Configuration de politiques d'identité
Le service de flux de données nécessite que des politiques soient définies dans le service IAM pour accéder aux ressources afin de pouvoir gérer les points d'extrémité SQL.
Vous pouvez créer les politiques manuellement. Pour plus d'informations sur le fonctionnement des politiques IAM, voir Gestion des identités et des accès. Pour plus d'informations sur les marqueurs et les espaces de noms de marqueurs à ajouter à vos politiques, voir Gestion des balises et des espaces de noms de marqueurs.
Créer manuellement des politiques
Plutôt que d'utiliser les modèles GIA pour créer les politiques du service de flux de données, vous pouvez les créer vous-même dans le générateur de politiques GIA.
Pour créer manuellement les politiques suivantes, suivez les étapes décrites dans la section Gestion des politiques du service IAM avec des domaines d'identité ou sans domaines d'identité :
Appliquer les politiques des utilisateurs dans IAM.
- Créez un groupe dans votre service d'identité appelé
dataflow-sql-endpoints-adminet ajoutez des utilisateurs à ce groupe. - Créez une politique nommée
dataflow-sql-endpoints-adminet ajoutez les énoncés suivants :ALLOW GROUP dataflow-sql-endpoints-admin TO MANAGE dataflow-sqlendpoint IN compartment <compartment-id> ALLOW GROUP dataflow-sql-endpoints-admin TO INSPECT data-catalog-metastores IN compartment <compartment-id>
- Créez un groupe dans votre service d'identité appelé
dataflow-sqlendpoint-userset ajoutez des utilisateurs à ce groupe. - Créez une politique nommée
dataflow-sqlendpoint-userset ajoutez l'énoncé suivant après avoir créé un point d'extrémité SQL :ALLOW GROUP dataflow-sqlendpoint-users TO USE dataflow-sqlendpoint IN compartment <compartment-id> WHERE target.dataflow-sqlendpoint.id = <sql-endpoint-ocid>
Vous pouvez activer l'authentification unique pour les grappes SQL du service de flux de données avec un fournisseur d'identités conforme à SAML 2.0.
- Fédération avec le service Oracle Identity Cloud
- Fédération avec Microsoft Active Directory
- Fédération avec Microsoft Azure Active Directory
- Configuration du service Okta d'Oracle Cloud Infrastructure à des fins de fédération et de provisionnement (document technique)
- Fédération avec les fournisseurs d'identités SAML 2.0
Lorsque vous avez configuré l'approbation de fédération, utilisez la console Oracle Cloud Infrastructure pour mapper le groupe d'utilisateurs approprié du fournisseur d'identités au groupe requis d'utilisateurs du service de flux de données requis dans le service d'identité.
Les points d'extrémité SQL du service de flux de données doivent être autorisés à effectuer des actions au nom de l'utilisateur ou du groupe sur le magasin de métadonnées de la location.
- Créez une politique,
dataflow-sqlendpoint-metastore, et ajoutez l'énoncé suivant :ALLOW any-user to {CATALOG_METASTORE_EXECUTE} in tenancy where request.principal.type = 'dataflowsqlendpoint' - Créer un groupe dynamique :et ajoutez la politique suivante :
ALL {resource.compartment.id = '<compartment_id>'}ALLOW DYNAMIC-GROUP <dynamic-group-name> to {CATALOG_METASTORE_EXECUTE, CATALOG_METASTORE_INSPECT, CATALOG_METASTORE_READ} in tenancy WHERE ALL {request.principal.type='dataflowsqlendpoint'}
Un seul magasin de métadonnées est autorisé par location.
Vous avez besoin de politiques pour utiliser des points d'extrémité SQL du service de flux de données avec des points d'extrémité privés.
- Pour autoriser l'utilisation de virtual-network-family :
ALLOW GROUP dataflow-sql-endpoint-admin TO USE virtual-network-family IN compartment <compartment-name>
- Pour autoriser l'accès à des ressources plus spécifiques :
ALLOW GROUP dataflow-sql-endpoint-admin TO MANAGE vnics IN compartment <compartment-name> ALLOW GROUP dataflow-sql-endpoint-admin TO USE subnets IN compartment <compartment-name> ALLOW GROUP dataflow-sql-endpoint-admin TO USE network-security-groups IN compartment <compartment-name> - Pour autoriser l'accès à des opérations spécifiques :
ALLOW GROUP dataflow-sql-endpoint-admin TO MANAGE virtual-network-family IN compartment <compartment-name> WHERE any {request.operation='CreatePrivateEndpoint', request.operation='UpdatePrivateEndpoint', request.operation='DeletePrivateEndpoint'}
Bien que ces exemples accordent les politiques à dataflow-sql-endpoint-admin, vous pouvez choisir d'accorder ces politiques à un sous-ensemble d'utilisateurs. Cela limite les utilisateurs qui peuvent effectuer des opérations sur des points d'extrémité privés.
dataflow-sql-endpoint-admin peuvent créer des points d'extrémité SQL qui peuvent soit activer une configuration de point d'extrémité privé, soit revenir à la configuration de réseau Internet. Voir Sécurité pour le jeu de privilèges approprié. Un utilisateur du groupe dataflow-sql-endpoint-users peut se connecter à un point d'extrémité SQL et exécuter SQL.Lorsque la configuration est correcte, les points d'extrémité privés peuvent accéder à une combinaison de ressources privées sur le VCN et de ressources Internet. Indiquez une liste de ces ressources dans la section Zones DNS lorsque vous configurez un point d'extrémité privé.