Crea criteri IAM per gli utenti di Oracle Data Safe

Un amministratore della tenancy può creare criteri in Oracle Cloud Infrastructure Identity and Access Management (IAM) che concedono agli utenti l'accesso alle risorse per Oracle Data Safe.

Per ulteriori informazioni sulle risorse e sulle relative autorizzazioni, vedere Risorse OCI per Oracle Data Safe.

Passi generali per la creazione di un criterio IAM per Oracle Data Safe

Per creare un criterio IAM che concede a un gruppo di utenti le autorizzazioni per le risorse Oracle Data Safe, effettuare le operazioni riportate di seguito.

  1. In qualità di amministratore della tenancy, dal menu di navigazione in Oracle Cloud Infrastructure selezionare Identità e sicurezza, quindi selezionare Criteri.

    Viene visualizzata la pagina Criteri in Oracle Cloud Infrastructure Identity and Access Management (IAM).

  2. Accanto a Filtri applicati, selezionare il compartimento in cui si desidera memorizzare il criterio. È possibile selezionare il compartimento root, se necessario. Un criterio si applica al compartimento in cui è definito e a tutti i relativi compartimenti secondari.

  3. Selezionare Crea criterio.

    Viene aperta la pagina Crea criterio.

  4. Immettere un nome per il criterio. Non sono consentiti spazi. Sono consentiti solo lettere, numeri, trattini, punti e caratteri di sottolineatura.

  5. Immettere una breve descrizione per il criterio.

  6. Selezionare un compartimento diverso, se necessario.

  7. Nella sezione Costruzione guidata criteri selezionare Mostra editor manuale.

    Viene visualizzata una casella in cui è possibile immettere le istruzioni dei criteri.

  8. Immettere una o più istruzioni dei criteri utilizzando la sintassi seguente.

    Allow group <group-name> to <verb> <resource-type> in compartment <compartment-name>

    Per <group-name>, immettere il nome del gruppo IAM a cui si applica il criterio.

    Per <verb>, è possibile utilizzare inspect, read, use o manage.

    Per <resource-type>, immettere una risorsa utilizzata da Oracle Data Safe. Per un elenco delle risorse, vedere Risorse OCI per Oracle Data Safe.

    Per <compartment>, immettere il nome del compartimento contenente le risorse alle quali si desidera concedere le autorizzazioni.

    Per specificare i compartimenti secondari in un'istruzione dei criteri, utilizzare la sintassi seguente, dove <parent-compartment> è il compartimento sotto il compartimento root e <child-compartment> è il compartimento sotto il compartimento <parent-compartment>. È possibile aggiungere tutti i compartimenti figlio necessari separati da due punti.

    allow group <group-name> to <verb> <resource-type> in compartment <parent-compartment>:<child-compartment>
  9. Per aggiungere tag, selezionare Aggiungi tag e configurare le tag.

  10. Selezionare Crea.

Creare un gruppo di amministratori di Oracle Data Safe

Un amministratore della tenancy può creare un gruppo di amministratori Oracle Data Safe in Oracle Cloud Infrastructure Identity and Access Management (IAM). Lo scopo di questo gruppo è supervisionare e gestire le risorse Oracle Data Safe in un'area.

  1. Come amministratore della tenancy, accedi a IAM in Oracle Cloud Infrastructure.

  2. Creare un gruppo per gli amministratori di Oracle Data Safe e gli utenti appropriati per il gruppo.

  3. Creare un criterio per il gruppo di amministratori di Oracle Data Safe che consenta al gruppo di manage la risorsa data-safe-family. Gli esempi riportati di seguito mostrano diversi modi per eseguire questa operazione.

    • Opzione 1: consentire al gruppo Data-Safe-Admins di gestire le risorse Oracle Data Safe nell'intera tenancy.

      Allow group Data-Safe-Admins to manage data-safe-family in tenancy
    • Opzione 2: consentire al gruppo Data-Safe-Admins di gestire tutti i tipi di risorse Oracle Cloud Infrastructure nella tenancy (incluse le risorse Oracle Data Safe).

      Allow group Data-Safe-Admins to manage all-resources in tenancy
    • Opzione 3: consentire a un gruppo Data-Safe-Admins di gestire tutti i tipi di risorse Oracle Data Safe nell'area us-phoenix-1 di una tenancy.

      Allow group Data-Safe-Admins to manage data-safe-family in tenancy where request.region='phx'

Autorizzazione per accedere a tutte le risorse di una funzione Oracle Data Safe

È possibile utilizzare una risorsa della famiglia Oracle Data Safe per concedere rapidamente a un gruppo di utenti l'autorizzazione su tutte le risorse per una determinata funzione Oracle Data Safe. Ad esempio, per concedere a un gruppo di utenti l'autorizzazione per eseguire tutti i task in Data Masking, concedere al gruppo di utenti l'autorizzazione manage sulla risorsa data-safe-masking-family. Le risorse della famiglia relative a funzioni specifiche includono data-safe-assessment-family (per la valutazione della sicurezza e la valutazione dell'utente), data-safe-discovery-family (per la ricerca automatica dei dati), data-safe-masking-family (per il mascheramento dei dati), data-safe-alert-family (per gli avvisi), data-safe-audit-family (per l'audit delle attività) e data-safe-family (per tutte le funzioni).

