Documentazione dell'infrastruttura Oracle Cloud

Impostazione delle origini dati

Registrare le origini dati che si desidera raccogliere in Data Catalog. Le origini dati vengono registrate come asset dati.

È possibile creare un asset dati da una vasta gamma di origini dati supportati. Per impostare e gestire gli asset dati, vedere:

Criteri IAM obbligatori per l'asset dati di Data Integration

Prima di creare un asset dati di OCI Data Integration, impostare i criteri riportati di seguito per creare, raccogliere l'asset dati di Data Integration e visualizzare la derivazione.

Come prerequisito, creare un gruppo dinamico che includa l'OCID Data Catalog specifico come risorsa nel gruppo.

Any {resource.id = '<catalog_ocid>'}

  • Impostare i criteri riportati di seguito per consentire all'istanza di Data Catalog di leggere le aree di lavoro di Data Integration e di raccogliere i relativi metadati di derivazione.

    Allow dynamic-group <dynamic-group-name> to read dis-workspaces in compartment <DIS Workspace Compartment>
    Allow dynamic-group <dynamic-group-name> to read dis-workspaces-lineage in compartment <DIS Workspace Compartment>
    Nota

    Se si utilizzano i seguenti criteri basati su Service Principal, è necessario modificarli ai criteri menzionati nel paragrafo precedente entro il 28 febbraio 2024:
    Allow dynamic-group <dynamic-group-name> to use dis-workspaces in compartment <DIS Workspace Compartment>
    Allow service datacatalog to {DIS_WORKSPACE_LINEAGE_INSPECT, DIS_WORKSPACE_OBJECT_INSPECT} in compartment <DIS Workspace Compartment Name>

  • La visualizzazione della derivazione richiede l'autorizzazione CATALOG_DATA_ASSET_READ.

    Allow <any-user> to read data-catalog-data-assets in compartment <compartment name> where target.catalog.id='<Data Catalog OCID>'

Criteri IAM obbligatori per asset dati flusso dati

Prima di creare un asset dati nel catalogo per OCI Data Flow in una tenancy diversa, impostare i criteri riportati di seguito.

Nella tenancy Data Catalog, impostare le seguenti opzioni:

admit any-user of tenancy <Data Flow Tenancy> to manage data-catalog-data-assets in tenancy where all {request.principal.type = 'dataflowrun'}

Nella tenancy di Data Flow, impostare:

endorse any-user to manage data-catalog-data-assets in tenancy <Data Catalog Tenancy> where all {request.principal.type = 'dataflowrun'}

Impostare il criterio seguente quando l'applicazione Flusso dati e Data Catalog si trovano nella stessa tenancy: 

allow any-user to manage data-catalog-data-assets in tenancy where all {request.principal.type = 'dataflowrun'}

Criteri IAM obbligatori per il metastore

Prima di creare gli asset dati del metastore, è necessario creare criteri per abilitare l'accesso agli oggetti dati necessari.

Come prerequisito, creare un gruppo dinamico che includa l'OCID di Data Catalog specifico come risorsa nel gruppo. 
Any {resource.id = ‘<catalog_ocid>’ }
Consenti accesso a tutti i metastore in una tenancy

Creare questo criterio per consentire l'accesso a qualsiasi istanza del metastore in qualsiasi compartimento all'interno della tenancy in cui viene creato il criterio. 

allow DYNAMIC-GROUP <group_name> to USE data-catalog-metastores in tenancy
Consenti accesso a tutti i metastore in un compartimento
Creare il criterio seguente affinché il gruppo dinamico acceda a tutti i keystore in un compartimento:
allow DYNAMIC-GROUP <group_name> to USE data-catalog-metastores in compartment <compartment name>
Consenti accesso a un'istanza di metastore specifica
Creare il criterio seguente per consentire al gruppo dinamico di accedere a un metastore specifico:
allow DYNAMIC-GROUP <group_name> to USE data-catalog-metastores in tenancy where target.metastore.id='<metastore ocid>'

Criteri IAM obbligatori per l'asset dati MySQL

Puoi utilizzare il servizio MySQL Database OCI come origine dati per creare un asset dati MySQL. In questa sezione vengono fornite informazioni sui criteri necessari per consentire a un gruppo denominato Amministratori di utilizzare il servizio MySQL Database.

