Criteri di Data Flow

Per controllare chi ha accesso a Data Flow e il tipo di accesso per ogni gruppo di utenti, è necessario creare criteri.

Per impostazione predefinita, solo gli utenti del gruppo Administrators possono accedere a tutte le risorse di Data Flow. Per tutti gli altri utenti coinvolti in Data Flow, è necessario impostare criteri che assegnino loro i diritti appropriati alle risorse di Data Flow.

Per un elenco completo dei criteri di Oracle Cloud Infrastructure, consulta il riferimento ai criteri.

Resource-Types

Data Flow offre tipi di risorse sia aggregati che individuali per la scrittura dei criteri.

È possibile utilizzare i tipi di risorsa aggregati per scrivere un numero inferiore di criteri. Ad esempio, anziché consentire a un gruppo di gestire dataflow-application e dataflow-run, è possibile disporre di un criterio che consenta al gruppo di gestire il tipo di risorsa aggregata, dataflow-family.


Tipo risorsa aggregata	Tipi di risorse individuali
`dataflow-family`	`dataflow-application` `dataflow-run` `dataflow-cluster` `dataflow-role` `dataflow-pool` `dataflow-sqlendpoint` `dataflow-sqlendpoint-role`

Variabili supportate

Per aggiungere condizioni ai criteri, puoi utilizzare variabili generali o specifiche del servizio Oracle Cloud Infrastructure.


Operazioni per questo tipo di risorsa...	Può utilizzare queste variabili...	Tipo di variabile	Commenti
`dataflow-application`	`target.application.id`	Entità (OCID)	Non disponibile per l'utilizzo con `CreateApplication`.
`dataflow-run`	`target.run.id`	Entità (OCID)	Non disponibile per l'utilizzo con `CreateRun`.
`dataflow-run`	`target.user.id`	Entità (OCID)	Assegnare all'utente che ha creato un'autorizzazione di esecuzione per l'esecuzione. Ad esempio, consentire all'utente di annullare l'esecuzione.
`dataflow-cluster`	`target.cluster.id`
`dataflow-role`
`dataflow-pool`	`target.pool.id`		Non disponibile per l'utilizzo con `CreatePool`.
`dataflow-sqlendpoint`	`target.dataflow-sqlendpoint.id`	Entità (OCID)	Consente a un gruppo specificato di utilizzare l'endpoint SQL.
`dataflow-sqlendpoint`	`target.user.id`	Entità (OCID)	Consente di concedere all'utente che ha creato un endpoint SQL l'autorizzazione necessaria. Assegnare all'utente che ha creato un endpoint SQL un'autorizzazione per tale endpoint SQL. Ad esempio, consentire all'utente di utilizzare l'endpoint SQL.

Ad esempio:

allow group <group_name> to use dataflow-application in compartment <compartment_name> where target.application.id = '<some_application_OCID>'

allow group <group_name> to manage dataflow-run in in compartment Ccompartment_name> where target.run.id != '<some_run_id>'

allow group <group_name> to manage dataflow-run in <tenancy> where target.user.id = request.user.id

L'ultimo esempio mostra che l'utente che crea un'esecuzione è l'unico che può gestirla. Cioè, solo l'utente può aggiornare, spostare o annullare l'esecuzione.

Esempio per gli endpoint SQL:

allow group <group_name> to use dataflow-sqlendpoint in compartment <compartment_name> where target.dataflow-sqlendpoint.id = '<sql-endpoint-ocid>'

allow group <group_name> to use dataflow-sqlendpoint where request.permission=DATAFLOW_SQL_ENDPOINT_CONNECT

allow group <group_name> to use dataflow-sqlendpoint where target.user.id = request.user.id

Dettagli per combinazioni Verbi + Tipo risorsa

Le tabelle riportate di seguito mostrano le autorizzazioni e le operazioni API coperte da ciascun verbo per il flusso di dati. Il livello di accesso è cumulativo man mano che si passa da inspect > read > use > manage. Un segno più (+) in una cella di tabella indica l'accesso incrementale rispetto alla cella direttamente sopra di essa, mentre "nessun extra" indica nessun accesso incrementale.

applicazione flusso di dati
Verbo	Autorizzazioni	API completamente coperte	API parzialmente coperte
INSPECT	DATAFLOW_APPLICATION_INSPECT	`ListApplications`	nessuno
READ	ISPEZIONA + DATAFLOW_APPLICATION_READ	ISPEZIONA + `GetApplication`	nessuno
USE	LETTO + DATAFLOW_APPLICATION_UPDATE	LETTO + `UpdateApplication`	nessuno
GESTISCI	USE + DATAFLOW_APPLICATION_CREATE, DATAFLOW_APPLICATION_DELETE	USE + `CreateApplication`, `DeleteApplication`	nessuno

