Politiques pour le service d'intégration de données

Utilisez le service Oracle Cloud Infrastructure Identity and Access Management (IAM) avec des domaines d'identité pour créer des politiques.

Par défaut, seuls les utilisateurs du groupe Administrators peuvent accéder à toutes les ressources et fonctions du service d'intégration de données. Pour contrôler l'accès des utilisateurs non administrateurs aux ressources et fonctions du service d'intégration de données, créez des groupes IAM, puis écrivez des politiques qui accordent à ces groupes l'accès approprié.

Les pages suivantes fournissent des exemples de politiques que vous pouvez utiliser :

Exemples de politique

Les pages suivantes fournissent plus d'informations sur l'écriture de politiques :

Aperçu de la syntaxe d'une politique

La syntaxe globale d'un énoncé de politique est la suivante :

allow <subject> to <verb> <resource-type> in <location> where <condition>

Par exemple, vous pouvez spécifier :

Un groupe ou un groupe dynamique par nom ou OCID comme <subject>. Vous pouvez également utiliser any-user pour couvrir tous les utilisateurs de la location.
inspect, read, use et manage comme <verb> pour accorder à <subject> l'accès à une ou plusieurs autorisations.

Lorsque vous passez de inspect > read > use > manage, le niveau d'accès augmente en général et les autorisations accordées sont cumulatives. Par exemple, use inclut read et la possibilité de mettre à jour.
Une famille de ressources comme virtual-network-family pour resource-type. Vous pouvez également spécifier une ressource individuelle d'une famille telle que vcns et subnets.
Un compartiment par nom ou OCID comme <location>. Vous pouvez également utiliser tenancy pour couvrir l'ensemble de la location.
Une ou plusieurs conditions dans <condition>, qui doivent être remplies pour que l'accès soit accordé. Pour plusieurs conditions, vous pouvez utiliser any ou all.

Une condition est constituée d'une ou plusieurs variables. Une variable peut être pertinente pour la demande elle-même (par exemple, request.operation) ou pour la ressource faisant l'objet d'une action dans la demande (par exemple, target.workspace.id). Par exemple, pour permettre à un groupe de gérer un espace de travail particulier et aucun autre espace de travail :
```
allow group <group-name> to manage dis-workspaces in compartment <compartment-name> where target.workspace.id = '<workspace-ocid>'
```
Ou, pour permettre à un groupe de gérer toutes les ressources du service d'intégration de données, sauf supprimer les espaces de travail :
```
allow group <group-name> to manage dis-family in compartment <compartment-name> where request.permission != 'DIS_WORKSPACE_DELETE'
```

Pour plus de détails, voir Syntaxe de politique.

Pour plus d'informations sur la création de politiques, voir Fonctionnement des politiques et Informations de référence sur les politiques.

Types de ressource

Le service d'intégration de données offre des types de ressource agrégée et individuelle pour l'écriture de politiques.

Vous pouvez utiliser des types de ressource agrégée pour réduire le nombre de politiques à rédiger. Par exemple, au lieu de permettre à un groupe de gérer dis-workspaces et dis-work-requests, vous pouvez définir une politique autorisant le groupe à gérer le type de ressource agrégée dis-family.


Type de ressource agrégé	Types de ressource individuels
`dis-family`	`dis-workspaces` `dis-work-requests`

Les API couvertes pour le type de ressource agrégée dis-family sont couvertes pour dis-workspaces et dis-work-requests. Par exemple,

allow group dis-admins to manage dis-family in compartment <compartment_name>

est identique aux deux politiques suivantes :

allow group dis-admins to manage dis-workspaces in compartment <compartment_name>
allow group dis-admins to manage dis-work-requests in compartment <compartment_name>

Variables prises en charge

Pour ajouter des conditions aux politiques, vous pouvez utiliser des variables Oracle Cloud Infrastructure générales ou des variables propres à des services.

Le service d'intégration de données prend en charge toutes les variables générales (voir Variables générales pour toutes les demandes).

Le tableau suivant répertorie les variables de type de ressource que vous pouvez utiliser.


