Crea criteri IAM per gli utenti di Oracle Data Safe
Un amministratore della tenancy può creare criteri in Oracle Cloud Infrastructure Identity and Access Management (IAM) che concedono agli utenti l'accesso alle risorse per Oracle Data Safe.
Per ulteriori informazioni sulle risorse e sulle relative autorizzazioni, vedere Risorse OCI per Oracle Data Safe.
Passi generali per la creazione di un criterio IAM per Oracle Data Safe
Per creare un criterio IAM che concede a un gruppo di utenti le autorizzazioni per le risorse Oracle Data Safe, effettuare le operazioni riportate di seguito.
-
In qualità di amministratore della tenancy, dal menu di navigazione in Oracle Cloud Infrastructure selezionare Identità e sicurezza, quindi selezionare Criteri.
Viene visualizzata la pagina Criteri in Oracle Cloud Infrastructure Identity and Access Management (IAM).
-
Accanto a Filtri applicati, selezionare il compartimento in cui si desidera memorizzare il criterio. È possibile selezionare il compartimento
root, se necessario. Un criterio si applica al compartimento in cui è definito e a tutti i relativi compartimenti secondari. -
Selezionare Crea criterio.
Viene aperta la pagina Crea criterio.
-
Immettere un nome per il criterio. Non sono consentiti spazi. Sono consentiti solo lettere, numeri, trattini, punti e caratteri di sottolineatura.
-
Immettere una breve descrizione per il criterio.
-
Selezionare un compartimento diverso, se necessario.
-
Nella sezione Costruzione guidata criteri selezionare Mostra editor manuale.
Viene visualizzata una casella in cui è possibile immettere le istruzioni dei criteri.
-
Immettere una o più istruzioni dei criteri utilizzando la sintassi seguente.
Allow group <group-name> to <verb> <resource-type> in compartment <compartment-name>Per
<group-name>, immettere il nome del gruppo IAM a cui si applica il criterio.Per
<verb>, è possibile utilizzareinspect,read,useomanage.Per
<resource-type>, immettere una risorsa utilizzata da Oracle Data Safe. Per un elenco delle risorse, vedere Risorse OCI per Oracle Data Safe.Per
<compartment>, immettere il nome del compartimento contenente le risorse alle quali si desidera concedere le autorizzazioni.Per specificare i compartimenti secondari in un'istruzione dei criteri, utilizzare la sintassi seguente, dove
<parent-compartment>è il compartimento sotto il compartimentoroote<child-compartment>è il compartimento sotto il compartimento<parent-compartment>. È possibile aggiungere tutti i compartimenti figlio necessari separati da due punti.allow group <group-name> to <verb> <resource-type> in compartment <parent-compartment>:<child-compartment> -
Per aggiungere tag, selezionare Aggiungi tag e configurare le tag.
-
Selezionare Crea.
Creare un gruppo di amministratori di Oracle Data Safe
Un amministratore della tenancy può creare un gruppo di amministratori Oracle Data Safe in Oracle Cloud Infrastructure Identity and Access Management (IAM). Lo scopo di questo gruppo è supervisionare e gestire le risorse Oracle Data Safe in un'area.
-
Come amministratore della tenancy, accedi a IAM in Oracle Cloud Infrastructure.
-
Creare un gruppo per gli amministratori di Oracle Data Safe e gli utenti appropriati per il gruppo.
