Documentation Oracle Cloud Infrastructure

Création de stratégies IAM pour les utilisateurs Oracle Data Safe

Un administrateur de location peut créer des stratégies dans Oracle Cloud Infrastructure Identity and Access Management (IAM) qui accordent aux utilisateurs l'accès aux ressources pour Oracle Data Safe.

Pour plus d'informations sur les ressources et leurs droits d'accès, reportez-vous à Ressources OCI pour Oracle Data Safe.

Etapes générales de création d'une stratégie IAM pour Oracle Data Safe

Suivez ces étapes générales pour créer une stratégie IAM qui accorde à un groupe d'utilisateurs des droits d'accès sur les ressources Oracle Data Safe.

  1. En tant qu'administrateur de location, dans le menu de navigation d'Oracle Cloud Infrastructure, sélectionnez Identité et sécurité, puis Stratégies.

    La page Stratégies s'ouvre dans Oracle Cloud Infrastructure Identity and Access Management (IAM).

  2. En regard de Filtres appliqués, sélectionnez le compartiment dans lequel stocker la stratégie. Vous pouvez sélectionner le compartiment root, si nécessaire. Une stratégie s'applique au compartiment dans lequel elle est définie et à tous ses sous-compartiments.

  3. Cliquez sur Créer une stratégie.

    La page Créer une stratégie s'ouvre.

  4. Entrez le nom de votre stratégie. Il ne doit contenir aucun espace. Seuls les lettres, les chiffres, les traits d'union, les points, les traits d'union sont autorisés.

  5. Entrez une brève description de votre stratégie.

  6. Sélectionnez un autre compartiment si nécessaire.

  7. Dans la section Générateur de stratégies, sélectionnez Afficher l'éditeur manuel.

    Une zone apparaît dans laquelle vous pouvez entrer des instructions de stratégie.

  8. Entrez des instructions de stratégie à l'aide de la syntaxe suivante.

    Allow group <group-name> to <verb> <resource-type> in compartment <compartment-name>

    Pour <group-name>, entrez le nom du groupe IAM auquel la stratégie s'applique.

    Pour <verb>, vous pouvez utiliser inspect, read, use ou manage.

    Pour <resource-type>, entrez une ressource utilisée par Oracle Data Safe. Pour obtenir la liste des ressources, reportez-vous à Ressources OCI pour Oracle Data Safe.

    Pour <compartment>, entrez le nom du compartiment contenant les ressources auxquelles accorder des droits d'accès.

    Pour indiquer des sous-compartiments dans une instruction de stratégie, utilisez la syntaxe suivante, où <parent-compartment> est le compartiment sous le compartiment root et <child-compartment> le compartiment sous <parent-compartment>. Vous pouvez ajouter autant de compartiments enfant que nécessaire, séparés par le signe deux-points.

    allow group <group-name> to <verb> <resource-type> in compartment <parent-compartment>:<child-compartment>

  9. Pour ajouter des balises, sélectionnez Ajouter une balise et configurez les balises.

  10. Choisissez Créer.

Création d'un groupe d'administrateurs Oracle Data Safe

Un administrateur de location peut créer un groupe d'administrateurs Oracle Data Safe dans Oracle Cloud Infrastructure Identity and Access Management (IAM). L'objectif de ce groupe est de superviser et de gérer les ressources Oracle Data Safe dans une région.

  1. Accédez à IAM dans Oracle Cloud Infrastructure en tant qu'administrateur de location.

  2. Créez un groupe pour les administrateurs Oracle Data Safe et les utilisateurs appropriés pour le groupe.

  3. Créez une stratégie pour le groupe d'administrateurs Oracle Data Safe qui autorise le groupe à manage la ressource data-safe-family. Les exemples suivants vous montrent différentes manières de procéder.

    • Option 1 : autorisez le groupe Data-Safe-Admins à gérer les ressources Oracle Data Safe dans l'ensemble de la location.

      Allow group Data-Safe-Admins to manage data-safe-family in tenancy

    • Option 2 : autorisez le groupe Data-Safe-Admins à gérer tous les types de ressource Oracle Cloud Infrastructure dans la location (y compris les ressources Oracle Data Safe).

      Allow group Data-Safe-Admins to manage all-resources in tenancy

    • Option 3 : autorisez un groupe Data-Safe-Admins à gérer tous les types de ressource Oracle Data Safe dans la région us-phoenix-1 d'une location.

