Documentazione dell'infrastruttura Oracle Cloud

Impostazione criteri di identità

Il flusso di dati richiede che i criteri vengano impostati in IAM per accedere alle risorse in modo da poter gestire gli endpoint SQL.

È possibile creare i criteri manualmente. Per ulteriori informazioni sul funzionamento dei criteri IAM, vedere Gestione delle identità e degli accessi. Per ulteriori informazioni su tag e spazi di nomi tag da aggiungere ai criteri, vedere Gestione di tag e spazi di nomi tag.

Crea criteri manualmente

Anziché utilizzare i modelli in IAM per creare i criteri per il flusso di dati, è possibile crearli personalmente in IAM Policy Builder.

Attenersi alla procedura descritta in Gestione dei criteri in IAM con i domini di Identity o senza i domini di Identity per creare manualmente i criteri riportati di seguito.

Criteri utente

Applica i criteri utente in IAM.

Per gli utenti di tipo amministrazione degli endpoint SQL:
  • Creare un gruppo nel servizio di identità denominato dataflow-sql-endpoints-admin e aggiungere utenti a questo gruppo.
  • Creare un criterio denominato dataflow-sql-endpoints-admin e aggiungere le istruzioni seguenti:
    ALLOW GROUP dataflow-sql-endpoints-admin TO MANAGE dataflow-sqlendpoint IN compartment <compartment-id>
ALLOW GROUP dataflow-sql-endpoints-admin TO INSPECT data-catalog-metastores IN compartment <compartment-id>
Per tutti gli altri utenti, autorizzati solo a connettere ed eseguire SQL tramite endpoint SQL:
  • Creare un gruppo nel servizio di identità denominato dataflow-sqlendpoint-users e aggiungere utenti a questo gruppo.
  • Creare un criterio denominato dataflow-sqlendpoint-users e aggiungere l'istruzione seguente dopo aver creato un endpoint SQL:
    ALLOW GROUP dataflow-sqlendpoint-users TO USE dataflow-sqlendpoint IN compartment <compartment-id> WHERE target.dataflow-sqlendpoint.id = <sql-endpoint-ocid>
Federazione con un provider di identità

È possibile abilitare il Single Sign-On ai cluster SQL di Data Flow con un provider di identità conforme a SAML 2.0.

Se si utilizzano sistemi SAML 2.0 di federazione delle identità, ad esempio Oracle Identity Cloud Service, Microsoft Active Directory, Okta o qualsiasi altro provider che supporti SAML 2.0, è possibile utilizzare un nome utente e una password in molti sistemi, inclusa la console di Oracle Cloud Infrastructure. Per abilitare questa esperienza Single Sign-On, l'amministratore del tenant (o un altro utente con privilegi uguali) deve impostare la fiducia della federazione in IAM. Per ulteriori dettagli appropriati per il provider di identità, vedere:

Dopo aver configurato la sicurezza di federazione, utilizzare la console di Oracle Cloud Infrastructure per mappare il gruppo di utenti del provider di identità appropriato al gruppo di utenti del flusso di dati richiesto nel servizio di identità.

Criterio del metastore

Gli endpoint SQL di Data Flow devono disporre dell'autorizzazione per eseguire azioni per conto dell'utente o del gruppo nel metastore all'interno della tenancy.

È possibile concedere l'accesso agli endpoint SQL in due modi:
  • Creare un criterio, dataflow-sqlendpoint-metastore, e aggiungere la seguente istruzione:
    ALLOW any-user to {CATALOG_METASTORE_EXECUTE} in tenancy where request.principal.type = 'dataflowsqlendpoint'
  • Crea un gruppo dinamico:
    ALL {resource.compartment.id = '<compartment_id>'}
    e aggiungere il criterio seguente:
    ALLOW DYNAMIC-GROUP <dynamic-group-name> to {CATALOG_METASTORE_EXECUTE, CATALOG_METASTORE_INSPECT, CATALOG_METASTORE_READ}
in tenancy WHERE ALL {request.principal.type='dataflowsqlendpoint'}
Nota

È consentito un solo metastore per ogni tenancy.
Criteri endpoint privati

Sono necessari criteri per utilizzare gli endpoint SQL di flusso dati con endpoint privati.

Per creare, modificare o gestire endpoint privati, sono necessari i criteri riportati di seguito.
  • Per consentire l'utilizzo della virtual-network-family:
    ALLOW GROUP dataflow-sql-endpoint-admin TO USE virtual-network-family IN compartment <compartment-name>
  • Per consentire l'accesso a risorse più specifiche:
    ALLOW GROUP dataflow-sql-endpoint-admin TO MANAGE vnics IN compartment <compartment-name>
ALLOW GROUP dataflow-sql-endpoint-admin TO USE subnets IN compartment <compartment-name>
ALLOW GROUP dataflow-sql-endpoint-admin TO USE network-security-groups IN compartment <compartment-name>
  • Per consentire l'accesso a operazioni specifiche:
    ALLOW GROUP dataflow-sql-endpoint-admin TO MANAGE virtual-network-family IN compartment <compartment-name>
   WHERE any {request.operation='CreatePrivateEndpoint',
              request.operation='UpdatePrivateEndpoint',
              request.operation='DeletePrivateEndpoint'}

Sebbene questi esempi concedano i criteri a dataflow-sql-endpoint-admin, è possibile scegliere di concedere questi criteri a un subset di utenti. In questo modo è possibile limitare gli utenti che possono eseguire operazioni su endpoint privati.

Solo gli utenti del gruppo dataflow-sql-endpoint-admin possono creare endpoint SQL che possono attivare una configurazione di endpoint privato o ripristinare la configurazione di rete a Internet. Per il set di privilegi corretto, vedere Sicurezza. Un utente nel gruppo dataflow-sql-endpoint-users può connettersi a un endpoint SQL ed eseguire SQL.
Nota

Una volta configurati correttamente, gli endpoint privati possono accedere a una combinazione di risorse private sulla VCN e sulle risorse Internet. Fornire una lista di queste risorse nella sezione Zone DNS quando si configura un endpoint privato.
Per ulteriori informazioni sugli endpoint privati, vedere Configurazione di una rete privata.