esecuzione del flusso di dati
Verbo	Autorizzazioni	API completamente coperte	API parzialmente coperte
INSPECT	DATAFLOW_RUN_INSPECT	`ListRuns`, `ListRunLogs`	nessuno
READ	ISPEZIONA + DATAFLOW_RUN_READ	ISPEZIONA + `GetRun`, `GetRunLog`, `GetLogsUIToken`, `GetSparkUIToken`	nessuno
USE	LETTO + DATAFLOW_RUN_UPDATE	LETTO + `UpdateRun`	nessuno
GESTISCI	USE+ DATAFLOW_RUN_CREATE, DATAFLOW_RUN_DELETE	USE+ `CreateRun`, `CancelRun`	nessuno

ruoli flusso di dati
Verbo	Autorizzazioni	API completamente coperte	API parzialmente coperte
INSPECT	DATAFLOW_POOL_INSPECT	`ListPool`	nessuno
READ	ISPEZIONA + DATAFLOW_POOL_READ	ISPEZIONA + `GetPool`	nessuno
USE	LETTO + DATAFLOW_POOL_UPDATE	LETTO + `UpdatePool`	nessuno
GESTISCI	USE+ DATAFLOW_POOL_CREATE DATAFLOW_POOL_DELETE DATAFLOW_POOL_MOVE	USE+ `CreatePool` `DeletePool` `MovePool`	nessuno

dataflow-sql-endpoint
Verbo	Autorizzazioni	API completamente coperte	API parzialmente coperte
INSPECT	FLUSSO DI DATI: SQLENDPOINT_INSPECT	`ListSqlEndpoint`	nessuno
READ	ISPEZIONA + FLUSSO DI DATI: SQLENDPOINT_READ	ISPEZIONA + `GetSqlEndpoint`	nessuno
USE	LETTO + FLUSSO DI DATI: SQLENDPOINT_UPDATE	LETTO + `UpdateSqlEndpoint`	nessuno
GESTISCI	USE+ FLUSSO DI DATI: SQLENDPOINT_CREATE FLUSSO DI DATI: SQLENDPOINT_DELETE FLUSSO DI DATI: SQLENDPOINT_MOVE FLUSSO DI DATI: SQLENDPOINT_UPDATE	USE+ `CreateSqlEndpoint` `DeleteSqlEndpoint` `ChangeSQLEndpointCompartment` `UpdateSqlEndpoint`	nessuno

Nota

Le API coperte per il tipo di risorsa dataflow-family aggregato coprono le API per dataflow-application e dataflow-run. Ad esempio, allow group dataflow-admins to manage dataflow-family in compartment x equivale alla scrittura dei due criteri seguenti:

allow group dataflow-admins to manage dataflow-application in compartment x

allow group dataflow-admins to manage dataflow-run in compartment x

Autorizzazioni necessarie per ogni operazione API

Nella tabella seguente sono elencate le operazioni API in ordine logico, raggruppate per tipo di risorsa. I tipi di risorsa sono dataflow-application e dataflow-run.

Per informazioni sulle autorizzazioni, vedere autorizzazioni.


Operazione API	Autorizzazioni necessarie per utilizzare l'operazione
`ListApplications`	DATAFLOW_APPLICATION_INSPECT
`GetApplication`	DATAFLOW_APPLICATION_READ
`UpdateApplication`	DATAFLOW_APPLICATION_UPDATE
`CreateApplication`	DATAFLOW_APPLICATION_CREATE
`DeleteApplication`	DATAFLOW_APPLICATION_DELETE
`ListRuns`	DATAFLOW_RUN_INSPECT
`GetRun`	DATAFLOW_RUN_READ
`CreateRun`	DATAFLOW_RUN_CREATE
`UpdateRun`	DATAFLOW_RUN_UPDATE
`CancelRun`	DATAFLOW_RUN_DELETE
`ListRunLogs`	DATAFLOW_RUN_INSPECT
`GetRunLog`	DATAFLOW_RUN_READ
`GetLogsUIToken`	DATAFLOW_RUN_READ
`GetSparkUIToken`	DATAFLOW_RUN_READ
`CreatePool`	DATAFLOW_POOL_CREATE
`StartPool`	DATAFLOW_POOL_CREATE
`StopPool`	DATAFLOW_POOL_CREATE
`ListPools`	DATAFLOW_POOL_INSPECT
`GetPool`	DATAFLOW_POOL_READ
`UpdatePool`	DATAFLOW_POOL_UPDATE
`DeletePool`	DATAFLOW_POOL_DELETE
`MovePool`	DATAFLOW_POOL_MOVE
`CreateSqlEndpoint`	FLUSSO DI DATI: SQLENDPOINT_CREATE
`GetSqlEndpoint`	FLUSSO DI DATI: SQLENDPOINT_READ
`DeleteSqlEndpoint`	FLUSSO DI DATI: SQLENDPOINT_DELETE
`ListSqlEndpoint`	FLUSSO DI DATI: SQLENDPOINT_INSPECT
`SqlEndpointConnect`	FLUSSO DI DATI: SQLENDPOINT_CONNECT
`ChangeSqlEndpointCompartment`	FLUSSO DI DATI: SQLENDPOINT_MOVE

Documentazione dell'infrastruttura Oracle Cloud

Criteri di Data Flow

Resource-Types

Variabili supportate

Dettagli per combinazioni Verbi + Tipo risorsa

Autorizzazioni necessarie per ogni operazione API