      Allow group Data-Safe-Admins to manage data-safe-family in tenancy where request.region='phx'

Droit d'accès à toutes les ressources d'une fonctionnalité Oracle Data Safe

Vous pouvez utiliser une ressource de famille Oracle Data Safe pour accorder rapidement à un groupe d'utilisateurs des droits d'accès sur toutes les ressources pour une fonctionnalité Oracle Data Safe particulière. Par exemple, pour accorder à un groupe d'utilisateurs le droit d'effectuer toutes les tâches dans le masquage des données, accordez au groupe d'utilisateurs le droit d'accès manage sur la ressource data-safe-masking-family. Les ressources de la famille qui concernent des fonctionnalités spécifiques incluent data-safe-assessment-family (pour l'évaluation de la sécurité et l'évaluation des utilisateurs), data-safe-discovery-family (pour le repérage de données), data-safe-masking-family (pour le masquage des données), data-safe-alert-family (pour les alertes), data-safe-audit-family (pour l'audit d'activité) et data-safe-family (pour toutes les fonctionnalités).

Afin d'accorder à un groupe d'utilisateurs le droit d'accéder à une fonctionnalité Oracle Data Safe, créez une stratégie dans Oracle Cloud Infrastructure Identity and Access Management (IAM) qui autorise le groupe à utiliser des ressources list, read, use ou manage pour la fonctionnalité.

Voici deux exemples :

  • Exemple 1 : pour autoriser un groupe à répertorier et à visualiser les détails de toutes les ressources d'une famille Oracle Data Safe particulière dans un compartiment spécifique, écrivez l'instruction de stratégie de la manière suivante :

    allow group <group-name> to read <data-safe-family-name> in compartment <compartment-name>

  • Exemple 2 : pour autoriser un groupe à effectuer toutes les tâches liées à une fonctionnalité Oracle Data Safe dans un compartiment spécifique, écrivez l'instruction de stratégie de la manière suivante :

    allow group <group-name> to manage <data-safe-family-name> in compartment <compartment-name>

Autorisation d'accès à une ressource spécifique

Chaque ressource de famille Oracle Data Safe se compose de plusieurs ressources relatives à cette fonctionnalité. Dans la plupart des cas, vous pouvez accorder à un groupe d'utilisateurs le droit d'accès inspect, read, use ou manage sur l'une de ces ressources spécifiques, plutôt que d'accorder au groupe l'accès à toutes les ressources de la famille.

  • Le droit d'accès inspect permet à un groupe d'utilisateurs de visualiser la liste des objets de ressource. Par exemple, si un groupe dispose du droit d'accès inspect sur la ressource data-safe-audit-policies, ce groupe peut visualiser la liste des stratégies d'audit dans Security Center. Toutefois, ils ne peuvent pas cliquer sur une stratégie d'audit et afficher ses détails.

  • Le droit d'accès read permet à un groupe d'utilisateurs de visualiser la liste des objets de ressource et de visualiser leurs propriétés. Dans l'exemple précédent, le groupe d'utilisateurs peut cliquer sur une stratégie d'audit et afficher ses détails.

  • Le droit d'accès use inclut le droit d'accès read et la possibilité d'utiliser les ressources existantes (les actions varient en fonction de type de ressource). Inclut la possibilité de mettre à jour la ressource, sauf pour les types de ressources dans lesquels l'opération "update" a le même impact effectif que l'opération "create". Dans ce cas, la possibilité de mettre à jour est uniquement disponible avec le verbe manage. En général, ce verbe n'inclut pas la possibilité de créer ou de supprimer ce type de ressource.

  • Le droit d'accès manage accorde généralement au groupe d'utilisateurs un droit d'accès complet sur la ressource (liste, vue, mise à jour, création, suppression et déplacement). A l'aide de notre exemple précédent, si le groupe dispose du droit d'accès manage, il peut répertorier et visualiser les détails des stratégies d'audit, ainsi que les mettre à jour, les créer, les supprimer et les déplacer.

Gardez à l'esprit que les quatre autorisations (inspecter, lire, utiliser et gérer) peuvent ne pas être disponibles pour toutes les ressources. Parfois, le droit d'accès manage accorde uniquement un sous-ensemble d'opérations (par exemple, liste, lecture, mise à jour, création, suppression et/ou déplacement). Par conséquent, il est préférable de se référer à la ressource elle-même pour comprendre ce qui est possible.

