Documentation sur Oracle Cloud Infrastructure

Configuration des politiques d'identité

Le service d'étiquetage de données nécessite que des politiques soient définies dans le service IAM pour accéder aux ressources permettant de gérer les jeux de données et les enregistrements d'étiquette.

Pour plus d'informations sur le fonctionnement des politiques IAM, voir la documentation sur le service IAM sans domaines d'identité ou sur le service IAM avec domaines d'identité.

Pour plus d'informations sur les marqueurs et les espaces de noms de marqueurs à ajouter à vos politiques, voir Gestion des marqueurs et des espaces de noms de marqueurs.

Configuration des politiques d'utilisateur

Créez des politiques dans le service de gestion des identités et des accès (GIA) pour vos utilisateurs du service d'étiquetage de données afin que le service fonctionne correctement.

  1. Créez un groupe pour vos utilisateurs.
  2. Ajoutez vos utilisateurs à ce groupe.
  3. Créez un groupe dynamique en utilisant la règle suivante : 
    ALL { resource.type = 'datalabelingdataset'}
  4. Créez une politique dans le compartiment racine pour les utilisateurs non administrateurs : 
    allow group <group-name> to read buckets in compartment <compartment-name>
allow group <group-name> to manage objects in compartment <compartment-name>
allow group <group-name> to read objectstorage-namespaces in compartment <compartment-name>
allow group <group-name> to manage data-labeling-family in compartment <compartment-name>
  5. Créez une politique dans le compartiment racine du groupe dynamique : 
    allow dynamic-group <dynamic-group-name> to read buckets in compartment <compartment-name>
allow dynamic-group <dynamic-group-name> to read objects in compartment <compartment-name>
allow dynamic-group <dynamic-group-name> to manage objects in compartment <compartment-name> where any {request.permission='OBJECT_CREATE', request.permission='OBJECT_OVERWRITE'}
  6. (Facultatif) Gérez votre location le cas échéant, notamment en limitant l'accès à un compartiment spécifique. Pour plus d'informations, voir étapes de gestion de votre location.
  7. (Facultatif) Gérez votre compartiment selon les besoins.

Configuration de politiques interlocations

Suivez ces étapes pour configurer des politiques interlocations dans le service Étiquetage de données.

Une politique interlocation vous permet de partager des ressources avec des utilisateurs d'une autre location. Par exemple, vous pouvez écrire des politiques interlocation qui permettent à vos utilisateurs d'un groupe IAM dans la location source d'effectuer des opérations sur des jeux de données dans la location de destination. Pour plus d'informations sur les politiques interlocations, voir Accès aux ressources de stockage d'objets entre des locations.

Dans l'exemple suivant, les utilisateurs sous le groupe group-name dans la location source-tenancy souhaitent utiliser la fonctionnalité Étiquetage de données dans une location différente, appelée destination-tenancy.

