Exemples de politiques
Voici quelques exemples de politiques pour le catalogue de données.
La syntaxe d'une politique se présente ainsi :
allow <subject> to <verb> <resource-type> in <location> where <conditions>Pour plus de détails, voir Syntaxe d'une politique. Pour plus d'informations sur la création de politiques, voir Fonctionnement des politiques, Informations de référence sur les politiques et Informations détaillées sur les politiques pour le stockage d'objets.
Vous pouvez créer des politiques pour définir la façon dont vous souhaitez que vos utilisateurs accèdent aux ressources du catalogue de données. Consultez le mappage des verbes et des autorisations du catalogue de données pour identifier le verbe qui répond à vos exigences d'accès.
Le verbe read pour data-catalogs couvre les mêmes autorisations et opérations d'API que le verbe inspect plus les autorisations CATALOG_READ, CATALOG_JOB_DEFINITION_READ, CATALOG_JOB_READ et CATALOG_WORK_REQUEST_READ ainsi que les opérations d'API qu'elles couvrent, telles que ListGlossaries, GetCatalog, etc.
Créez cette politique pour permettre à un groupe de voir la liste de tous les catalogues de données de la location :
allow group <group-name> to inspect data-catalogs in tenancyCréez cette politique pour permettre à un groupe d'effectuer toutes les opérations listées pour CATALOG_READ dans un compartiment spécifique :
allow group <group-name> to read data-catalogs in compartment <x>Le verbe manage inclut les mêmes autorisations et opérations d'API que le verbe use, plus les autorisations CATALOG_CREATE, CATALOG_DELETE et CATALOG_MOVE, qui incluent les opérations d'API CreateCatalog, DeleteCatalog et MoveCatalog respectivement.
Créez cette politique pour permettre à un groupe de gérer tous les catalogues de données dans un compartiment spécifique :
allow group <group-name> to manage data-catalog-family in compartment <x>Créez cette politique pour permettre à un groupe de gérer tous les catalogues de données, sans pourvoir les supprimer :
allow group <group-name> to manage data-catalog-family in compartment <x>
where request.permission !='CATALOG_DELETE'
Créez cette politique pour permettre à un groupe de gérer toutes les ressources dans un catalogue de données spécifié :
allow group <group-name> to manage data-catalog-family in tenancy
where target.catalog.id = 'ocid.datacatalog.oc1..<unique_ID>'Avant de créer des ressources de données de stockage d'objets, créez des politiques pour autoriser l'accès aux objets de données requis. Une fois ces politiques créées, lorsque vous collectez la ressource de données de stockage d'objets, seules les entités auxquelles votre instance de catalogue de données a accès sont listées. Vous pouvez sélectionner les objets de données à collecter dans la liste affichée.
Vous devez au minimum disposer de l'autorisation READ sur tous les types de ressource individuels objectstorage-namespaces, buckets et objects, ou sur le type de ressource agrégé object-family du service de stockage d'objets. Pour obtenir des instructions étape par étape, consultez le tutoriel Collecte à partir du service de stockage d'objets Oracle.
En tant que condition préalable, créez un groupe dynamique incluant l'OCID du catalogue de données spécifique en tant que ressource dans le groupe.
Exemple :
Any {resource.id = 'ocid.datacatalog.oc1..<unique_ID>'}Utilisez les politiques suivantes si votre instance de catalogue de données et le stockage d'objets se trouvent dans la même location :
Autoriser l'accès à une location
- Créez cette politique uniquement pour
root_compartmentafin d'autoriser l'accès à tout objet, dans n'importe quel seau, dans n'importe quel compartiment de la location. Comme la portée de cette politique est la location entière, un compartiment enfant n'aura pas accès au compartiment racine ou aux compartiments parents.allow dynamic-group <dynamic-group-name> to read object-family in tenancy
Autoriser l'accès à des seaux spécifiques
- Accéder à tout objet dans
bucketAoubucketBdans une locationallow dynamic group <dynamic-group-name> to read object-family in tenancy where any {target.bucket.name='bucketA', target.bucket.name='bucketB'} - Accéder à tout objet dans
bucketAoubucketBdans n'importe quel compartimentallow dynamic group <dynamic-group-name> to read object-family in compartment <compartment-name> where any {target.bucket.name='bucketA', target.bucket.name='bucketB'} - Accéder à n'importe quel objet dans
bucketAoubucketBdans n'importe quel compartiment à l'aide de l'OCID du compartimentallow dynamic group <dynamic-group-name> to read object-family in compartment id <compartment_ocid> where any {target.bucket.name='bucketA', target.bucket.name='bucketB'}Pour voir l'OCID du compartiment dans la console, ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Compartiments. Cliquez sur le lien du compartiment pour votre ressource de stockage d'objets. Dans la page Détails du compartiment, copiez l'OCID situé sous Informations sur le compartiment.