Voici trois exemples :

  • Exemple 1 : créez une stratégie pour un groupe d'utilisateurs qui permet au groupe de répertorier les objets de ressource dans Security Center. Par exemple, l'instruction de stratégie suivante permet à un groupe d'utilisateurs nommé IT-Security de visualiser la liste des profils d'audit dans le compartiment nommé Info-Tech.

    allow group IT-Security to inspect data-safe-audit-profiles in compartment Info-Tech

  • Exemple 2 : créez une stratégie pour un groupe d'utilisateurs qui permet au groupe de répertorier et de visualiser les propriétés d'une ressource. Par exemple, l'instruction de stratégie suivante permet à un groupe d'utilisateurs nommé IT-Security de répertorier et de visualiser les propriétés des profils d'audit dans le compartiment nommé Info-Tech.

    allow group IT-Security to read data-safe-audit-profiles in compartment Info-Tech

  • Exemple 3 : créez une stratégie pour un groupe d'utilisateurs qui permet au groupe de gérer une ressource. Par exemple, l'instruction de stratégie suivante permet à un groupe d'utilisateurs nommé IT-Security de gérer les profils d'audit dans le compartiment nommé Info-Tech.

    allow group IT-Security to manage data-safe-audit-profiles in compartment Info-Tech

Droits d'accès permettant d'inscrire une base de données Autonomous AI auprès d'Oracle Data Safe

Pour inscrire une base de données Autonomous AI auprès d'Oracle Data Safe, un groupe d'utilisateurs doit disposer de droits d'accès dans Oracle Cloud Infrastructure Identity and Access Management (IAM) pour effectuer les opérations suivantes :

  • Accès à la base de données Autonomous AI : le groupe d'utilisateurs requiert au moins le droit d'accès use sur la ressource autonomous-database dans Oracle Cloud Infrastructure, par exemple :

    allow group <group-name> to use autonomous-database in compartment <compartment-name>

  • Inscription d'une base de données cible auprès d'Oracle Data Safe : le groupe d'utilisateurs requiert le droit d'accès manage sur la ressource target-databases, par exemple :

    allow group <group-name> to manage target-databases in compartment <compartment-name>

  • Pour une base de données Autonomous AI disposant d'une adresse IP privée : le groupe d'utilisateurs requiert au moins le droit d'accès use sur une adresse privée Oracle Data Safe et sur les ressources de réseau virtuel sous-jacentes de l'adresse privée pour les compartiments concernés. Par exemple, les instructions suivantes permettent à un groupe de créer une adresse privée :

    allow group <group-name> to manage data-safe-private-endpoints in compartment <compartment-name>
allow group <group-name> to manage virtual-network-family in compartment <compartment-name>

    Si le groupe dispose déjà d'une adresse privée Oracle Data Safe et souhaite la réutiliser, remplacez manage par use dans les instructions ci-dessus.

Droits d'accès permettant d'inscrire une base de données Oracle Cloud auprès d'Oracle Data Safe

Pour inscrire une base de données Oracle Cloud auprès d'Oracle Data Safe, un groupe d'utilisateurs doit disposer des droits d'accès dans Oracle Cloud Infrastructure Identity and Access Management (IAM) afin d'effectuer les opérations suivantes :

  • Accédez à la base de données Oracle Cloud :

    allow group <group-name> to manage database-family in compartment <compartment-name>
allow group <group-name> to inspect vnics in tenancy

  • (Exadata Cloud Service uniquement) Examinez les clusters de machines virtuelles cloud dans la location :

    allow group <group-name> to inspect cloud-vmclusters in tenancy

  • Inscrivez une base de données cible auprès d'Oracle Data Safe :

    allow group <group-name> to manage target-databases in compartment <compartment-name>

  • Utilisation ou création d'une adresse privée Oracle Data Safe : le groupe d'utilisateurs requiert au moins le droit d'accès use sur une adresse privée Oracle Data Safe et sur les ressources de réseau virtuel sous-jacentes de l'adresse privée pour les compartiments appropriés. Par exemple, les instructions suivantes permettent à un groupe de créer une adresse privée :

    allow group <group-name> to manage data-safe-private-endpoints in compartment <compartment-name>
allow group <group-name> to manage virtual-network-family in compartment <compartment-name>

    Si le groupe dispose déjà d'une adresse privée Oracle Data Safe et souhaite la réutiliser, remplacez manage par use dans les instructions ci-dessus.

