Documentazione dell'infrastruttura Oracle Cloud

Esempi di criteri

Di seguito sono riportati alcuni esempi dei criteri per Data Catalog.

Una sintassi dei criteri è simile alla seguente: 

allow <subject> to <verb> <resource-type> in <location> where <conditions>

Per dettagli completi, vedere sintassi dei criteri. Per ulteriori informazioni sulla creazione dei criteri, vedere funzionamento dei criteri, riferimento ai criteri e dettagli dei criteri per lo storage degli oggetti.

Esempi di criteri Data Catalog

È possibile creare criteri per definire la modalità con cui si desidera che gli utenti accedano alle risorse del Data Catalog. Visualizzare il verbo del Data Catalog per il mapping delle autorizzazioni per decidere quale verbo soddisfa i requisiti di accesso.

Il verbo read per data-catalogs copre le stesse autorizzazioni e operazioni API del verbo inspect più le autorizzazioni CATALOG_READ, CATALOG_JOB_DEFINITION_READ, CATALOG_JOB_READ e CATALOG_WORK_REQUEST_READ e le operazioni API che riguardano, ad esempio ListGlossaries, GetCatalog e così via.

Consenti accesso per visualizzare Data Catalog nella tenancy

Creare questo criterio per consentire a un gruppo di visualizzare la lista di tutti i Data Catalog nella tenancy:

allow group <group-name> to inspect data-catalogs in tenancy
Consenti accesso in un compartimento specificato

Creare questo criterio per consentire a un gruppo di eseguire tutte le operazioni elencate per CATALOG_READ in un compartimento specificato:

allow group <group-name> to read data-catalogs in compartment <x>
Consenti accesso a Gestisci Data Catalog

Il verbo manage include le stesse autorizzazioni e le stesse operazioni API del verbo use, oltre alle autorizzazioni CATALOG_CREATE, CATALOG_DELETE e CATALOG_MOVE, che includono rispettivamente le operazioni API CreateCatalog, DeleteCatalog e MoveCatalog.

Creare questo criterio per consentire a un gruppo di gestire tutti i Data Catalog in un compartimento specifico:

allow group <group-name> to manage data-catalog-family in compartment <x>

Creare questo criterio per consentire a un gruppo di gestire tutti i Data Catalog, ad eccezione dell'eliminazione dei Data Catalog:

allow group <group-name> to manage data-catalog-family in compartment <x>
 where request.permission !='CATALOG_DELETE'

Creare questo criterio per consentire a un gruppo di gestire tutte le risorse in un Data Catalog specificato:

allow group <group-name> to manage data-catalog-family in tenancy
 where target.catalog.id = 'ocid.datacatalog.oc1..<unique_ID>'
Esempi di criteri di storage degli oggetti Oracle

Prima di creare gli asset dati dello storage degli oggetti Oracle, è necessario creare criteri per abilitare l'accesso agli oggetti dati necessari. Dopo aver creato questi criteri, quando si raccoglie l'asset dati dello storage degli oggetti, vengono elencate solo le entità dati alle quali l'istanza di Data Catalog ha accesso. È possibile selezionare gli oggetti dati che si desidera raccogliere dalla lista visualizzata.

È necessario disporre almeno dell'autorizzazione READ per tutti i singoli tipi di risorsa objectstorage-namespaces, buckets e objects oppure per il tipo di risorsa aggregata di storage degli oggetti object-family. Per istruzioni dettagliate, consulta l'esercitazione Raccolta da Oracle Object Storage.

Esempi di criteri principal risorsa

Come prerequisito, creare un gruppo dinamico che includa l'OCID di Data Catalog specifico come risorsa nel gruppo.

Ad esempio:

Any {resource.id = 'ocid.datacatalog.oc1..<unique_ID>'}
Consenti accesso alla tenancy

Utilizzare i criteri seguenti se l'istanza di Data Catalog e lo storage degli oggetti si trovano nella stessa tenancy:

Consenti accesso alla tenancy

  • Creare questo criterio solo per root_compartment in modo da consentire l'accesso a qualsiasi oggetto, in qualsiasi bucket, in qualsiasi compartimento all'interno della tenancy. Poiché l'ambito di questo criterio è l'intera tenancy, un compartimento figlio non avrà accesso alla radice o ai compartimenti padre.
    allow dynamic-group <dynamic-group-name> to read object-family in tenancy

Consenti accesso a bucket specifici

  • Accedere a qualsiasi oggetto in bucketA o bucketB all'interno di una tenancy
    allow dynamic group <dynamic-group-name> to read object-family in tenancy 
where any {target.bucket.name='bucketA', target.bucket.name='bucketB'}
  • Accedere a qualsiasi oggetto in bucketA o bucketB all'interno di qualsiasi compartimento
    allow dynamic group <dynamic-group-name> to read object-family in compartment <compartment-name>
where any {target.bucket.name='bucketA', target.bucket.name='bucketB'}
  • Accedere a qualsiasi oggetto in bucketA o bucketB all'interno di qualsiasi compartimento utilizzando l'OCID compartimento
    allow dynamic group <dynamic-group-name> to read object-family in compartment id <compartment_ocid>
where any {target.bucket.name='bucketA', target.bucket.name='bucketB'}

    Per visualizzare l'OCID del compartimento nella console, aprire il menu di navigazione e fare clic su Identità e sicurezza. In Identità, fare clic su Compartimenti. Fare clic sul collegamento del compartimento per la risorsa di storage degli oggetti. Nella pagina Dettagli compartimento, copiare l'OCID in Informazioni compartimento.