Autoriser l'accès à un compartiment spécifique
-
Accéder à n'importe quel seau dans un compartiment spécifique
allow dynamic-group <dynamic-group-name> to read object-family in compartment <compartment-name>Lorsque vous collectez une ressource de données de stockage d'objets, les entités de données de tous les seaux du compartiment spécifié sont listées. Vous pouvez ensuite sélectionner les objets de données dans ces seaux pour la collecte.
- Accéder à n'importe quel seau d'un compartiment à l'aide de l'OCID du compartiment
allow dynamic-group <dynamic-group-name> to read object-family in compartment id <compartment_ocid>Pour voir l'OCID du compartiment dans la console, ouvrez le menu de navigation et sélectionnez Identité et sécurité. Sous Identité, sélectionnez Compartiments. Cliquez sur le lien du compartiment pour votre ressource de stockage d'objets. Dans la page Détails du compartiment, copiez l'OCID situé sous Informations sur le compartiment.
Créez les politiques suivantes comme préalables si votre instance de catalogue de données et le service de stockage d'objets se trouvent dans des locations différentes.
Dans la location de catalogue :
- Définissez une location
tenancy-name1pour identifier l'OCID du stockage d'objets, puis endossez le groupe dynamiquedynamic-group-name1pour gérerobject-familydans<tenancy-name1>.Define tenancy <tenancy-name1> as <object-storage-tenancy-OCID> Endorse dynamic-group <dynamic-group-name1> to manage object-family in tenancy <tenancy-name1>
Dans la location de stockage d'objets :
- Définissez une location
tenancy-name2avec l'OCID de la location de catalogue. Définissezdynamic-group-name2avec l'OCID dedynamic-group-name1créé dans la location de catalogue, puis admettezdynamic-group-name2pour gérerobject-familydans la location de stockage d'objets.Define tenancy <tenancy-name2> as <catalog-tenancy-OCID> Define dynamic-group <dynamic-group-name2> as <dynamic-group-name1-OCID> Admit dynamic-group <dynamic-group-name2> of tenancy <tenancy-name2> to manage object-family in tenancy
Autoriser l'accès à des seaux spécifiques
Accès à des seaux spécifiques tels que BucketA ou BucketB dans un compartiment.
Dans la location de catalogue :
Define tenancy <tenancy-name2> as <object-storage-tenancy-OCID>
Endorse dynamic group <dynamic-group-name1> to manage object-family in compartment <compartmentA> where any {target.bucket.name='bucketA', target.bucket.name='bucketB'}Dans la location de stockage d'objets :
Define tenancy <tenancy-name1> as <catalog-tenancy-OCID>
Define dynamic-group <dynamic-group-name2> as <dynamic-group-name1-OCID>
Admit dynamic group <dynamic-group-name2> of tenancy <tenancy-name1> to manage object-family in compartment compartmentA where any {target.bucket.name='bucketA', target.bucket.name='bucketB'}De même, vous pouvez également accéder aux seaux d'un compartiment à l'aide de l'ID compartiment.
Autoriser l'accès à un compartiment spécifique
Accédez à n'importe quel seau d'un compartiment spécifique à l'aide du nom du compartiment.
Define tenancy <tenancy-name2> as <object-storage-tenancy-OCID>
Endorse dynamic group <dynamic-group-name1> to manage object-family in compartment <compartment-name>Define tenancy <tenancy-name1> as <catalog-tenancy-OCID>
Define dynamic group <dynamic-group-name2> as <dynamic-group-name1-OCID>
admit dynamic group <dynamic-group-name2> of tenancy <tenancy-name1> to manage object-family in compartment <compartment-name>Simiairement, vous pouvez accéder à n'importe quel seau d'un compartiment spécifique à l'aide de l'OCID du compartiment.
Pour que les utilisateurs du catalogue de données puissent configurer des réseaux privés, vous devez créer des politiques.
