Documentazione dell'infrastruttura Oracle Cloud

Prerequisiti per abilitare e utilizzare Data Safe

Assicurarsi di disporre delle autorizzazioni utente e servizio applicabili per abilitare e utilizzare Data Safe nell'istanza di Autonomous Data Warehouse associata all'istanza di Fusion Data Intelligence. Inoltre, è necessario assicurarsi che l'istanza di Autonomous Data Warehouse consenta il traffico di rete da Data Safe.

Le autorizzazioni richieste sono:
  • Autorizzazioni utente
    • Criteri generali di Oracle Cloud Infrastructure Identity and Access Management: consente all'utente di elencare e aggiungere criteri all'interno della tenancy Oracle Cloud Infrastructure.
    • Criteri Data Safe: consente all'utente di visualizzare e gestire le risorse Data Safe.
  • Autorizzazioni del servizio: Fusion Data Intelligence richiede l'autorizzazione per abilitare Data Safe in Autonomous Data Warehouse dell'istanza di Fusion Data Intelligence.

Autorizzazioni utente per gestire i criteri di Oracle Cloud Infrastructure Identity and Access Management

La console di Oracle Cloud Infrastructure si basa sull'autorizzazione dell'utente connesso per elencare e creare criteri nella tenancy Oracle Cloud Infrastructure. A seconda delle autorizzazioni dell'utente, si applicano due scenari:
  • Scenario 1: l'utente dispone dell'autorizzazione per gestire i criteri di Identity and Access Management (gestione: lettura e aggiunta di nuovi criteri). In questa situazione, la console di Oracle Cloud Infrastructure verifica se esistono i criteri Data Safe per il servizio Fusion Data Intelligence. Se i criteri risultano mancanti, la console crea automaticamente i criteri del servizio. Successivamente, l'utente applicabile può creare l'istanza di Fusion Data Intelligence con Data Safe o registrare l'istanza esistente con Data Safe.

  • Scenario 2: l'utente dispone solo dell'autorizzazione per leggere i criteri di Identity and Access Management. In questa situazione, la console di Oracle Cloud Infrastructure verifica se esistono i criteri Data Safe per il servizio Fusion Data Intelligence. Se i criteri sono già in vigore, l'utente può continuare a creare l'istanza con Data Safe o registrare l'istanza esistente con Data Safe. Se i criteri non sono presenti, l'utente applicabile deve disabilitare la casella di controllo Abilita Data Safe durante la creazione dell'istanza di Fusion Data Intelligence per continuare o interrompere la creazione dell'istanza e richiedere all'amministratore del servizio di configurare gli utenti, i gruppi e i criteri di scrittura di Identity and Access Management.

    Mentre un amministratore del servizio può scrivere i criteri di Identity and Access Management in base alle proprie esigenze, questi criteri di esempio possono essere utili durante la creazione e la gestione delle istanze di Fusion Data Intelligence con Data Safe:
    allow group <identity_domain_name>/FDIDataSafeUsers to read compartments in tenancy
allow group <identity_domain_name>/FDIDataSafeUsers to read domains in tenancy
allow group <identity_domain_name>/FDIDataSafeUsers to manage policy in tenancy
  • Nota

    Sostituire FDIDataSafeUsers con il gruppo Identity and Access Management appropriato.

Autorizzazioni utente per la visualizzazione e la gestione delle risorse Data Safe

Quando si abilita Data Safe per Autonomous Data Warehouse applicabile, Fusion Data Intelligence crea più risorse Data Safe, tra le altre, come targetDataBase, auditPolicy, auditProfile, auditTrial e alertPolicyAssociations. Creare il criterio generale riportato di seguito per gestire le risorse Data Safe nella tenancy.
allow group <identity_domain_name>/FDIDataSafeUsers to manage data-safe-family in tenancy
Nota

Sostituire FDIDataSafeUsers con il gruppo Identity and Access Management appropriato.

Tuttavia, l'amministratore del servizio può fornire un accesso limitato ai gruppi Identity and Access Management applicabili. Consulta i criteri IAM per Autonomous Database e Crea criteri IAM per gli utenti di Oracle Data Safe.

Autorizzazione per Fusion Data Intelligence per eseguire le operazioni Data Safe

Fusion Data Intelligence richiede l'autorizzazione per eseguire le operazioni correlate a Data Safe su Autonomous Data Warehouse associato. Il sistema verifica che l'utente connesso disponga delle autorizzazioni per elencare e aggiungere criteri e se l'utente connesso dispone delle autorizzazioni e se i criteri non sono ancora stati creati, il sistema crea i criteri riportati di seguito.
allow any-user to manage data-safe in tenancy where all {request.principal.type = 'fawservice', request.principal.compartment.id = target.compartment.id}
allow any-user to manage data-safe-assessment-family in tenancy where all {request.principal.type = 'fawservice', request.principal.compartment.id = target.compartment.id}
allow any-user to manage data-safe-alert-family in tenancy where all {request.principal.type = 'fawservice', request.principal.compartment.id = target.compartment.id}
allow any-user to manage data-safe-audit-family in tenancy where all {request.principal.type = 'fawservice', request.principal.compartment.id = target.compartment.id}
allow any-user to manage virtual-network-family in tenancy where all {request.principal.type = 'fawservice', request.principal.compartment.id = target.compartment.id}

Il sistema crea i criteri Data Safe per Fusion Data Intelligence nel file FDI_ADW_Data_Safe_Policy nel compartimento radice della tenancy. È necessario prestare attenzione durante l'aggiornamento delle istruzioni dei criteri di questo file dei criteri per evitare di limitare Fusion Data Intelligence a eseguire operazioni sicure per i dati su Autonomous Data Warehouse.

Accesso alla rete

Verificare che l'istanza di Autonomous Data Warehouse associata consenta il traffico di rete da Data Safe. Vedere Configure Network Access with Access Control Rules (ACLs) and Private Endpoints.