-
Creare un criterio per il gruppo di amministratori di Oracle Data Safe che consenta al gruppo di
managela risorsadata-safe-family. Gli esempi riportati di seguito mostrano diversi modi per eseguire questa operazione.-
Opzione 1: consentire al gruppo
Data-Safe-Adminsdi gestire le risorse Oracle Data Safe nell'intera tenancy.Allow group Data-Safe-Admins to manage data-safe-family in tenancy -
Opzione 2: consentire al gruppo
Data-Safe-Adminsdi gestire tutti i tipi di risorse Oracle Cloud Infrastructure nella tenancy (incluse le risorse Oracle Data Safe).Allow group Data-Safe-Admins to manage all-resources in tenancy -
Opzione 3: consentire a un gruppo
Data-Safe-Adminsdi gestire tutti i tipi di risorse Oracle Data Safe nell'areaus-phoenix-1di una tenancy.Allow group Data-Safe-Admins to manage data-safe-family in tenancy where request.region='phx'
-
Autorizzazione per accedere a tutte le risorse di una funzione Oracle Data Safe
È possibile utilizzare una risorsa della famiglia Oracle Data Safe per concedere rapidamente a un gruppo di utenti l'autorizzazione su tutte le risorse per una determinata funzione Oracle Data Safe. Ad esempio, per concedere a un gruppo di utenti l'autorizzazione per eseguire tutti i task in Data Masking, concedere al gruppo di utenti l'autorizzazione manage sulla risorsa data-safe-masking-family. Le risorse della famiglia relative a funzioni specifiche includono data-safe-assessment-family (per la valutazione della sicurezza e la valutazione dell'utente), data-safe-discovery-family (per la ricerca automatica dei dati), data-safe-masking-family (per il mascheramento dei dati), data-safe-alert-family (per gli avvisi), data-safe-audit-family (per l'audit delle attività) e data-safe-family (per tutte le funzioni).
Per concedere a un gruppo di utenti l'autorizzazione ad accedere a una funzione Oracle Data Safe, creare un criterio in Oracle Cloud Infrastructure Identity and Access Management (IAM) che consenta al gruppo di utilizzare le risorse list, read, use o manage per la funzione.
Di seguito sono riportati due esempi.
-
Esempio 1: per consentire a un gruppo di elencare e visualizzare i dettagli per tutte le risorse per una determinata famiglia Oracle Data Safe in un compartimento specifico, scrivere l'istruzione dei criteri nel modo seguente:
allow group <group-name> to read <data-safe-family-name> in compartment <compartment-name> -
Esempio 2: per consentire a un gruppo di eseguire qualsiasi task correlato a una funzione Oracle Data Safe in un compartimento specifico, scrivere l'istruzione dei criteri nel modo seguente:
allow group <group-name> to manage <data-safe-family-name> in compartment <compartment-name>
Permesso di accedere a una risorsa specifica
Ogni risorsa della famiglia Oracle Data Safe è composta da diverse risorse che riguardano tale funzione. Nella maggior parte dei casi, è possibile concedere a un gruppo di utenti l'autorizzazione inspect, read, use o manage su una di tali risorse specifiche, anziché concedere al gruppo l'accesso a tutte le risorse della famiglia.
-
L'autorizzazione
inspectconsente a un gruppo di utenti di visualizzare la lista degli oggetti risorsa. Ad esempio, se un gruppo dispone dell'autorizzazioneinspectper la risorsadata-safe-audit-policies, tale gruppo può visualizzare la lista dei criteri di audit in Security Center. Non è tuttavia possibile selezionare un criterio di audit e visualizzarne i dettagli. -
L'autorizzazione
readconsente a un gruppo di utenti di visualizzare la lista degli oggetti risorsa e le relative proprietà. Utilizzando il nostro esempio precedente, il gruppo di utenti può selezionare un criterio di audit e visualizzarne i dettagli. -
L'autorizzazione
useinclude l'autorizzazionereade la possibilità di utilizzare le risorse esistenti (le azioni variano in base al tipo di risorsa). Include la possibilità di aggiornare la risorsa, ad eccezione dei tipi di risorsa in cui l'operazione di aggiornamento ha lo stesso impatto effettivo dell'operazione di creazione, nel qual caso la capacità di aggiornamento è disponibile solo con il verbomanage. In generale, questo verbo non include la possibilità di creare o eliminare quel tipo di risorsa. -
In genere, l'autorizzazione
manageconcede al gruppo di utenti l'autorizzazione completa per la risorsa (elenco, vista, aggiornamento, creazione, eliminazione e spostamento). Utilizzando il nostro esempio precedente, se il gruppo dispone dell'autorizzazionemanage, può elencare e visualizzare i dettagli per i criteri di audit, nonché aggiornarli, crearli, eliminarli e spostarli.
Tenere presente che tutte e quattro le autorizzazioni (ispezionare, leggere, utilizzare e gestire) potrebbero non essere disponibili per tutte le risorse. Inoltre, a volte l'autorizzazione manage concede solo un sottoinsieme di operazioni (ad esempio: elencare, leggere, aggiornare, creare, eliminare e/o spostare). Pertanto, è meglio fare riferimento alla risorsa stessa per capire cosa è possibile.