Créez cette politique pour permettre à un groupe d'effectuer toutes les actions sur les points d'extrémité privés du catalogue de données.
allow group <group-name> to manage data-catalog-private-endpoints in tenancyCréez cette politique pour permettre à un groupe d'effectuer toutes les opérations liées au réseau dans la location.
allow group <group-name> to manage virtual-network-family in tenancySi vous gérez la ressource de points d'extrémité privés du catalogue de données, il est également recommandé de disposer de l'autorisation de gestion des demandes de travail. Ainsi, vous pouvez consulter les journaux et les messages d'erreur rencontrés lors de l'utilisation des points d'extrémité privés.
allow group <group-name> to manage work-requests in tenancyCréez cette politique pour permettre à un groupe d'effectuer toutes les actions sur les points d'extrémité privés du catalogue de données, à l'exception de la suppression.
allow group <group-name> to manage data-catalog-private-endpoints in tenancy
where request.permission!='CATALOG_PRIVATE_ENDPOINT_DELETE'Vous pouvez créer des politiques pour définir la façon dont vous souhaitez que vos utilisateurs accèdent aux ressources du glossaire. Consultez le mappage des verbes et des autorisations du glossaire pour identifier le verbe qui répond à vos exigences d'accès. Par exemple, INSPECT permet aux utilisateurs de consulter la liste des glossaires disponibles et READ leur permet de voir les détails du glossaire et d'exporter celui-ci.
Créez cette politique pour permettre à un groupe d'effectuer toutes les opérations sur tous les glossaires, catégories et termes disponibles dans la location :
allow group <group-name> to manage data-catalog-glossaries in tenancyCréez cette politique pour permettre à un groupe de créer, mettre à jour et supprimer des termes, des catégories et des relations dans un glossaire spécifique :
allow group <group-name> to use data-catalog-glossaries in tenancy where target.glossary.key = '<glossary-key>'Vous pouvez copier la clé du glossaire requis à partir de la page de détails des glossaires de l'interface utilisateur.
Créez cette politique pour permettre à un groupe de consulter les glossaires et les détails des glossaires d'un compartiment spécifique :
allow group <group-name> to read data-catalog-glossaries in compartment <x>Créez cette politique pour permettre à un groupe de consulter la liste de tous les glossaires disponibles dans un catalogue de données spécifique de la location :
allow group <group-name> to inspect data-catalog-glossaries in tenancy where target.catalog.id = 'ocid.datacatalog.oc1..<unique_ID>'Vous pouvez créer des politiques pour définir la façon dont vous souhaitez que vos utilisateurs accèdent aux ressources de données. Consultez le mappage des verbes et des autorisations des ressources de données pour identifier le verbe qui répond à vos exigences d'accès. Par exemple, INSPECT permet aux utilisateurs de consulter la liste des ressources de données disponibles et READ leur permet de voir les détails des ressources de données.
Créez cette politique pour permettre à un groupe d'effectuer toutes les opérations sur toutes les ressources de données disponibles dans une location :
allow group <group-name> to manage data-catalog-data-assets in tenancyCréez cette politique pour permettre à un groupe d'utiliser une ressource de données spécifique dans une location :
allow group <group-name> to use data-catalog-data-assets in tenancy where target.data-asset.key='<data-asset-key>'Vous pouvez copier la clé de la ressource de données requise à partir de la page de détails des ressources de données de l'interface utilisateur.
Créez cette politique pour permettre à un groupe de consulter les détails (tels que les connexions, les dossiers, les entités de données, les attributs, etc.) de toutes les ressources de données disponibles dans un compartiment spécifique :
allow group <group-name> to read data-catalog-data-assets in compartment <x>Créez cette politique pour permettre à un groupe de consulter la liste des ressources de données disponibles dans un catalogue de données spécifique d'un compartiment donné :
allow group <group-name> to inspect data-catalog-data-assets in compartment <x> where target.catalog.id = 'ocid.datacatalog.oc1..<unique_ID>'Pour plus d'informations, voir Politiques GIA requises.
Empêcher les utilisateurs de supprimer des instances de catalogue de données
Créez cette politique pour permettre au groupe DataCatalogUsers d'exécuter toutes les actions sur les catalogues de données, sauf les supprimer.
allow group DataCatalogUsers to manage data-catalog-family in tenancy
where request.permission!='CATALOG_DELETE'