Documentazione di Oracle Cloud Infrastructure

Impostazione dei criteri di identità

L'etichettatura dei dati richiede l'impostazione di criteri in IAM per accedere alle risorse per gestire i data set e i record di etichette.

Per informazioni sul funzionamento dei criteri IAM, consulta la documentazione di IAM senza domini di identità o IAM con domini di identità.

Per informazioni su tag e spazi di nomi tag da aggiungere ai criteri, vedere Gestione di tag e spazi di nomi tag.

Impostazione dei criteri utente

Creare criteri in IAM per gli utenti di Data Labeling, in modo che il servizio funzioni correttamente.

  1. Creare un gruppo per gli utenti.
  2. Aggiungere gli utenti a questo gruppo.
  3. Creare un gruppo dinamico con la regola seguente: 
    ALL { resource.type = 'datalabelingdataset'}
  4. Creare un criterio nel compartimento radice per gli utenti non amministratori: 
    allow group <group-name> to read buckets in compartment <compartment-name>
allow group <group-name> to manage objects in compartment <compartment-name>
allow group <group-name> to read objectstorage-namespaces in compartment <compartment-name>
allow group <group-name> to manage data-labeling-family in compartment <compartment-name>
  5. Creare un criterio nel compartimento radice per il gruppo dinamico: 
    allow dynamic-group <dynamic-group-name> to read buckets in compartment <compartment-name>
allow dynamic-group <dynamic-group-name> to read objects in compartment <compartment-name>
allow dynamic-group <dynamic-group-name> to manage objects in compartment <compartment-name> where any {request.permission='OBJECT_CREATE', request.permission='OBJECT_OVERWRITE'}
  6. (Facoltativo) Gestire la tenancy a seconda delle esigenze, inclusa la limitazione dell'accesso a un compartimento specifico. Per ulteriori informazioni, vedere passi per la gestione della tenancy.
  7. (Facoltativo) Gestire il compartimento in base alle esigenze.

Impostazione dei criteri tra tenancy

Attenersi alla procedura riportata di seguito per impostare i criteri tra tenancy in Etichettatura dati.

Un criterio cross-tenancy consente di condividere le risorse con gli utenti in un'altra tenancy. Ad esempio, puoi scrivere criteri tra tenancy che consentono agli utenti di un gruppo IAM nella tenancy di origine di eseguire operazioni sui set di dati nella tenancy di destinazione. Per ulteriori informazioni sui criteri tra tenancy, vedere Accesso alle risorse di storage degli oggetti tra tenancy.

Nell'esempio seguente, gli utenti del gruppo group-name, nella tenancy source-tenancy, desiderano utilizzare la funzionalità Etichettatura dati in una tenancy diversa, denominata destination-tenancy.

  1. Creare un gruppo in source-tenancy e aggiungervi utenti.
  2. Aggiungere i seguenti criteri in source-tenancy, in modo che group-name venga approvato e possa gestire il set di dati in destination-tenancy: 
    DEFINE tenancy destination-tenancy AS <destination-tenancy-ocid>
ENDORSE group group-name TO manage data-labeling-family IN tenancy destination-tenancy
  3. In destination-tenancy aggiungere le istruzioni dei criteri che consentono a group-name di operare sul set di dati: 
    DEFINE tenancy source-tenancy AS <source-tenancy-ocid>
DEFINE group group-name AS <source-tenancy-group-ocid>
ADMIT group group-name OF tenancy source-tenancy TO manage data-labeling-family IN tenancy
  4. (Facoltativo) È possibile aggiungere un criterio per limitare l'accesso a un compartimento specifico all'interno di destination-tenancy. In questo esempio, il compartimento è denominato dataset-compartment: 
    DEFINE tenancy source-tenancy AS <source-tenancy-ocid>
DEFINE group group-name AS <source-tenancy-group-ocid>
ADMIT group group-name OF tenancy source-tenancy TO manage data-labeling-family IN compartment dataset-compartment
  5. (Facoltativo) Se il bucket è presente in destination-tenancy, è necessario aggiungere criteri cross-tenancy anche per le risorse di storage degli oggetti. Aggiungere le seguenti istruzioni dei criteri per consentire al gruppo, group-name, di accedere alle risorse di storage degli oggetti in destination-tenancy:
    In source-tenancy aggiungere:
    ENDORSE group group-name to read buckets in tenancy destination-tenancy
ENDORSE group group-name to manage objects in tenancy destination-tenancy
ENDORSE group group-name to read objectstorage-namespaces in tenancy destination-tenancy
    In destination-tenancy aggiungere: 
    ADMIT group group-name of tenancy source-tenancy to read buckets in tenancy
ADMIT group group-name of tenancy source-tenancy to manage objects in tenancy
ADMIT group group-name of tenancy source-tenancy to read objectstorage-namespaces in tenancy
    Per ulteriori informazioni sulla scrittura dei criteri cross-tenancy per , vedere Accesso alle risorse di storage degli oggetti tra tenancy.