Opérations pour ce type de ressource..	Peut utiliser ces variables..	Type de variable	Commentaires
`dis-workspace`	`target.workspace.id`	Entité (OCID)	Non disponible pour utilisation avec `CreateWorkspace`


Opérations pour ce chemin d'API..	Peut utiliser ces variables..	Type de variable	Commentaires
`/workspaces/{workspaceId}/applications/{applicationKey}/*`	`target.application.key`	Entité (clé)	Non disponible avec `ListApplications`, `CreateApplication`
`/workspaces/{workspaceId}/applications`	`source.workspace.id` `source.application.key`	Entité (clé)	Disponible uniquement pour utilisation avec `CreateApplication`. Non disponible avec `ListApplications`, `GetApplication`, `UpdateApplication` ou `DeleteApplication`.
`/workspaces/{workspaceId}/projects/{projectKey}/*`	`target.object.key`	Entité (clé)
`/workspaces/{workspaceId}/folders/{folderKey}/*`	`target.object.key` `target.folder.key`	Entité (clé)	`target.folder.key` disponible uniquement pour utilisation avec `CreateFolder`
`/workspaces/{workspaceId}/dataflows/{dataflowKey}/*`	`target.object.key` `target.folder.key`	Entité (clé)	`target.folder.key` disponible uniquement pour utilisation avec `CreateDataflow`, `UpdateDataflow`
`/workspaces/{workspaceId}/tasks/{dataflowKey}/*`	`target.object.key` `target.folder.key`	Entité (clé)	`target.folder.key` disponible uniquement pour utilisation avec `CreateTask`, `UpdateTask`
`/workspaces/{workspaceId}/dataAssets/{dataAssetKey}/*`	`target.object.key`	Entité (clé)
`/workspaces/{workspaceId}/connections/{connectionKey}/*`	`target.object.key` `target.folder.key`	Entité (clé)	`target.folder.key` disponible uniquement pour utilisation avec `CreateConnection`, `UpdateConnection`
`/workspaces/{workspaceId}/pipelines/{pipelineKey}/*`	`target.object.key` `target.folder.key`	Entité (clé)	`target.folder.key` disponible uniquement pour utilisation avec `CreatePipeline`, `UpdatePipeline`

Détails pour les combinaisons Verbes + Type de ressource

Utilisez des verbes et des types de ressource Oracle Cloud Infrastructure lors de la création d'une politique.

Les tableaux suivants présentent les autorisations et les opérations d'API couvertes par chaque verbe pour le service d'intégration de données. Le niveau d'accès est cumulatif au fur et à mesure que vous progressez depuis inspect à read, use et manage. Un signe plus (+) dans une cellule de tableau indique un accès incrémentiel par rapport à la cellule directement au-dessus, alors que la mention "aucun accès supplémentaire" indique qu'il n'y a aucun accès incrémentiel.

dis-work-requests


Autorisation	API entièrement couvertes
INSPECT
DIS_WORK_REQUEST_INSPECT	`ListWorkRequests`
	`ListWorkRequestErrors`
	`ListWorkRequestLogs`
READ
INSPECT +	INSPECT +
DIS_WORK_REQUEST_READ	`GetWorkRequest`
USE
aucun accès supplémentaire	aucun accès supplémentaire
MANAGE
aucun accès supplémentaire	aucun accès supplémentaire

Note

Chaque autorisation pour dis-work-requests couvre entièrement une ou plusieurs API. Il n'existe pas d'API partiellement couvertes pour les autorisations dis-work-requests.

