <compartment-name>
    where any {target.bucket.name='bucketA', target.bucket.name='bucketB'}
  • Accéder à n'importe quel objet dans bucketA ou bucketB dans n'importe quel compartiment à l'aide de l'OCID du compartiment
    allow dynamic group <dynamic-group-name> to read object-family in compartment id <compartment_ocid>
    where any {target.bucket.name='bucketA', target.bucket.name='bucketB'}

    Pour voir l'OCID du compartiment dans la console, ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Compartiments. Cliquez sur le lien du compartiment pour votre ressource de stockage d'objets. Dans la page Détails du compartiment, copiez l'OCID situé sous Informations sur le compartiment.

Autoriser l'accès à un compartiment spécifique

  • Accéder à n'importe quel seau dans un compartiment spécifique

    allow dynamic-group <dynamic-group-name> to read object-family in compartment <compartment-name>

    Lorsque vous collectez une ressource de données de stockage d'objets, les entités de données de tous les seaux du compartiment spécifié sont listées. Vous pouvez ensuite sélectionner les objets de données dans ces seaux pour la collecte.

  • Accéder à n'importe quel seau d'un compartiment à l'aide de l'OCID du compartiment
    allow dynamic-group <dynamic-group-name> to read object-family in compartment id <compartment_ocid>

    Pour voir l'OCID du compartiment dans la console, ouvrez le menu de navigation et sélectionnez Identité et sécurité. Sous Identité, sélectionnez Compartiments. Cliquez sur le lien du compartiment pour votre ressource de stockage d'objets. Dans la page Détails du compartiment, copiez l'OCID situé sous Informations sur le compartiment.

Autoriser l'accès à une autre location

Créez les politiques suivantes comme préalables si votre instance de catalogue de données et le service de stockage d'objets se trouvent dans des locations différentes.

Dans la location de catalogue :

  • Définissez une location tenancy-name1 pour identifier l'OCID du stockage d'objets, puis endossez le groupe dynamique dynamic-group-name1 pour gérer object-family dans <tenancy-name1>.
    Define tenancy <tenancy-name1> as <object-storage-tenancy-OCID>
    Endorse dynamic-group <dynamic-group-name1> to manage object-family in tenancy <tenancy-name1>

Dans la location de stockage d'objets :

  • Définissez une location tenancy-name2 avec l'OCID de la location de catalogue. Définissez dynamic-group-name2 avec l'OCID de dynamic-group-name1 créé dans la location de catalogue, puis admettez dynamic-group-name2 pour gérer object-family dans la location de stockage d'objets.
    Define tenancy <tenancy-name2> as <catalog-tenancy-OCID>
    Define dynamic-group <dynamic-group-name2> as <dynamic-group-name1-OCID>
    Admit dynamic-group <dynamic-group-name2> of tenancy <tenancy-name2> to manage object-family in tenancy

Autoriser l'accès à des seaux spécifiques

Accès à des seaux spécifiques tels que BucketA ou BucketB dans un compartiment.

Dans la location de catalogue :

Define tenancy <tenancy-name2> as <object-storage-tenancy-OCID>
Endorse dynamic group <dynamic-group-name1> to manage object-family in compartment <compartmentA> where any {target.bucket.name='bucketA', target.bucket.name='bucketB'}

Dans la location de stockage d'objets :

Define tenancy <tenancy-name1> as <catalog-tenancy-OCID>
Define dynamic-group <dynamic-group-name2> as <dynamic-group-name1-OCID>
Admit dynamic group <dynamic-group-name2> of tenancy <tenancy-name1> to manage object-family in compartment compartmentA where any {target.bucket.name='bucketA', target.bucket.name='bucketB'}

De même, vous pouvez également accéder aux seaux d'un compartiment à l'aide de l'ID compartiment.

Autoriser l'accès à un compartiment spécifique

Accédez à n'importe quel seau d'un compartiment spécifique à l'aide du nom du compartiment.

Dans la location de catalogue :
Define tenancy <tenancy-name2> as <object-storage-tenancy-OCID>
Endorse dynamic group <dynamic-group-name1> to manage object-family in compartment <compartment-name>
Dans la location de stockage d'objets :
Define tenancy <tenancy-name1> as <catalog-tenancy-OCID>
Define dynamic group <dynamic-group-name2> as <dynamic-group-name1-OCID>
admit dynamic group <dynamic-group-name2> of tenancy <tenancy-name1> to manage object-family in compartment <compartment-name>

Simiairement, vous pouvez accéder à n'importe quel seau d'un compartiment spécifique à l'aide de l'OCID du compartiment.

Exemples de politique de point d'extrémité privé

Pour que les utilisateurs du catalogue de données puissent configurer des réseaux privés, vous devez créer des politiques.