Ecco tre esempi:
-
Esempio 1: creare un criterio per un gruppo di utenti che consenta al gruppo di elencare gli oggetti risorsa in Security Center. Ad esempio, l'istruzione criterio riportata di seguito consente a un gruppo di utenti denominato
IT-Securitydi visualizzare la lista dei profili di audit nel compartimento denominatoInfo-Tech.allow group IT-Security to inspect data-safe-audit-profiles in compartment Info-Tech -
Esempio 2: creare un criterio per un gruppo di utenti che consenta al gruppo di elencare e visualizzare le proprietà per una risorsa. Ad esempio, l'istruzione criterio riportata di seguito consente a un gruppo di utenti denominato
IT-Securitydi elencare e visualizzare le proprietà per i profili di audit nel compartimento denominatoInfo-Tech.allow group IT-Security to read data-safe-audit-profiles in compartment Info-Tech -
Esempio 3: creare un criterio per un gruppo di utenti che consenta al gruppo di gestire una risorsa. Ad esempio, l'istruzione dei criteri seguente consente a un gruppo di utenti denominato
IT-Securitydi gestire i profili di audit nel compartimento denominatoInfo-Tech.allow group IT-Security to manage data-safe-audit-profiles in compartment Info-Tech
Autorizzazioni per registrare un Autonomous AI Database con Oracle Data Safe
Per registrare un Autonomous AI Database con Oracle Data Safe, un gruppo di utenti richiede le autorizzazioni in Oracle Cloud Infrastructure Identity and Access Management (IAM) per effettuare le operazioni riportate di seguito.
-
Accedi ad Autonomous AI Database: il gruppo di utenti richiede almeno l'autorizzazione
usesulla risorsaautonomous-databasein Oracle Cloud Infrastructure, ad esempio:allow group <group-name> to use autonomous-database in compartment <compartment-name> -
Registrare un database di destinazione con Oracle Data Safe: il gruppo di utenti richiede l'autorizzazione
managesulla risorsatarget-databases, ad esempio:allow group <group-name> to manage target-databases in compartment <compartment-name> -
Per un Autonomous AI Database che dispone di un indirizzo IP privato: il gruppo di utenti richiede almeno l'autorizzazione
usesu un endpoint privato Oracle Data Safe e sulle risorse di rete virtuali di base dell'endpoint privato per i compartimenti pertinenti. Ad esempio, le istruzioni seguenti consentono a un gruppo di creare un endpoint privato:allow group <group-name> to manage data-safe-private-endpoints in compartment <compartment-name> allow group <group-name> to manage virtual-network-family in compartment <compartment-name>Se il gruppo dispone già di un endpoint privato Oracle Data Safe e desidera riutilizzarlo, sostituire
manageconusenelle istruzioni precedenti.
Autorizzazioni per registrare un database Oracle Cloud con Oracle Data Safe
Per registrare un database Oracle Cloud con Oracle Data Safe, un gruppo di utenti richiede le autorizzazioni in Oracle Cloud Infrastructure Identity and Access Management (IAM) per eseguire le operazioni riportate di seguito.
-
Accedi al database Oracle Cloud:
allow group <group-name> to manage database-family in compartment <compartment-name> allow group <group-name> to inspect vnics in tenancy -
(Solo Exadata Cloud Service) Esaminare i cluster di virtual machine cloud nella tenancy:
allow group <group-name> to inspect cloud-vmclusters in tenancy -
Registrare un database di destinazione con Oracle Data Safe:
allow group <group-name> to manage target-databases in compartment <compartment-name> -
Utilizzare o creare un endpoint privato Oracle Data Safe: il gruppo di utenti richiede almeno l'autorizzazione
usesu un endpoint privato Oracle Data Safe e sulle risorse di rete virtuali di base dell'endpoint privato per i compartimenti pertinenti. Ad esempio, le istruzioni seguenti consentono a un gruppo di creare un endpoint privato:allow group <group-name> to manage data-safe-private-endpoints in compartment <compartment-name> allow group <group-name> to manage virtual-network-family in compartment <compartment-name>Se il gruppo dispone già di un endpoint privato Oracle Data Safe e desidera riutilizzarlo, sostituire
manageconusenelle istruzioni precedenti.