  1. Créez un groupe dans source-tenancy et ajoutez-y des utilisateurs.
  2. Ajoutez les politiques suivantes dans source-tenancy, de sorte que group-name soit endossé et puisse gérer le jeu de données dans destination-tenancy : 
    DEFINE tenancy destination-tenancy AS <destination-tenancy-ocid>
ENDORSE group group-name TO manage data-labeling-family IN tenancy destination-tenancy
  3. Dans destination-tenancy, ajoutez des énoncés de politique qui permettent à group-name de fonctionner sur le jeu de données : 
    DEFINE tenancy source-tenancy AS <source-tenancy-ocid>
DEFINE group group-name AS <source-tenancy-group-ocid>
ADMIT group group-name OF tenancy source-tenancy TO manage data-labeling-family IN tenancy
  4. (Facultatif) Vous pouvez ajouter une politique pour limiter l'accès à un compartiment spécifique dans destination-tenancy. Dans cet exemple, le compartiment est appelé dataset-compartment : 
    DEFINE tenancy source-tenancy AS <source-tenancy-ocid>
DEFINE group group-name AS <source-tenancy-group-ocid>
ADMIT group group-name OF tenancy source-tenancy TO manage data-labeling-family IN compartment dataset-compartment
  5. (Facultatif) Si le seau est présent dans destination-tenancy, vous devez alors également ajouter des politiques interlocations pour les ressources du service de stockage d'objets. Ajoutez les énoncés de politique suivants pour permettre au groupe group-name d'accéder aux ressources du service de stockage d'objets dans destination-tenancy :
    Dans source-tenancy, ajoutez :
    ENDORSE group group-name to read buckets in tenancy destination-tenancy
ENDORSE group group-name to manage objects in tenancy destination-tenancy
ENDORSE group group-name to read objectstorage-namespaces in tenancy destination-tenancy
    Dans destination-tenancy, ajoutez : 
    ADMIT group group-name of tenancy source-tenancy to read buckets in tenancy
ADMIT group group-name of tenancy source-tenancy to manage objects in tenancy
ADMIT group group-name of tenancy source-tenancy to read objectstorage-namespaces in tenancy
    Pour plus d'informations sur l'écriture de politiques interlocations pour , voir Accès aux ressources de stockage d'objets entre des locations.

Configuration de politiques interlocations pour associer le jeu de données à un seau du service Stockage d'objets

Si le jeu de données du service Étiquetage de données est créé dans une location différente du seau du service Stockage d'objets, vous devez disposer d'une politique pour associer le jeu de données et le seau.

Pour l'accès interlocation, l'un des trois scénarios suivants, qui nécessitent une politique d'association, peut se produire.

  1. L'utilisateur et le seau du service Stockage d'objets se trouvent dans la même location (dans cet exemple, la location A) et le jeu de données se trouve dans une location différente (dans cet exemple, la location B).
    1. Ajoutez la politique suivante dans la location A :
      define tenancy B as <tenancy-B-ocid> 
endorse group Group-A associate buckets in tenancy with data-labeling-datasets in tenancy B
    2. Ajoutez la politique suivante dans la location B :
      define tenancy A as <tenancy-A-ocid>
define group Group-A as <Group-A-ocid>
Admit group Group-B of tenancy A associate buckets in tenancy A with data-labeling-datasets in tenancy
  2. L'utilisateur et le jeu de données se trouvent dans la même location (dans cet exemple, la location A) et le seau se trouve dans une location différente (dans cet exemple, la location B).
    1. Ajoutez la politique suivante dans la location A :
      define tenancy B as <tenancy-B-ocid> 
endorse group Group-A associate buckets in tenancy B with data-labeling-datasets in tenancy
    2. Ajoutez la politique suivante dans la location B :
      define tenancy A as <tenancy-A-ocid>
define group Group-A as <Group-A-ocid>
Admit group Group-A of tenancy A associate buckets in tenancy with data-labeling-datasets in tenancy A
  3. L'utilisateur se trouve dans une location (dans cet exemple, la location A), le jeu de données se trouve dans une autre location (dans cet exemple, la location B) et le compartiment se trouve dans une troisième location (dans cet exemple, la location C).
    1. Ajoutez la politique suivante dans la location A :
      define tenancy B as <tenancy-B-ocid> 
define tenancy C as <tenancy-C-ocid> 
endorse group Group-A associate buckets in tenancy C with data-labeling-datasets in tenancy B
    2. Ajoutez la politique suivante dans la location B :
      define tenancy A as <tenancy-A-ocid>
define tenancy C as <tenancy-C-ocid>
define group Group-A as <Group-A-ocid>
Admit group Group-A of tenancy A associate buckets in tenancy C with data-labeling-datasets in tenancy
    3. Ajoutez la politique suivante dans la location C :
      define tenancy A as <tenancy-A-ocid>
define tenancy B as <tenancy-B-ocid>
define group Group-A as <Group-A-ocid>
Admit group Group-A of tenancy A associate buckets in tenancy with data-labeling-datasets in tenancy B