dis-workspaces


Autorisation	API entièrement couvertes
INSPECT
DIS_WORKSPACE_INSPECT	`ListWorkspaces`
DIS_WORKSPACE_OBJECT_INSPECT	`ListProjects`
	`ListFolders`
	`ListDataFlows`
	`ListTasks`
	`ListTaskValidations`
	`ListApplications`
	`ListPublishedObjects`
	`ListDependentObjects`
	`ListTaskRuns`
	`ListTaskRunLogs`
	`ListDataAssets`
	`ListConnections`
	`ListSchemas`
	`ListDataEntities`
	`ListConnectionValidation`
	`ListDataFlowValidations`
	`ListExternalPublications`
	`ListExternalPublicationValidations`
	`ListReferences`
	`ListPatchChanges`
	`ListPipelines`
	`ListSchedules`
	`ListTaskSchedules`
READ
INSPECT +	INSPECT +
DIS_WORKSPACE_READ	`GetWorkspace`
DIS_WORKSPACE_OBJECT_READ	`GetCountStatistic`
	`GetProject`
	`GetFolder`
	`GetDataFlow`
	`GetTask`
	`GetTaskValidation`
	`GetApplication`
	`GetPatch`
	`GetPublishedObject`
	`GetDependentObject`
	`GetTaskRun`
	`GetDataAsset`
	`GetConnection`
	`GetSchema`
	`GetDataEntity`
	`GetConnectionValidation`
	`GetDataFlowValidation`
	`GetExternalPublication`
	`GetExternalPublicationValidation`
	`GetReference`
	`GetPipeline`
	`GetSchedule`
	`GetTaskSchedule`
USE
READ +	READ +
DIS_WORKSPACE_EXECUTE	`ExecuteTask`
DIS_WORKSPACE_UPDATE	`UpdateWorkspace`
DIS_WORKSPACE_OBJECT_EXECUTE	`CreateTaskRun`
DIS_WORKSPACE_OBJECT_EXECUTE	`UpdateTaskRun`
DIS_WORKSPACE_OBJECT_UPDATE	`UpdateProject`
	`UpdateFolder`
	`UpdateDataFlow`
	`UpdateTask`
	`UpdateApplication`
	`UpdateDataAsset`
	`UpdateConnection`
	`UpdateReference`
	`UpdateExternalPublication`
	`UpdatePipeline`
	`UpdateSchedule`
	`UpdateTaskSchedule`
DIS_WORKSPACE_OBJECT_CREATE	`CreateProject`
	`CreateFolder`
	`CreateDataFlow`
	`CreateTask`
	`CreateTaskValidation`
	`CreatePatch`
	`CreateApplication`
	`CreateDataAsset`
	`CreateConnection`
	`CreateEntityShape`
	`CreateConnectionValidation`
	`CreateDataFlowValidation`
	`CreateExternalPublication`
	`CreateExternalPublicationValidation`
	`CreatePipeline`
	`CreateSchedule`
	`CreateTaskSchedule`
DIS_WORKSPACE_OBJECT_DELETE	`DeleteProject`
	`DeleteFolder`
	`DeleteDataFlow`
	`DeleteTask`
	`DeleteTaskValidation`
	`DeleteApplication`
	`DeletePatch`
	`DeleteTaskRun`
	`DeleteDataAsset`
	`DeleteConnection`
	`DeleteConnectionValidation`
	`DeleteDataFlowValidation`
	`DeleteExternalPublication`
	`DeleteExternalPublicationValidation`
	`DeletePipeline`
	`DeleteSchedule`
	`DeleteTaskSchedule`
MANAGE
USE +	USE +
DIS_WORKSPACE_CREATE	`CreateWorkspace`
DIS_WORKSPACE_DELETE	`DeleteWorkspace`
DIS_WORKSPACE_MOVE	`ChangeCompartment`
DIS_WORKSPACE_START	`StartWorkspace`
DIS_WORKSPACE_STOP	`StopWorkspace`

Note

Chaque autorisation pour dis-workspaces couvre entièrement une API. Il n'existe pas d'API partiellement couvertes pour les autorisations dis-workspaces.

Autorisations requises pour chaque opération d'API

Le tableau liste les opérations d'API du service d'intégration de données dans un ordre logique, regroupées par type de ressource, ainsi que les autorisations requises pour les types de ressource dis-workspaces et dis-work-requests.

Pour plus d'informations sur les autorisations, voir Autorisations.