Autoriser les utilisateurs à gérer les points d'extrémité privés du catalogue de données

Créez cette politique pour permettre à un groupe d'effectuer toutes les actions sur les points d'extrémité privés du catalogue de données.

allow group <group-name> to manage data-catalog-private-endpoints in tenancy
Autoriser les utilisateurs à gérer les ressources de réseau

Créez cette politique pour permettre à un groupe d'effectuer toutes les opérations liées au réseau dans la location.

allow group <group-name> to manage virtual-network-family in tenancy
Autoriser les utilisateurs à consulter les messages d'erreur des points d'extrémité privés

Si vous gérez la ressource de points d'extrémité privés du catalogue de données, il est également recommandé de disposer de l'autorisation de gestion des demandes de travail. Ainsi, vous pouvez consulter les journaux et les messages d'erreur rencontrés lors de l'utilisation des points d'extrémité privés.

allow group <group-name> to manage work-requests in tenancy
Interdire aux utilisateurs de supprimer les points d'extrémité privés du catalogue de données

Créez cette politique pour permettre à un groupe d'effectuer toutes les actions sur les points d'extrémité privés du catalogue de données, à l'exception de la suppression.

allow group <group-name> to manage data-catalog-private-endpoints in tenancy
 where request.permission!='CATALOG_PRIVATE_ENDPOINT_DELETE'
Exemples de politiques du glossaire

Vous pouvez créer des politiques pour définir la façon dont vous souhaitez que vos utilisateurs accèdent aux ressources du glossaire. Consultez le mappage des verbes et des autorisations du glossaire pour identifier le verbe qui répond à vos exigences d'accès. Par exemple, INSPECT permet aux utilisateurs de consulter la liste des glossaires disponibles et READ leur permet de voir les détails du glossaire et d'exporter celui-ci.

Créez cette politique pour permettre à un groupe d'effectuer toutes les opérations sur tous les glossaires, catégories et termes disponibles dans la location :

allow group <group-name> to manage data-catalog-glossaries in tenancy

Créez cette politique pour permettre à un groupe de créer, mettre à jour et supprimer des termes, des catégories et des relations dans un glossaire spécifique :

allow group <group-name> to use data-catalog-glossaries in tenancy where target.glossary.key = '<glossary-key>'
Note

Vous pouvez copier la clé du glossaire requis à partir de la page de détails des glossaires de l'interface utilisateur.

Créez cette politique pour permettre à un groupe de consulter les glossaires et les détails des glossaires d'un compartiment spécifique :

allow group <group-name> to read data-catalog-glossaries in compartment <x>

Créez cette politique pour permettre à un groupe de consulter la liste de tous les glossaires disponibles dans un catalogue de données spécifique de la location :

allow group <group-name> to inspect data-catalog-glossaries in tenancy where target.catalog.id = 'ocid.datacatalog.oc1..<unique_ID>'
Exemples de politiques de ressource de données

Vous pouvez créer des politiques pour définir la façon dont vous souhaitez que vos utilisateurs accèdent aux ressources de données. Consultez le mappage des verbes et des autorisations des ressources de données pour identifier le verbe qui répond à vos exigences d'accès. Par exemple, INSPECT permet aux utilisateurs de consulter la liste des ressources de données disponibles et READ leur permet de voir les détails des ressources de données.

Créez cette politique pour permettre à un groupe d'effectuer toutes les opérations sur toutes les ressources de données disponibles dans une location :

allow group <group-name> to manage data-catalog-data-assets in tenancy

Créez cette politique pour permettre à un groupe d'utiliser une ressource de données spécifique dans une location :

allow group <group-name> to use data-catalog-data-assets in tenancy where target.data-asset.key='<data-asset-key>'
Note

Vous pouvez copier la clé de la ressource de données requise à partir de la page de détails des ressources de données de l'interface utilisateur.

Créez cette politique pour permettre à un groupe de consulter les détails (tels que les connexions, les dossiers, les entités de données, les attributs, etc.) de toutes les ressources de données disponibles dans un compartiment spécifique :

allow group <group-name> to read data-catalog-data-assets in compartment <x>

Créez cette politique pour permettre à un groupe de consulter la liste des ressources de données disponibles dans un catalogue de données spécifique d'un compartiment donné :

allow group <group-name> to inspect data-catalog-data-assets in compartment <x> where target.catalog.id = 'ocid.datacatalog.oc1..<unique_ID>'
Exemples de politiques de sécurité

Empêcher les utilisateurs de supprimer des instances de catalogue de données

Créez cette politique pour permettre au groupe DataCatalogUsers d'exécuter toutes les actions sur les catalogues de données, sauf les supprimer.

allow group DataCatalogUsers to manage data-catalog-family in tenancy
 where request.permission!='CATALOG_DELETE'