Documentation Oracle Cloud Infrastructure

Configuration des stratégies d'identité

Data Labeling nécessite la définition de stratégies dans IAM pour accéder aux ressources permettant de gérer les ensembles de données et les enregistrements de libellé.

Pour plus d'informations sur le fonctionnement des stratégies IAM, reportez-vous à la documentation sur IAM sans domaine d'identité ou IAM avec domaine d'identité.

Pour plus d'informations sur les balises et les espaces de noms de balise à ajouter à vos stratégies, reportez-vous à Gestion des balises et des espaces de noms de balise.

Configuration des stratégies utilisateur

Créez des stratégies dans IAM pour vos utilisateurs Data Labeling, afin que le service fonctionne correctement.

  1. Créez un groupe pour vos utilisateurs.
  2. Ajoutez vos utilisateurs à ce groupe.
  3. Créez un groupe dynamique avec la règle suivante : 
    ALL { resource.type = 'datalabelingdataset'}
  4. Créez une stratégie dans le compartiment racine pour les utilisateurs autres que les administrateurs : 
    allow group <group-name> to read buckets in compartment <compartment-name>
allow group <group-name> to manage objects in compartment <compartment-name>
allow group <group-name> to read objectstorage-namespaces in compartment <compartment-name>
allow group <group-name> to manage data-labeling-family in compartment <compartment-name>
  5. Créez une stratégie dans le compartiment racine pour le groupe dynamique : 
    allow dynamic-group <dynamic-group-name> to read buckets in compartment <compartment-name>
allow dynamic-group <dynamic-group-name> to read objects in compartment <compartment-name>
allow dynamic-group <dynamic-group-name> to manage objects in compartment <compartment-name> where any {request.permission='OBJECT_CREATE', request.permission='OBJECT_OVERWRITE'}
  6. (Facultatif) Gérez votre location selon vos besoins, en limitant notamment l'accès à un compartiment spécifique. Pour plus d'informations, reportez-vous à Etapes de gestion de votre location.
  7. (Facultatif) Gérez votre compartiment selon vos besoins.

Configuration de stratégies inter-locations

Suivez les étapes ci-après pour configurer des stratégies inter-locations dans Data Labeling.

Une stratégie inter-location vous permet de partager des ressources avec des utilisateurs d'une autre location. Par exemple, vous pouvez écrire des stratégies inter-locations permettant aux utilisateurs d'un groupe IAM dans la location source d'effectuer des opérations sur les ensembles de données de la location de destination. Pour plus d'informations sur les stratégies inter-locations, reportez-vous à Accès aux ressources Object Storage dans des locations.

Dans l'exemple suivant, les utilisateurs sous le groupe group-name, dans la location source-tenancy, souhaitent utiliser la fonctionnalité Data Labeling dans une autre location nommée destination-tenancy.

  1. Créez un groupe dans source-tenancy et ajoutez-y des utilisateurs.
  2. Ajoutez les stratégies suivantes dans source-tenancy, de sorte que group-name soit approuvé et puisse gérer l'ensemble de données dans destination-tenancy : 
    DEFINE tenancy destination-tenancy AS <destination-tenancy-ocid>
ENDORSE group group-name TO manage data-labeling-family IN tenancy destination-tenancy
  3. Dans destination-tenancy, ajoutez des instructions de stratégie qui permettent à group-name d'opérer sur l'ensemble de données : 
    DEFINE tenancy source-tenancy AS <source-tenancy-ocid>
DEFINE group group-name AS <source-tenancy-group-ocid>
ADMIT group group-name OF tenancy source-tenancy TO manage data-labeling-family IN tenancy
  4. (Facultatif) Vous pouvez ajouter une stratégie pour limiter l'accès à un compartiment spécifique dans destination-tenancy. Dans cet exemple, le compartiment est appelé dataset-compartment : 
    DEFINE tenancy source-tenancy AS <source-tenancy-ocid>
DEFINE group group-name AS <source-tenancy-group-ocid>
ADMIT group group-name OF tenancy source-tenancy TO manage data-labeling-family IN compartment dataset-compartment
  5. (Facultatif) Si le bucket est présent dans destination-tenancy, vous devez également ajouter des stratégies inter-locations pour les ressources Object Storage. Ajoutez les instructions de stratégie suivantes pour permettre au groupe group-name d'accéder aux ressources Object Storage dans destination-tenancy :
    Dans source-tenancy, ajoutez :
    ENDORSE group group-name to read buckets in tenancy destination-tenancy
ENDORSE group group-name to manage objects in tenancy destination-tenancy
ENDORSE group group-name to read objectstorage-namespaces in tenancy destination-tenancy
    Dans destination-tenancy, ajoutez : 
    ADMIT group group-name of tenancy source-tenancy to read buckets in tenancy
ADMIT group group-name of tenancy source-tenancy to manage objects in tenancy
ADMIT group group-name of tenancy source-tenancy to read objectstorage-namespaces in tenancy
    Pour plus d'informations sur l'écriture de stratégies inter-locations, reportez-vous à Accès aux ressources Object Storage dans des locations.