Creare questo criterio per consentire ai membri degli amministratori del gruppo di elencare e leggere il contenuto di tutti i compartimenti nella tenancy:
Allow group Administrators to {COMPARTMENT_INSPECT} in tenancy
Creare questo criterio per consentire ai membri del gruppo di amministratori di leggere, collegare e scollegare le subnet e leggere le reti cloud virtuali (VCN) nella tenancy:
Allow group Administrators to {VCN_READ, SUBNET_READ, SUBNET_ATTACH, SUBNET_DETACH} in tenancy
Nota

Per collegare un sistema DB a una VCN, è necessario accedere a questi tipi di risorse.
Creare questo criterio per consentire ai membri del gruppo Administrators di accedere a tutti gli aspetti di MySQL Database Service nella tenancy:
Allow group Administrators to manage mysql-family in tenancy
Creare questo criterio per raccogliere i dati dal database MySQL:
allow group <your-group-name> to use mysql-instances in tenancy

Criteri IAM obbligatori per l'asset dati dello storage degli oggetti Oracle

Prima di creare gli asset dati dello storage degli oggetti Oracle, è necessario creare criteri per abilitare l'accesso agli oggetti dati necessari. Dopo aver creato questi criteri, quando si raccoglie l'asset dati dello storage degli oggetti, vengono elencate solo le entità dati alle quali l'istanza di Data Catalog ha accesso. È possibile selezionare gli oggetti dati che si desidera raccogliere dalla lista visualizzata.

È necessario disporre almeno dell'autorizzazione READ per tutti i singoli tipi di risorsa objectstorage-namespaces, buckets e objects oppure per il tipo di risorsa aggregata di storage degli oggetti object-family. Per istruzioni dettagliate, consulta l'esercitazione Raccolta da Oracle Object Storage.

Crea criteri di principal risorsa per consentire gli oggetti di accesso a Data Catalog nello storage degli oggetti. Come prerequisito, creare un gruppo dinamico che includa l'OCID di Data Catalog specifico come risorsa nel gruppo.

Ad esempio:

Any {resource.id = 'ocid.datacatalog.oc1..<unique_ID>'}
Criteri IAM obbligatori per la stessa tenancy

Utilizzare il criterio riportato di seguito se l'istanza di Data Catalog e lo storage degli oggetti si trovano nella stessa tenancy:

  • Creare questo criterio solo per root_compartment in modo da consentire l'accesso a qualsiasi oggetto, in qualsiasi bucket, in qualsiasi compartimento all'interno della tenancy. Poiché l'ambito di questo criterio riguarda l'intera tenancy, un compartimento figlio non dispone dell'accesso alla radice o ai compartimenti padre.
    allow dynamic-group <dynamic-group-name> to read object-family in tenancy

Per accedere a bucket e compartimenti specifici all'interno della stessa tenancy, vedere Esempi di criteri.

Criteri IAM obbligatori per tenancy diverse

Creare i criteri riportati di seguito come prerequisito se l'istanza di Data Catalog e lo storage degli oggetti si trovano in tenancy diverse.

Nella tenancy del catalogo:

  • Definire una tenancy tenancy-name1 per identificare l'OCID di storage degli oggetti, quindi approvare il gruppo dinamico dynamic-group-name1 per gestire object-family in <tenancy-name1>.
    Define tenancy <tenancy-name1> as <object-storage-tenancy-OCID>
Endorse dynamic-group <dynamic-group-name1> to manage object-family in tenancy <tenancy-name1>

Nella tenancy di storage degli oggetti:

  • Definire una tenancy tenancy-name2 con l'OCID tenancy del catalogo. Definire dynamic-group-name2 con l'OCID dynamic-group-name1 creato nella tenancy del catalogo, quindi ammettere dynamic-group-name2 per gestire object-family nella tenancy di storage degli oggetti.
    Define tenancy <tenancy-name2> as <catalog-tenancy-OCID>
Define dynamic-group <dynamic-group-name2> as <dynamic-group-name1-OCID>
Admit dynamic-group <dynamic-group-name2> of tenancy <tenancy-name2> to manage object-family in tenancy

Per accedere a bucket e compartimenti specifici per tenancy diverse, vedere Esempi di criteri.

Criteri IAM obbligatori per l'uso di OCI Vault

Per utilizzare Oracle Cloud Infrastructure Vault, creare un gruppo dinamico che includa il servizio Data Catalog come risorsa nel gruppo. 

Any {resource.type='datacatalog' }
Creare il criterio seguente per consentire al gruppo dinamico di leggere il segreto:
Allow dynamic-group <dynamic group name> to read secret-family in tenancy
Per utilizzare un wallet Oracle con segreti nel vault OCI, è necessario:
  • Fornire una password per il wallet quando si scarica il wallet.
  • Rimuovere il file .p12 dal file zip del wallet scaricato.
  • Utilizzare qualsiasi codificatore base64 per codificare il file zip del wallet modificato in base64.
  • Copiare i dati con codifica base64 in un segreto in un vault.
  • Creare un segreto per la password del database.