Consenti accesso a compartimento specifico

  • Accedi a qualsiasi bucket all'interno di un compartimento specifico

    allow dynamic-group <dynamic-group-name> to read object-family in compartment <compartment-name>

    Quando si raccoglie un asset dati di storage degli oggetti, vengono elencate le entità dati da tutti i bucket nel compartimento specificato. È quindi possibile selezionare gli oggetti dati in questi bucket per la raccolta.

  • Accedi a qualsiasi bucket all'interno di un compartimento utilizzando l'OCID compartimento 
    allow dynamic-group <dynamic-group-name> to read object-family in compartment id <compartment_ocid>

    Per visualizzare l'OCID del compartimento nella console, aprire il menu di navigazione , selezionare Identità e sicurezza. In Identità, selezionare Compartimenti. Fare clic sul collegamento del compartimento per la risorsa di storage degli oggetti. Nella pagina Dettagli compartimento, copiare l'OCID in Informazioni compartimento.

Consenti accesso a una tenancy diversa

Creare i criteri riportati di seguito come prerequisito se l'istanza di Data Catalog e lo storage degli oggetti si trovano in tenancy diverse.

Nella tenancy del catalogo:

  • Definire una tenancy tenancy-name1 per identificare l'OCID di storage degli oggetti, quindi approvare il gruppo dinamico dynamic-group-name1 per gestire object-family in <tenancy-name1>.
    Define tenancy <tenancy-name1> as <object-storage-tenancy-OCID>
Endorse dynamic-group <dynamic-group-name1> to manage object-family in tenancy <tenancy-name1>

Nella tenancy di storage degli oggetti:

  • Definire una tenancy tenancy-name2 con l'OCID tenancy del catalogo. Definire dynamic-group-name2 con l'OCID dynamic-group-name1 creato nella tenancy del catalogo, quindi ammettere dynamic-group-name2 per gestire object-family nella tenancy di storage degli oggetti.
    Define tenancy <tenancy-name2> as <catalog-tenancy-OCID>
Define dynamic-group <dynamic-group-name2> as <dynamic-group-name1-OCID>
Admit dynamic-group <dynamic-group-name2> of tenancy <tenancy-name2> to manage object-family in tenancy

Consenti accesso a bucket specifici

Accesso a bucket specifici quali BucketA o BucketB in un compartimento.

Nella tenancy del catalogo:

Define tenancy <tenancy-name2> as <object-storage-tenancy-OCID>
Endorse dynamic group <dynamic-group-name1> to manage object-family in compartment <compartmentA> where any {target.bucket.name='bucketA', target.bucket.name='bucketB'}

Nella tenancy di storage degli oggetti:

Define tenancy <tenancy-name1> as <catalog-tenancy-OCID>
Define dynamic-group <dynamic-group-name2> as <dynamic-group-name1-OCID>
Admit dynamic group <dynamic-group-name2> of tenancy <tenancy-name1> to manage object-family in compartment compartmentA where any {target.bucket.name='bucketA', target.bucket.name='bucketB'}

In modo analogo, puoi anche accedere ai bucket in un compartimento utilizzando l'ID compartimento.

Consenti accesso a un compartimento specifico

Accedi a qualsiasi bucket all'interno di un compartimento specifico utilizzando il nome del compartimento.

Nella tenancy del catalogo:
Define tenancy <tenancy-name2> as <object-storage-tenancy-OCID>
Endorse dynamic group <dynamic-group-name1> to manage object-family in compartment <compartment-name>
Nella tenancy di storage degli oggetti:
Define tenancy <tenancy-name1> as <catalog-tenancy-OCID>
Define dynamic group <dynamic-group-name2> as <dynamic-group-name1-OCID>
admit dynamic group <dynamic-group-name2> of tenancy <tenancy-name1> to manage object-family in compartment <compartment-name>

Puoi accedere a qualsiasi bucket all'interno di un compartimento specifico utilizzando l'OCID del compartimento.

Esempi di criteri endpoint privati

Per consentire agli utenti di Data Catalog di configurare le reti private, è necessario creare criteri.