Autorizzazioni per registrare un Oracle Database on-premise con Oracle Data Safe
Per registrare un Oracle Database in locale con Oracle Data Safe, un gruppo di utenti richiede le autorizzazioni in Oracle Cloud Infrastructure Identity and Access Management (IAM) per eseguire le operazioni riportate di seguito.
-
Registrare un database di destinazione con Oracle Data Safe:
allow group <group-name> to manage target-databases in compartment <compartment-name> -
(Opzione 1) Usare o creare un endpoint privato di Oracle Data Safe: se il database di destinazione dispone di un indirizzo IP privato, è possibile connettersi utilizzando un endpoint privato di Oracle Data Safe. Il gruppo di utenti richiede almeno l'autorizzazione
usesu un endpoint privato Oracle Data Safe e sulle risorse di rete virtuali di base dell'endpoint privato per i compartimenti pertinenti. Ad esempio, le istruzioni seguenti consentono a un gruppo di creare un endpoint privato:allow group <group-name> to manage data-safe-private-endpoints in compartment <compartment-name> allow group <group-name> to manage virtual-network-family in compartment <compartment-name>Se il gruppo dispone già di un endpoint privato Oracle Data Safe e desidera riutilizzarlo, sostituire
manageconusenelle istruzioni precedenti. -
(Opzione 2) Usare o creare un connettore in locale Oracle Data Safe: se il database di destinazione dispone di un indirizzo IP privato, è possibile connettersi ad esso utilizzando un connettore in locale Oracle Data Safe. Includere l'autorizzazione per accedere o creare un connettore in locale, ad esempio:
allow group <group-name> to manage onprem-connectors in compartment <compartment-name>
Autorizzazioni per registrare un Oracle Database in un'istanza di computazione con Oracle Data Safe
Per registrare un Oracle Database in un'istanza di computazione in Oracle Cloud Infrastructure con Oracle Data Safe, un gruppo di utenti richiede le autorizzazioni in Oracle Cloud Infrastructure Identity and Access Management (IAM) per eseguire le operazioni riportate di seguito.
-
Registrare un database di destinazione con Oracle Data Safe:
allow group <group-name> to manage target-databases in compartment <compartment-name> -
Accedere alle informazioni sull'istanza di computazione del database di destinazione:
Allow group <group-name> to read instance-family in compartment <compartment-name> -
(Opzione 1) Usare o creare un endpoint privato di Oracle Data Safe: il gruppo di utenti richiede almeno l'autorizzazione
usesu un endpoint privato di Oracle Data Safe e sulle risorse di rete virtuali di base dell'endpoint privato per i compartimenti pertinenti. Ad esempio, le istruzioni seguenti consentono a un gruppo di creare un endpoint privato:allow group <group-name> to manage data-safe-private-endpoints in compartment <compartment-name> allow group <group-name> to manage virtual-network-family in compartment <compartment-name>Se il gruppo dispone già di un endpoint privato Oracle Data Safe e desidera riutilizzarlo, sostituire
manageconusenelle istruzioni precedenti. -
(Opzione 2) Utilizzare o creare un connettore in locale di Oracle Data Safe: includere l'autorizzazione per utilizzare o creare un connettore in locale di Oracle Data Safe, ad esempio:
allow group <group-name> to manage onprem-connectors in compartment <compartment-name>
Autorizzazioni per registrare un database Oracle Cloud@Customer con Oracle Data Safe
Per registrare un database Oracle Cloud@Customer (Oracle Exadata Database Service on Cloud@Customer o Oracle Autonomous AI Database on Exadata Cloud@Customer) con Oracle Data Safe, un gruppo di utenti richiede le autorizzazioni in Oracle Cloud Infrastructure Identity and Access Management (IAM) per eseguire le seguenti operazioni:
-
Registrare un database di destinazione con Oracle Data Safe:
allow group <group-name> to manage target-databases in compartment <compartment-name> -
(Oracle Exadata Database Service on Cloud@Customer) Registrare o aggiornare il database di destinazione:
allow group <group-name> to inspect exadata-infrastructures in compartment <compartment-name> allow group <group-name> to inspect vmcluster-network in compartment <compartment-name> -
(Oracle Autonomous AI Database on Exadata Cloud@Customer) Registra o aggiorna il database di destinazione:
allow group <group-name> to read autonomous-databases in compartment <compartment-name> allow group <group-name> to inspect autonomous-container-databases in compartment <compartment-name> allow group <group-name> to inspect autonomous-vmclusters in compartment <compartment-name> allow group <group-name> to inspect exadata-infrastructures in compartment <compartment-name> allow group <group-name> to inspect vmcluster-network in compartment <compartment-name> -
(Opzione 1) Usare o creare un endpoint privato di Oracle Data Safe: il gruppo di utenti richiede almeno l'autorizzazione
usesu un endpoint privato di Oracle Data Safe e sulle risorse di rete virtuali di base dell'endpoint privato per i compartimenti pertinenti. Ad esempio, le istruzioni seguenti consentono a un gruppo di creare un endpoint privato:allow group <group-name> to manage data-safe-private-endpoints in compartment <compartment-name> allow group <group-name> to manage virtual-network-family in compartment <compartment-name>Se il gruppo dispone già di un endpoint privato Oracle Data Safe e desidera riutilizzarlo, sostituire
manageconusenelle istruzioni precedenti. -
(Opzione 2) Utilizzare o creare un connettore in locale di Oracle Data Safe: includere l'autorizzazione per utilizzare o creare un connettore in locale di Oracle Data Safe, ad esempio:
allow group <group-name> to manage onprem-connectors in compartment <compartment-name>
Autorizzazioni per registrare un Amazon RDS per Oracle Database con Oracle Data Safe
Per registrare un Amazon RDS per Oracle Database con Oracle Data Safe, un gruppo di utenti richiede le autorizzazioni in Oracle Cloud Infrastructure Identity and Access Management (IAM) per effettuare le operazioni riportate di seguito.
-
Registrare un database di destinazione con Oracle Data Safe:
allow group <group-name> to manage target-databases in compartment <compartment-name> -
(Opzione 1) Usare o creare un endpoint privato di Oracle Data Safe: se il database dispone di un indirizzo IP privato, è possibile connettersi ad esso utilizzando un endpoint privato di Oracle Data Safe. Il gruppo di utenti richiede almeno l'autorizzazione
usesu un endpoint privato Oracle Data Safe e sulle risorse di rete virtuali di base dell'endpoint privato per i compartimenti pertinenti. Ad esempio, le istruzioni seguenti consentono a un gruppo di creare un endpoint privato:allow group <group-name> to manage data-safe-private-endpoints in compartment <compartment-name> allow group <group-name> to manage virtual-network-family in compartment <compartment-name>Se il gruppo dispone già di un endpoint privato Oracle Data Safe e desidera riutilizzarlo, sostituire
manageconusenelle istruzioni precedenti. -
(Opzione 2) Usare o creare un connettore in locale Oracle Data Safe: se il database dispone di un indirizzo IP privato, è possibile connettersi ad esso utilizzando un connettore in locale Oracle Data Safe. Includere l'autorizzazione per accedere o creare un connettore in locale, ad esempio:
allow group <group-name> to manage onprem-connectors in compartment <compartment-name>
Autorizzazioni per registrare un database di destinazione con Oracle Data Safe
Per registrare un database di destinazione con Oracle Data Safe, un gruppo di utenti richiede l'autorizzazione manage sulla risorsa target-databases in Oracle Cloud Infrastructure Identity and Access Management (IAM).
Esempio: registrare un database di destinazione con Oracle Data Safe
allow group <group-name> to manage target-databases in compartment <compartment-name>Autorizzazioni per un endpoint privato di Oracle Data Safe
Per utilizzare o creare un endpoint privato Oracle Data Safe, un gruppo di utenti richiede le autorizzazioni per le risorse data-safe-private-endpoints e virtual-network-family in Oracle Cloud Infrastructure Identity and Access Management (IAM).