Droits d'accès permettant d'inscrire une base de données Oracle Database sur site auprès d'Oracle Data Safe

Pour inscrire une base de données Oracle Database sur site auprès d'Oracle Data Safe, un groupe d'utilisateurs doit disposer des droits d'accès dans Oracle Cloud Infrastructure Identity and Access Management (IAM) pour effectuer les opérations suivantes :

  • Inscrivez une base de données cible auprès d'Oracle Data Safe :

    allow group <group-name> to manage target-databases in compartment <compartment-name>

  • (Option 1) Utilisation ou création d'une adresse privée Oracle Data Safe : si la base de données cible possède une adresse IP privée, vous pouvez vous y connecter à l'aide d'une adresse privée Oracle Data Safe. Le groupe d'utilisateurs requiert au moins le droit d'accès use sur une adresse privée Oracle Data Safe et sur les ressources de réseau virtuel sous-jacentes de l'adresse privée pour les compartiments appropriés. Par exemple, les instructions suivantes permettent à un groupe de créer une adresse privée :

    allow group <group-name> to manage data-safe-private-endpoints in compartment <compartment-name>
allow group <group-name> to manage virtual-network-family in compartment <compartment-name>

    Si le groupe dispose déjà d'une adresse privée Oracle Data Safe et souhaite la réutiliser, remplacez manage par use dans les instructions ci-dessus.

  • (Option 2) Utilisation ou création d'un connecteur sur site Oracle Data Safe : si la base de données cible possède une adresse IP privée, vous pouvez vous y connecter à l'aide d'un connecteur sur site Oracle Data Safe. Incluez l'autorisation d'accéder à un connecteur sur site ou de le créer, par exemple :

    allow group <group-name> to manage onprem-connectors in compartment <compartment-name>

Droits d'accès permettant d'inscrire une instance Oracle Database sur une instance Compute auprès d'Oracle Data Safe

Pour inscrire une instance Oracle Database sur une instance de calcul dans Oracle Cloud Infrastructure auprès d'Oracle Data Safe, un groupe d'utilisateurs doit disposer de droits d'accès dans Oracle Cloud Infrastructure Identity and Access Management (IAM) pour effectuer les opérations suivantes :

  • Inscrivez une base de données cible auprès d'Oracle Data Safe :

    allow group <group-name> to manage target-databases in compartment <compartment-name>

  • Accédez aux informations relatives à l'instance de calcul de la base de données cible :

    Allow group <group-name> to read instance-family in compartment <compartment-name>

  • (Option 1) Utilisation ou création d'une adresse privée Oracle Data Safe : le groupe d'utilisateurs requiert au moins le droit d'accès use sur une adresse privée Oracle Data Safe et sur les ressources de réseau virtuel sous-jacentes de l'adresse privée pour les compartiments appropriés. Par exemple, les instructions suivantes permettent à un groupe de créer une adresse privée :

    allow group <group-name> to manage data-safe-private-endpoints in compartment <compartment-name>
allow group <group-name> to manage virtual-network-family in compartment <compartment-name>

    Si le groupe dispose déjà d'une adresse privée Oracle Data Safe et souhaite la réutiliser, remplacez manage par use dans les instructions ci-dessus.

  • (Option 2) Utilisation ou création d'un connecteur sur site Oracle Data Safe : incluez les droits d'accès permettant d'utiliser ou de créer un connecteur sur site Oracle Data Safe, par exemple :

    allow group <group-name> to manage onprem-connectors in compartment <compartment-name>

Droits d'accès permettant d'inscrire une base de données Oracle Cloud@Customer auprès d'Oracle Data Safe

Pour inscrire une base de données Oracle Cloud@Customer (Oracle Exadata Database Service on Cloud@Customer ou Oracle Autonomous AI Database on Exadata Cloud@Customer) auprès d'Oracle Data Safe, un groupe d'utilisateurs doit disposer des droits d'accès dans Oracle Cloud Infrastructure Identity and Access Management (IAM) pour effectuer les opérations suivantes :

  • Inscrivez une base de données cible auprès d'Oracle Data Safe :

    allow group <group-name> to manage target-databases in compartment <compartment-name>

