Documentazione dell'infrastruttura Oracle Cloud

Criteri principal risorsa

Se si utilizza il principal risorsa, ad esempio con lo streaming Spark, sono necessari criteri specifici in Data Flow.

È possibile aggiungere questi criteri per il principal risorsa in tre modi:

Usa modelli principal risorsa flusso dati Policy Builder

Utilizzare i modelli di flusso dati nella Costruzione guidata criteri per impostare i criteri per i principal delle risorse.

Consenti alle risorse di Data Flow di utilizzare lo storage degli oggetti
Consenti a un gruppo dinamico di creare e utilizzare oggetti in una posizione di storage degli oggetti specificata. Creare il criterio nella tenancy.
Consenti alle risorse di Data Flow di utilizzare Oracle Streaming
Consenti a un gruppo dinamico di utilizzare lo streaming Oracle. Creare il criterio nella tenancy.
Consenti alle risorse di Data Flow di scrivere in Oracle Streaming
Consenti a un gruppo dinamico di produrre in Oracle Streaming. Creare il criterio nella tenancy.

Usa un gruppo dinamico

I gruppi dinamici consentono di scrivere criteri più concisi e di riutilizzare lo stesso gruppo. È inoltre possibile fare riferimento alle tag e limitare un gruppo a una determinata applicazione di flusso dati.

  1. Specificare il compartimento da cui consentire tutte le esecuzioni del flusso dati:
    ALL {resource.type='dataflowrun', resource.compartment.id='<compartment_id>'}
    (Facoltativo) È possibile limitare a un'applicazione Data Flow specifica all'interno di un compartimento:
    ALL {resource.type='dataflowrun', resource.compartment.id='<compartment_id>', tag.oci-dataflow.application-id.value='<application_id>'}
  2. Consenti al principal della risorsa Flusso dati di utilizzare un pool di flussi di streaming e un bucket di storage degli oggetti:
    ALLOW DYNAMIC-GROUP DF-IN-ROOT TO {STREAM_INSPECT, STREAM_READ, STREAM_CONSUME} IN TENANCY WHERE ANY {target.streampool.id = '<streampool_id>'}
ALLOW DYNAMIC-GROUP DF-IN-ROOT TO MANAGE OBJECTS IN TENANCY WHERE ANY {target.bucket.name = '<bucket_name>', target.bucket.name = '<bucket_name>'}

Usa criterio all-in-one

Tutti i flussi di dati vengono eseguiti da un compartimento specifico e utilizzano un pool di flussi specifico e un bucket di storage degli oggetti.

ALLOW ANY-USER TO {STREAM_INSPECT, STREAM_READ, STREAM_CONSUME} IN TENANCY WHERE ALL
 {request.principal.type='dataflowrun', request.resource.compartment.id = '<compartment_id>', target.streampool.id = '<streampool_id>'}
ALLOW ANY-USER TO MANAGE OBJECTS IN TENANCY WHERE ALL
 {request.principal.type='dataflowrun', request.resource.compartment.id = '<compartment_id>', target.bucket.name = '<bucket_name>'}