Se il database di destinazione dispone di un indirizzo IP privato, è possibile connettersi ad esso utilizzando un endpoint privato Oracle Data Safe. Il gruppo di utenti richiede almeno l'autorizzazione use su un endpoint privato Oracle Data Safe e sulle risorse di rete virtuali di base dell'endpoint privato per i compartimenti pertinenti.
Esempio: le istruzioni seguenti consentono a un gruppo di creare un endpoint privato
allow group <group-name> to manage data-safe-private-endpoints in compartment <compartment-name>
allow group <group-name> to manage virtual-network-family in compartment <compartment-name>Se il gruppo dispone già di un endpoint privato Oracle Data Safe e desidera riutilizzarlo, sostituire manage con use nelle istruzioni precedenti.
Autorizzazioni per un connettore Oracle Data Safe in locale
Per utilizzare o creare un connettore in locale Oracle Data Safe, un gruppo di utenti richiede le autorizzazioni per la risorsa onprem-connectors in Oracle Cloud Infrastructure Identity and Access Management (IAM).
Se il database di destinazione dispone di un indirizzo IP privato, è possibile connettersi ad esso utilizzando un connettore in locale di Oracle Data Safe.
Esempio: includere l'autorizzazione per accedere o creare un connettore in locale
allow group <group-name> to manage onprem-connectors in compartment <compartment-name>Permesso di eseguire valutazioni e visualizzare i dati di audit e avvisi
Se un gruppo di utenti deve solo essere in grado di eseguire valutazioni e visualizzare i dati di audit e alert, è possibile creare un criterio con le istruzioni riportate di seguito. Con questo criterio, il gruppo di utenti non può modificare i criteri di mascheramento, mascherare i dati riservati, trovare i dati riservati o registrare i database di destinazione.
allow group <user-group> to manage data-safe-assessment-family in compartment <compartment name>
Allow group <user-group> to read data-safe-report-definitions in compartment <compartment-name>
Allow group <user-group> to read data-safe-reports in compartment <compartment-name>
Allow group <user-group> to read data-safe-alerts in compartment <compartment-name>Autorizzazioni per trovare i dati sensibili
Un amministratore della tenancy può concedere le autorizzazioni per risorse di ricerca automatica dati specifiche nei compartimenti specificati in Oracle Cloud Infrastructure Identity and Access Management per consentire a un gruppo di utenti di eseguire determinati task.
Esempio 1: eseguire job di ricerca automatica dei dati (creare modelli dati riservati)
allow group <user-group> to manage data-safe-sensitive-data-models in compartment <compartment-name>
allow group <group-name> to read target-databases in compartment <compartment-name>Esempio 2: eseguire job di ricerca automatica incrementale dei dati nei database di destinazione
allow group <user-group> to manage data-safe-discovery-jobs in compartment <compartment-name>
allow group <user-group> to read data-safe-sensitive-data-models in compartment <compartment-name>
allow group <user-group> to read data-safe-work-requests in compartment <compartment-name>Esempio 3: creare tipi riservati
allow group <user-group> to manage data-safe-sensitive-types in compartment <compartment-name>Esempio 4: eseguire tutti i task in Ricerca automatica dati
allow group <user-group> to manage data-safe-discovery-family in compartment <compartment-name>Permesso di mascherare i dati riservati
Un amministratore della tenancy può concedere le autorizzazioni per risorse di mascheramento dei dati specifiche nei compartimenti specificati in Oracle Cloud Infrastructure Identity and Access Management per consentire a un gruppo di utenti di eseguire determinati task.
Esempio 1: maschera i dati riservati nei database di destinazione in un compartimento specificato utilizzando un criterio di mascheramento precreato
allow group <user-group> to manage data-safe-masking-policies in compartment <compartment-name>
allow group <user-group> to manage data-safe-masking-reports in compartment <compartment-name>
allow group <user-group> to read data-safe-work-requests in compartment <compartment-name>
allow group <user-group> to read target-databases in compartment <compartment-name>Esempio 2: creare e gestire i criteri di mascheramento in un compartimento specificato
allow group <user-group> to manage data-safe-masking-policies in compartment <compartment-name>Esempio 3: creare e gestire i formati di mascheramento della libreria in un compartimento specificato
allow group <user-group> to manage data-safe-library-masking-formats in compartment <compartment-name>