  • (Oracle Exadata Database Service on Cloud@Customer) Inscrivez ou mettez à jour la base de données cible :

    allow group <group-name> to inspect exadata-infrastructures in compartment <compartment-name>
allow group <group-name> to inspect vmcluster-network in compartment <compartment-name>

  • (Oracle Autonomous AI Database on Exadata Cloud@Customer) Inscrivez ou mettez à jour la base de données cible :

    allow group <group-name> to read autonomous-databases in compartment <compartment-name>
allow group <group-name> to inspect autonomous-container-databases in compartment <compartment-name>
allow group <group-name> to inspect autonomous-vmclusters in compartment <compartment-name>
allow group <group-name> to inspect exadata-infrastructures in compartment <compartment-name>
allow group <group-name> to inspect vmcluster-network in compartment <compartment-name>

  • (Option 1) Utilisation ou création d'une adresse privée Oracle Data Safe : le groupe d'utilisateurs requiert au moins le droit d'accès use sur une adresse privée Oracle Data Safe et sur les ressources de réseau virtuel sous-jacentes de l'adresse privée pour les compartiments appropriés. Par exemple, les instructions suivantes permettent à un groupe de créer une adresse privée :

    allow group <group-name> to manage data-safe-private-endpoints in compartment <compartment-name>
allow group <group-name> to manage virtual-network-family in compartment <compartment-name>

    Si le groupe dispose déjà d'une adresse privée Oracle Data Safe et souhaite la réutiliser, remplacez manage par use dans les instructions ci-dessus.

  • (Option 2) Utilisation ou création d'un connecteur sur site Oracle Data Safe : incluez les droits d'accès permettant d'utiliser ou de créer un connecteur sur site Oracle Data Safe, par exemple :

    allow group <group-name> to manage onprem-connectors in compartment <compartment-name>

Droits d'accès permettant d'inscrire un service Amazon RDS pour Oracle Database auprès d'Oracle Data Safe

Pour inscrire une base de données Amazon RDS pour Oracle Database auprès d'Oracle Data Safe, un groupe d'utilisateurs doit disposer des droits d'accès dans Oracle Cloud Infrastructure Identity and Access Management (IAM) pour effectuer les opérations suivantes :

  • Inscrivez une base de données cible auprès d'Oracle Data Safe :

    allow group <group-name> to manage target-databases in compartment <compartment-name>

  • (Option 1) Utilisation ou création d'une adresse privée Oracle Data Safe : si votre base de données possède une adresse IP privée, vous pouvez vous y connecter à l'aide d'une adresse privée Oracle Data Safe. Le groupe d'utilisateurs requiert au moins le droit d'accès use sur une adresse privée Oracle Data Safe et sur les ressources de réseau virtuel sous-jacentes de l'adresse privée pour les compartiments appropriés. Par exemple, les instructions suivantes permettent à un groupe de créer une adresse privée :

    allow group <group-name> to manage data-safe-private-endpoints in compartment <compartment-name>
allow group <group-name> to manage virtual-network-family in compartment <compartment-name>

    Si le groupe dispose déjà d'une adresse privée Oracle Data Safe et souhaite la réutiliser, remplacez manage par use dans les instructions ci-dessus.

  • (Option 2) Utilisation ou création d'un connecteur sur site Oracle Data Safe : si votre base de données dispose d'une adresse IP privée, vous pouvez vous y connecter à l'aide d'un connecteur sur site Oracle Data Safe. Incluez l'autorisation d'accéder à un connecteur sur site ou de le créer, par exemple :

    allow group <group-name> to manage onprem-connectors in compartment <compartment-name>

Droits d'accès permettant d'inscrire une base de données cible auprès d'Oracle Data Safe

Pour inscrire une base de données cible auprès d'Oracle Data Safe, un groupe d'utilisateurs doit disposer du droit d'accès manage sur la ressource target-databases dans Oracle Cloud Infrastructure Identity and Access Management (IAM).

Exemple : inscription d'une base de données cible auprès d'Oracle Data Safe

allow group <group-name> to manage target-databases in compartment <compartment-name>

Droits d'accès pour une adresse privée Oracle Data Safe

Pour utiliser ou créer une adresse privée Oracle Data Safe, un groupe d'utilisateurs doit disposer de droits d'accès sur les ressources data-safe-private-endpoints et virtual-network-family dans Oracle Cloud Infrastructure Identity and Access Management (IAM).