Consenti agli utenti di gestire gli endpoint privati di Data Catalog

Creare questo criterio per consentire a un gruppo di eseguire tutte le azioni sugli endpoint privati di Data Catalog.

allow group <group-name> to manage data-catalog-private-endpoints in tenancy
Consenti agli utenti di gestire le risorse di networking

Creare questo criterio per consentire a un gruppo di eseguire tutte le operazioni correlate alla rete nella tenancy.

allow group <group-name> to manage virtual-network-family in tenancy
Consenti agli utenti di visualizzare i messaggi di errore dell'endpoint privato

Se si gestisce la risorsa endpoint privati di Data Catalog, si consiglia di disporre anche dell'autorizzazione per la gestione delle richieste di lavoro. Ciò garantisce la possibilità di visualizzare i log e i messaggi di errore rilevati durante l'utilizzo degli endpoint privati.

allow group <group-name> to manage work-requests in tenancy
Impedisci agli utenti di eliminare gli endpoint privati di Data Catalog

Creare questo criterio per consentire a un gruppo di eseguire tutte le azioni sugli endpoint privati di Data Catalog, tranne eliminarli.

allow group <group-name> to manage data-catalog-private-endpoints in tenancy
 where request.permission!='CATALOG_PRIVATE_ENDPOINT_DELETE'
Esempi di criteri glossario

È possibile creare criteri per definire come si desidera che gli utenti accedano alle risorse del glossario. Visualizzare il verbo del glossario per il mapping delle autorizzazioni per decidere quale verbo soddisfa i requisiti di accesso. Ad esempio, INSPECT consente agli utenti di visualizzare l'elenco dei glossari disponibili e READ consente agli utenti di visualizzare i dettagli del glossario ed esportare il glossario.

Creare questo criterio per consentire a un gruppo di eseguire tutte le operazioni su tutti i glossari, le categorie e i termini disponibili nella tenancy:

allow group <group-name> to manage data-catalog-glossaries in tenancy

Creare questo criterio per consentire a un gruppo di creare, aggiornare ed eliminare termini, categorie e relazioni all'interno di un glossario specifico:

allow group <group-name> to use data-catalog-glossaries in tenancy where target.glossary.key = '<glossary-key>'
Nota

È possibile copiare la chiave del glossario per il glossario desiderato dalla pagina dei dettagli del glossario dell'interfaccia utente.

Creare questo criterio per consentire a un gruppo di visualizzare i glossari e i dettagli del glossario in un compartimento specifico:

allow group <group-name> to read data-catalog-glossaries in compartment <x>

Creare questo criterio per consentire a un gruppo di visualizzare la lista di tutti i glossari disponibili in un Data Catalog specifico nella tenancy:

allow group <group-name> to inspect data-catalog-glossaries in tenancy where target.catalog.id = 'ocid.datacatalog.oc1..<unique_ID>'
Esempi di criteri degli asset dati

È possibile creare criteri per definire come si desidera che gli utenti accedano alle risorse degli asset dati. Visualizzare il mapping da verbo a autorizzazione dell'asset dati per decidere quale verbo soddisfa i requisiti di accesso. Ad esempio, INSPECT consente agli utenti di visualizzare la lista degli asset dati disponibili e READ consente agli utenti di visualizzare i dettagli degli asset dati.

Creare questo criterio per consentire a un gruppo di eseguire tutte le operazioni su tutti gli asset dati disponibili in una tenancy:

allow group <group-name> to manage data-catalog-data-assets in tenancy

Creare questo criterio per consentire a un gruppo di utilizzare un asset dati specifico in una tenancy:

allow group <group-name> to use data-catalog-data-assets in tenancy where target.data-asset.key='<data-asset-key>'
Nota

È possibile copiare la chiave dell'asset dati per l'asset dati richiesto dalla pagina dei dettagli dell'asset dati dell'interfaccia utente.

Creare questo criterio per consentire a un gruppo di visualizzare i dettagli degli asset dati (ad esempio connessioni, cartelle, entità dati, attributi e così via) di tutti gli asset dati disponibili in un compartimento specifico:

allow group <group-name> to read data-catalog-data-assets in compartment <x>

Creare questo criterio per consentire a un gruppo di visualizzare la lista degli asset dati disponibili in un Data Catalog specifico in un compartimento specifico:

allow group <group-name> to inspect data-catalog-data-assets in compartment <x> where target.catalog.id = 'ocid.datacatalog.oc1..<unique_ID>'
Esempi di criteri del metastore

Per ulteriori informazioni, vedere Criteri IAM obbligatori.

Esempi di criteri di sicurezza

Impedisci agli utenti di eliminare le istanze di Data Catalog

Creare questo criterio per consentire al gruppo DataCatalogUsers di eseguire tutte le azioni sui Data Catalog, ad eccezione dell'eliminazione.

allow group DataCatalogUsers to manage data-catalog-family in tenancy
 where request.permission!='CATALOG_DELETE'