Impostazione dei criteri tra tenancy per associare il data set a un bucket di storage degli oggetti

Se il data set Assegnazione etichette dati viene creato in una tenancy diversa dal bucket di storage degli oggetti, è necessario un criterio per associare il data set e il bucket.

Per l'accesso tra tenancy, è possibile che si disponga di uno dei tre scenari riportati di seguito, che richiedono un criterio di associazione.

  1. L'utente e il bucket di storage degli oggetti si trovano nella stessa tenancy (che in questo esempio è la tenancy A) e il data set si trova in una tenancy diversa (che in questo esempio è la tenancy B).
    1. Aggiungere il criterio seguente nella tenancy A:
      define tenancy B as <tenancy-B-ocid> 
endorse group Group-A associate buckets in tenancy with data-labeling-datasets in tenancy B
    2. Aggiungere il criterio seguente nella tenancy B:
      define tenancy A as <tenancy-A-ocid>
define group Group-A as <Group-A-ocid>
Admit group Group-B of tenancy A associate buckets in tenancy A with data-labeling-datasets in tenancy
  2. L'utente e il set di dati si trovano nella stessa tenancy (che in questo esempio è la tenancy A) e il bucket si trova in una tenancy diversa (che in questo esempio è la tenancy B).
    1. Aggiungere il criterio seguente nella tenancy A:
      define tenancy B as <tenancy-B-ocid> 
endorse group Group-A associate buckets in tenancy B with data-labeling-datasets in tenancy
    2. Aggiungere il criterio seguente nella tenancy B:
      define tenancy A as <tenancy-A-ocid>
define group Group-A as <Group-A-ocid>
Admit group Group-A of tenancy A associate buckets in tenancy with data-labeling-datasets in tenancy A
  3. L'utente si trova in una tenancy (che in questo esempio è la tenancy A), il data set si trova in un'altra tenancy (che in questo esempio è la tenancy B) e il bucket si trova in una terza tenancy (che in questo esempio è la tenancy C).
    1. Aggiungere il criterio seguente nella tenancy A:
      define tenancy B as <tenancy-B-ocid> 
define tenancy C as <tenancy-C-ocid> 
endorse group Group-A associate buckets in tenancy C with data-labeling-datasets in tenancy B
    2. Aggiungere il criterio seguente nella tenancy B:
      define tenancy A as <tenancy-A-ocid>
define tenancy C as <tenancy-C-ocid>
define group Group-A as <Group-A-ocid>
Admit group Group-A of tenancy A associate buckets in tenancy C with data-labeling-datasets in tenancy
    3. Aggiungere il criterio seguente nella tenancy C:
      define tenancy A as <tenancy-A-ocid>
define tenancy B as <tenancy-B-ocid>
define group Group-A as <Group-A-ocid>
Admit group Group-A of tenancy A associate buckets in tenancy with data-labeling-datasets in tenancy B