Si la base de données cible possède une adresse IP privée, vous pouvez vous y connecter à l'aide d'une adresse privée Oracle Data Safe. Le groupe d'utilisateurs requiert au moins le droit d'accès use sur une adresse privée Oracle Data Safe et sur les ressources de réseau virtuel sous-jacentes de l'adresse privée pour les compartiments appropriés.

Exemple : les instructions suivantes permettent à un groupe de créer une adresse privée

allow group <group-name> to manage data-safe-private-endpoints in compartment <compartment-name>
allow group <group-name> to manage virtual-network-family in compartment <compartment-name>

Si le groupe dispose déjà d'une adresse privée Oracle Data Safe et souhaite la réutiliser, remplacez manage par use dans les instructions ci-dessus.

Droits d'accès pour un connecteur sur site Oracle Data Safe

Pour utiliser ou créer un connecteur sur site Oracle Data Safe, un groupe d'utilisateurs doit disposer de droits d'accès sur la ressource onprem-connectors dans Oracle Cloud Infrastructure Identity and Access Management (IAM).

Si la base de données cible possède une adresse IP privée, vous pouvez vous y connecter à l'aide d'un connecteur sur site Oracle Data Safe.

Exemple : inclure l'autorisation d'accès ou de création d'un connecteur sur site

allow group <group-name> to manage onprem-connectors in compartment <compartment-name>

Autorisation d'exécution des évaluations et de consultation des données d'audit et d'alerte

Si un groupe d'utilisateurs doit uniquement pouvoir exécuter des évaluations et afficher les données d'audit et d'alerte, vous pouvez créer une stratégie à l'aide des instructions suivantes. Avec cette stratégie, le groupe d'utilisateurs ne peut pas modifier les stratégies de masquage, masquer les données confidentielles, repérer les données confidentielles ou inscrire les bases de données cible.

allow group <user-group> to manage data-safe-assessment-family in compartment <compartment name>
Allow group <user-group> to read data-safe-report-definitions in compartment <compartment-name>
Allow group <user-group> to read data-safe-reports in compartment <compartment-name>
Allow group <user-group> to read data-safe-alerts in compartment <compartment-name>

Droits d'accès permettant de repérer les données confidentielles

Un administrateur de location peut accorder des droits d'accès sur des ressources de repérage de données spécifiques dans des compartiments indiqués dans Oracle Cloud Infrastructure Identity and Access Management afin d'autoriser un groupe d'utilisateurs à effectuer certaines tâches.

Exemple 1 : exécution de travaux de repérage de données (création de modèles de données confidentielles)

allow group <user-group> to manage data-safe-sensitive-data-models in compartment <compartment-name>
allow group <group-name> to read target-databases in compartment <compartment-name>

Exemple 2 : exécution de travaux de repérage de données incrémentiels sur des bases de données cible

allow group <user-group> to manage data-safe-discovery-jobs in compartment <compartment-name>
allow group <user-group> to read data-safe-sensitive-data-models in compartment <compartment-name>
allow group <user-group> to read data-safe-work-requests in compartment <compartment-name>

Exemple 3 : créer des types de confidentialité

allow group <user-group> to manage data-safe-sensitive-types in compartment <compartment-name>

Exemple 4 : effectuer toutes les tâches dans le repérage de données

allow group <user-group> to manage data-safe-discovery-family in compartment <compartment-name>

Autorisation de masquer les données confidentielles

Un administrateur de location peut accorder des droits d'accès sur des ressources de masquage des données spécifiques dans des compartiments indiqués dans Oracle Cloud Infrastructure Identity and Access Management afin d'autoriser un groupe d'utilisateurs à effectuer certaines tâches.

Exemple 1 : masque les données confidentielles sur les bases de données cible d'un compartiment indiqué à l'aide d'une stratégie de masquage créée précédemment

allow group <user-group> to manage data-safe-masking-policies in compartment <compartment-name>
allow group <user-group> to manage data-safe-masking-reports in compartment <compartment-name>
allow group <user-group> to read data-safe-work-requests in compartment <compartment-name>
allow group <user-group> to read target-databases in compartment <compartment-name>

Exemple 2 : création et gestion de stratégies de masquage dans un compartiment indiqué

allow group <user-group> to manage data-safe-masking-policies in compartment <compartment-name>

Exemple 3 : création et gestion de formats de masquage de bibliothèque dans un compartiment spécifié

allow group <user-group> to manage data-safe-library-masking-formats in compartment <compartment-name>