Autorisations requises
Opération d'API	Autorisations
`ListWorkspaces`	DIS_WORKSPACE_INSPECT
`GetWorkspace`	DIS_WORKSPACE_READ
`UpdateWorkspace`	DIS_WORKSPACE_UPDATE
`DeleteWorkspace`	DIS_WORKSPACE_DELETE
`CreateWorkspace`	DIS_WORKSPACE_CREATE
`ChangeCompartment`	DIS_WORKSPACE_MOVE
`StartWorkspace`	DIS_WORKSPACE_START
`StopWorkspace`	DIS_WORKSPACE_STOP
`ListWorkRequests`	DIS_WORK_REQUEST_INSPECT
`GetWorkRequest`	DIS_WORK_REQUEST_READ
`ListWorkRequestErrors`	DIS_WORK_REQUEST_INSPECT
`ListWorkRequestLogs`	DIS_WORK_REQUEST_INSPECT
`GetCountStatistic`	DIS_WORKSPACE_OBJECT_READ
`ListProjects`	DIS_WORKSPACE_OBJECT_INSPECT
`CreateProject`	DIS_WORKSPACE_OBJECT_CREATE
`GetProject`	DIS_WORKSPACE_OBJECT_READ
`UpdateProject`	DIS_WORKSPACE_OBJECT_UPDATE
`DeleteProject`	DIS_WORKSPACE_OBJECT_DELETE
`ListFolders`	DIS_WORKSPACE_OBJECT_INSPECT
`CreateFolder`	DIS_WORKSPACE_OBJECT_CREATE
`GetFolder`	DIS_WORKSPACE_OBJECT_READ
`UpdateFolder`	DIS_WORKSPACE_OBJECT_UPDATE
`DeleteFolder`	DIS_WORKSPACE_OBJECT_DELETE
`ListDataFlows`	DIS_WORKSPACE_OBJECT_INSPECT
`CreateDataFlow`	DIS_WORKSPACE_OBJECT_CREATE
`GetDataFlow`	DIS_WORKSPACE_OBJECT_READ
`UpdateDataFlow`	DIS_WORKSPACE_OBJECT_UPDATE
`DeleteDataFlow`	DIS_WORKSPACE_OBJECT_DELETE
`ListTasks`	DIS_WORKSPACE_OBJECT_INSPECT
`CreateTask`	DIS_WORKSPACE_OBJECT_CREATE
`GetTask`	DIS_WORKSPACE_OBJECT_READ
`UpdateTask`	DIS_WORKSPACE_OBJECT_UPDATE
`DeleteTask`	DIS_WORKSPACE_OBJECT_DELETE
`CreateTaskValidation`	DIS_WORKSPACE_OBJECT_CREATE
`ListTaskValidations`	DIS_WORKSPACE_OBJECT_INSPECT
`GetTaskValidations`	DIS_WORKSPACE_OBJECT_READ
`DeleteTaskValidation`	DIS_WORKSPACE_OBJECT_DELETE
`ListApplications`	DIS_WORKSPACE_OBJECT_INSPECT
`CreateApplication`	DIS_WORKSPACE_OBJECT_CREATE
`GetApplication`	DIS_WORKSPACE_OBJECT_READ
`UpdateApplication`	DIS_WORKSPACE_OBJECT_UPDATE
`DeleteApplication`	DIS_WORKSPACE_OBJECT_DELETE
`ListPatches`	DIS_WORKSPACE_OBJECT_INSPECT
`CreatePatch`	DIS_WORKSPACE_OBJECT_CREATE
`GetPatch`	DIS_WORKSPACE_OBJECT_READ
`DeletePatch`	DIS_WORKSPACE_OBJECT_DELETE
`ListPatchChanges`	DIS_WORKSPACE_OBJECT_INSPECT
`ListPublishedObjects`	DIS_WORKSPACE_OBJECT_INSPECT
`GetPublishedObject`	DIS_WORKSPACE_OBJECT_READ
`ListDependentObjects`	DIS_WORKSPACE_OBJECT_INSPECT
`GetDependenObject`	DIS_WORKSPACE_OBJECT_READ
`ListTaskRuns`	DIS_WORKSPACE_OBJECT_INSPECT
`CreateTaskRun`	DIS_WORKSPACE_OBJECT_EXECUTE
`GetTaskRun`	DIS_WORKSPACE_OBJECT_READ
`UpdateTaskRun`	DIS_WORKSPACE_OBJECT_UPDATE
`DeleteTaskRun`	DIS_WORKSPACE_OBJECT_DELETE
`ListTaskRunLogs`	DIS_WORKSPACE_OBJECT_INSPECT
`CreateDataAsset`	DIS_WORKSPACE_OBJECT_CREATE
`ListDataAssets`	DIS_WORKSPACE_OBJECT_INSPECT
`GetDataAsset`	DIS_WORKSPACE_OBJECT_READ
`UpdateDataAsset`	DIS_WORKSPACE_OBJECT_UPDATE
`DeleteDataAsset`	DIS_WORKSPACE_OBJECT_DELETE