Configuration des stratégies inter-locations pour associer l'ensemble de données à un bucket Object Storage

Si l'ensemble de données Data Labeling est créé dans une autre location que celle du bucket Object Storage, vous devez utiliser une stratégie pour associer l'ensemble de données et le bucket.

Concernant l'accès inter-location, vous pouvez vous trouver dans l'un des trois scénarios ci-après, qui nécessitent chacun une stratégie d'association.

  1. L'utilisateur et le bucket Object Storage se trouvent dans la même location (la location A, dans cet exemple) et l'ensemble de données se trouve dans une autre location (la location B, dans cet exemple).
    1. Ajoutez la stratégie suivante dans la location A :
      define tenancy B as <tenancy-B-ocid> 
endorse group Group-A associate buckets in tenancy with data-labeling-datasets in tenancy B
    2. Ajoutez la stratégie suivante dans la location B :
      define tenancy A as <tenancy-A-ocid>
define group Group-A as <Group-A-ocid>
Admit group Group-B of tenancy A associate buckets in tenancy A with data-labeling-datasets in tenancy
  2. L'utilisateur et l'ensemble de données se trouvent dans la même location (la location A, dans cet exemple) et le bucket se trouve dans une autre location (la location B, dans cet exemple).
    1. Ajoutez la stratégie suivante dans la location A :
      define tenancy B as <tenancy-B-ocid> 
endorse group Group-A associate buckets in tenancy B with data-labeling-datasets in tenancy
    2. Ajoutez la stratégie suivante dans la location B :
      define tenancy A as <tenancy-A-ocid>
define group Group-A as <Group-A-ocid>
Admit group Group-A of tenancy A associate buckets in tenancy with data-labeling-datasets in tenancy A
  3. L'utilisateur se trouve dans une location (la location A, dans cet exemple), l'ensemble de données se trouve dans une autre location (la location B, dans cet exemple) et le bucket se trouve dans une troisième location (la location C, dans cet exemple).
    1. Ajoutez la stratégie suivante dans la location A :
      define tenancy B as <tenancy-B-ocid> 
define tenancy C as <tenancy-C-ocid> 
endorse group Group-A associate buckets in tenancy C with data-labeling-datasets in tenancy B
    2. Ajoutez la stratégie suivante dans la location B :
      define tenancy A as <tenancy-A-ocid>
define tenancy C as <tenancy-C-ocid>
define group Group-A as <Group-A-ocid>
Admit group Group-A of tenancy A associate buckets in tenancy C with data-labeling-datasets in tenancy
    3. Ajoutez la stratégie suivante dans la location C :
      define tenancy A as <tenancy-A-ocid>
define tenancy B as <tenancy-B-ocid>
define group Group-A as <Group-A-ocid>
Admit group Group-A of tenancy A associate buckets in tenancy with data-labeling-datasets in tenancy B