Documentation Oracle Cloud Infrastructure

Configuration de stratégies d'identité

Data Flow exige que des stratégies soient définies dans IAM pour accéder aux ressources afin de pouvoir gérer les adresses SQL.

Vous pouvez créer les stratégies manuellement. Pour plus d'informations sur le fonctionnement des stratégies IAM, reportez-vous à Identité et gestion d'accès. Pour plus d'informations sur les balises et les espaces de noms de balise à ajouter à vos stratégies, reportez-vous à Gestion des balises et des espaces de noms de balise.

Création manuelle de stratégies

Plutôt que d'utiliser les modèles IAM afin de créer des stratégies pour Data Flow, vous pouvez les créer vous-même dans le générateur de stratégies IAM.

Suivez les étapes de gestion des stratégies dans IAM avec des domaines d'identité ou sans domaines d'identité pour créer manuellement les stratégies suivantes :

Règles utilisateur

Appliquez des stratégies utilisateur dans IAM.

Pour les utilisateurs de type administration des adresses SQL :
  • Créez un groupe dans votre service d'identité appelé dataflow-sql-endpoints-admin et ajoutez des utilisateurs à ce groupe.
  • Créez une stratégie nommée dataflow-sql-endpoints-admin et ajoutez les instructions suivantes :
    ALLOW GROUP dataflow-sql-endpoints-admin TO MANAGE dataflow-sqlendpoint IN compartment <compartment-id>
ALLOW GROUP dataflow-sql-endpoints-admin TO INSPECT data-catalog-metastores IN compartment <compartment-id>
Pour tous les autres utilisateurs, qui sont uniquement autorisés à se connecter et à exécuter SQL via des adresses SQL :
  • Créez un groupe dans votre service d'identité appelé dataflow-sqlendpoint-users et ajoutez des utilisateurs à ce groupe.
  • Créez une stratégie nommée dataflow-sqlendpoint-users et ajoutez l'instruction suivante après avoir créé une adresse SQL :
    ALLOW GROUP dataflow-sqlendpoint-users TO USE dataflow-sqlendpoint IN compartment <compartment-id> WHERE target.dataflow-sqlendpoint.id = <sql-endpoint-ocid>
Fédération avec un fournisseur d'identités

Vous pouvez activer l'accès avec connexion unique aux clusters SQL Data Flow avec un fournisseur d'identités compatible SAML 2.0.

Si vous utilisez des systèmes SAML 2.0 de fédération d'identités, tels qu'Oracle Identity Cloud Service, Microsoft Active Directory, Okta ou tout autre fournisseur prenant en charge SAML 2.0, vous pouvez utiliser un nom utilisateur et un mot de passe sur de nombreux systèmes, y compris la console Oracle Cloud Infrastructure. Pour activer cette expérience d'accès avec connexion unique, l'administrateur de location (ou un autre utilisateur avec des privilèges égaux) doit configurer l'approbation de fédération dans IAM. Pour plus d'informations sur le fournisseur d'identités, reportez-vous à :

Lorsque vous avez configuré l'approbation de fédération, utilisez la console Oracle Cloud Infrastructure pour mettre en correspondance le groupe d'utilisateurs du fournisseur d'identités approprié avec le groupe d'utilisateurs Data Flow requis dans le service d'identité.

Stratégie de metastore

Les adresses SQL Data Flow doivent disposer de droits d'accès pour effectuer des actions au nom de l'utilisateur ou du groupe sur le metastore de la location.

Vous pouvez accorder l'accès aux adresses SQL de deux manières :
  • Créez une stratégie, dataflow-sqlendpoint-metastore, et ajoutez l'instruction suivante :
    ALLOW any-user to {CATALOG_METASTORE_EXECUTE} in tenancy where request.principal.type = 'dataflowsqlendpoint'
  • Créer un groupe dynamique:
    ALL {resource.compartment.id = '<compartment_id>'}
    et ajoutez la stratégie suivante :
    ALLOW DYNAMIC-GROUP <dynamic-group-name> to {CATALOG_METASTORE_EXECUTE, CATALOG_METASTORE_INSPECT, CATALOG_METASTORE_READ}
in tenancy WHERE ALL {request.principal.type='dataflowsqlendpoint'}
Remarque

Un seul metastore est autorisé par location.
Stratégies d'adresses privées

Vous avez besoin de stratégies pour utiliser des adresses SQL Data Flow avec des adresses privées.

Pour créer, modifier ou gérer des adresses privées, vous avez besoin des stratégies suivantes.
  • Pour permettre l'utilisation de virtual-network-family :
    ALLOW GROUP dataflow-sql-endpoint-admin TO USE virtual-network-family IN compartment <compartment-name>
  • Pour autoriser l'accès à des ressources plus spécifiques :
    ALLOW GROUP dataflow-sql-endpoint-admin TO MANAGE vnics IN compartment <compartment-name>
ALLOW GROUP dataflow-sql-endpoint-admin TO USE subnets IN compartment <compartment-name>
ALLOW GROUP dataflow-sql-endpoint-admin TO USE network-security-groups IN compartment <compartment-name>
  • Pour autoriser l'accès à des opérations spécifiques :
    ALLOW GROUP dataflow-sql-endpoint-admin TO MANAGE virtual-network-family IN compartment <compartment-name>
   WHERE any {request.operation='CreatePrivateEndpoint',
              request.operation='UpdatePrivateEndpoint',
              request.operation='DeletePrivateEndpoint'}

Bien que ces exemples accordent les stratégies à dataflow-sql-endpoint-admin, vous pouvez choisir d'accorder ces stratégies à un sous-ensemble d'utilisateurs. Ainsi, les utilisateurs qui peuvent effectuer des opérations sur des adresses privées sont limités.

Seuls les utilisateurs du groupe dataflow-sql-endpoint-admin peuvent créer des adresses SQL capables soit d'activer une configuration d'adresse privée, soit de rétablir la configuration réseau sur Internet. Pour connaître l'ensemble correct de privilèges, reportez-vous à Sécurité. Un utilisateur du groupe dataflow-sql-endpoint-users peut se connecter à une adresse SQL et exécuter SQL.
Remarque

Lorsqu'elles sont correctement configurées, les adresses privées peuvent accéder à un mélange de ressources privées sur le VCN et de ressources Internet. Fournissez la liste de ces ressources dans la section Zones DNS lorsque vous configurez une adresse privée.
Pour plus d'informations sur les adresses privées, reportez-vous à Configuration d'un réseau privé.