`CreateConnection`	DIS_WORKSPACE_OBJECT_CREATE
`ListConnections`	DIS_WORKSPACE_OBJECT_INSPECT
`GetConnection`	DIS_WORKSPACE_OBJECT_READ
`UpdateConnection`	DIS_WORKSPACE_OBJECT_UPDATE
`DeleteConnection`	DIS_WORKSPACE_OBJECT_DELETE
`GetSchema`	DIS_WORKSPACE_OBJECT_READ
`ListSchemas`	DIS_WORKSPACE_OBJECT_INSPECT
`ListDataEntities`	DIS_WORKSPACE_OBJECT_INSPECT
`CreateEntityShape`	DIS_WORKSPACE_OBJECT_CREATE
`GetDataEntity`	DIS_WORKSPACE_OBJECT_READ
`CreateConnectionValidation`	DIS_WORKSPACE_OBJECT_CREATE
`ListConnectionValidations`	DIS_WORKSPACE_OBJECT_INSPECT
`GetConnectionValidation`	DIS_WORKSPACE_OBJECT_READ
`DeleteConnectionValidation`	DIS_WORKSPACE_OBJECT_DELETE
`CreateDataFlowValidation`	DIS_WORKSPACE_OBJECT_CREATE
`ListDataFlowValidations`	DIS_WORKSPACE_OBJECT_INSPECT
`GetDataFlowValidation`	DIS_WORKSPACE_OBJECT_READ
`DeleteDataFlowValiation`	DIS_WORKSPACE_OBJECT_DELETE
`ListReferences`	DIS_WORKSPACE_OBJECT_INSPECT
`GetReference`	DIS_WORKSPACE_OBJECT_READ
`UpdateReference`	DIS_WORKSPACE_OBJECT_UPDATE
`ListExternalPublications`	DIS_WORKSPACE_OBJECT_INSPECT
`CreateExternalPublication`	DIS_WORKSPACE_OBJECT_CREATE
`GetExternalPublication`	DIS_WORKSPACE_OBJECT_READ
`UpdateExternalPublication`	DIS_WORKSPACE_OBJECT_UPDATE
`DeleteExternalPublication`	DIS_WORKSPACE_OBJECT_DELETE
`ListExternalPublicationValidations`	DIS_WORKSPACE_OBJECT_INSPECT
`CreateExternalPublicationValidation`	DIS_WORKSPACE_OBJECT_CREATE
`GetExternalPublicationValidation`	DIS_WORKSPACE_OBJECT_READ
`DeleteExternalPublicationValidation`	DIS_WORKSPACE_OBJECT_DELETE
`ListPipelines`	DIS_WORKSPACE_OBJECT_INSPECT
`GetPipeline`	DIS_WORKSPACE_OBJECT_READ
`UpdatePipeline`	DIS_WORKSPACE_OBJECT_UPDATE
`CreatePipeline`	DIS_WORKSPACE_OBJECT_CREATE
`DeletePipeline`	DIS_WORKSPACE_OBJECT_DELETE
`ListSchedules`	DIS_WORKSPACE_OBJECT_INSPECT
`GetSchedule`	DIS_WORKSPACE_OBJECT_READ
`UpdateSchedule`	DIS_WORKSPACE_OBJECT_UPDATE
`CreateSchedule`	DIS_WORKSPACE_OBJECT_CREATE
`DeleteSchedule`	DIS_WORKSPACE_OBJECT_DELETE
`ListTaskSchedules`	DIS_WORKSPACE_OBJECT_INSPECT
`GetTaskSchedule`	DIS_WORKSPACE_OBJECT_READ
`UpdateTaskSchedule`	DIS_WORKSPACE_OBJECT_UPDATE
`CreateTaskSchedule`	DIS_WORKSPACE_OBJECT_CREATE
`DeleteTaskSchedule`	DIS_WORKSPACE_OBJECT_DELETE
`CreateExportRequest`	DIS_WORKSPACE_OBJECT_EXPORT
`GetExportRequest`	DIS_WORKSPACE_OBJECT_READ
`ListExportRequests`	DIS_WORKSPACE_OBJECT_INSPECT
`UpdateExportRequest`	DIS_WORKSPACE_OBJECT_UPDATE
`DeleteExportRequest`	DIS_WORKSPACE_OBJECT_DELETE
`CreateImportRequest`	DIS_WORKSPACE_OBJECT_IMPORT
`GetImportRequest`	DIS_WORKSPACE_OBJECT_READ
`ListImportRequests`	DIS_WORKSPACE_OBJECT_INSPECT
`UpdateImportRequest`	DIS_WORKSPACE_OBJECT_UPDATE
`DeleteImportRequest`	DIS_WORKSPACE_OBJECT_DELETE