Per concedere a un gruppo di utenti l'autorizzazione ad accedere a una funzione Oracle Data Safe, creare un criterio in Oracle Cloud Infrastructure Identity and Access Management (IAM) che consenta al gruppo di utilizzare le risorse list, read, use o manage per la funzione.

Di seguito sono riportati due esempi.

  • Esempio 1: per consentire a un gruppo di elencare e visualizzare i dettagli per tutte le risorse per una determinata famiglia Oracle Data Safe in un compartimento specifico, scrivere l'istruzione dei criteri nel modo seguente:

    allow group <group-name> to read <data-safe-family-name> in compartment <compartment-name>
  • Esempio 2: per consentire a un gruppo di eseguire qualsiasi task correlato a una funzione Oracle Data Safe in un compartimento specifico, scrivere l'istruzione dei criteri nel modo seguente:

    allow group <group-name> to manage <data-safe-family-name> in compartment <compartment-name>

Permesso di accedere a una risorsa specifica

Ogni risorsa della famiglia Oracle Data Safe è composta da diverse risorse che riguardano tale funzione. Nella maggior parte dei casi, è possibile concedere a un gruppo di utenti l'autorizzazione inspect, read, use o manage su una di tali risorse specifiche, anziché concedere al gruppo l'accesso a tutte le risorse della famiglia.

  • L'autorizzazione inspect consente a un gruppo di utenti di visualizzare la lista degli oggetti risorsa. Ad esempio, se un gruppo dispone dell'autorizzazione inspect per la risorsa data-safe-audit-policies, tale gruppo può visualizzare la lista dei criteri di audit in Security Center. Non è tuttavia possibile selezionare un criterio di audit e visualizzarne i dettagli.

  • L'autorizzazione read consente a un gruppo di utenti di visualizzare la lista degli oggetti risorsa e le relative proprietà. Utilizzando il nostro esempio precedente, il gruppo di utenti può selezionare un criterio di audit e visualizzarne i dettagli.

  • L'autorizzazione use include l'autorizzazione read e la possibilità di utilizzare le risorse esistenti (le azioni variano in base al tipo di risorsa). Include la possibilità di aggiornare la risorsa, ad eccezione dei tipi di risorsa in cui l'operazione di aggiornamento ha lo stesso impatto effettivo dell'operazione di creazione, nel qual caso la capacità di aggiornamento è disponibile solo con il verbo manage. In generale, questo verbo non include la possibilità di creare o eliminare quel tipo di risorsa.

  • In genere, l'autorizzazione manage concede al gruppo di utenti l'autorizzazione completa per la risorsa (elenco, vista, aggiornamento, creazione, eliminazione e spostamento). Utilizzando il nostro esempio precedente, se il gruppo dispone dell'autorizzazione manage, può elencare e visualizzare i dettagli per i criteri di audit, nonché aggiornarli, crearli, eliminarli e spostarli.

Tenere presente che tutte e quattro le autorizzazioni (ispezionare, leggere, utilizzare e gestire) potrebbero non essere disponibili per tutte le risorse. Inoltre, a volte l'autorizzazione manage concede solo un sottoinsieme di operazioni (ad esempio: elencare, leggere, aggiornare, creare, eliminare e/o spostare). Pertanto, è meglio fare riferimento alla risorsa stessa per capire cosa è possibile.

Ecco tre esempi:

  • Esempio 1: creare un criterio per un gruppo di utenti che consenta al gruppo di elencare gli oggetti risorsa in Security Center. Ad esempio, l'istruzione criterio riportata di seguito consente a un gruppo di utenti denominato IT-Security di visualizzare la lista dei profili di audit nel compartimento denominato Info-Tech.

    allow group IT-Security to inspect data-safe-audit-profiles in compartment Info-Tech
  • Esempio 2: creare un criterio per un gruppo di utenti che consenta al gruppo di elencare e visualizzare le proprietà per una risorsa. Ad esempio, l'istruzione criterio riportata di seguito consente a un gruppo di utenti denominato IT-Security di elencare e visualizzare le proprietà per i profili di audit nel compartimento denominato Info-Tech.

    allow group IT-Security to read data-safe-audit-profiles in compartment Info-Tech
  • Esempio 3: creare un criterio per un gruppo di utenti che consenta al gruppo di gestire una risorsa. Ad esempio, l'istruzione dei criteri seguente consente a un gruppo di utenti denominato IT-Security di gestire i profili di audit nel compartimento denominato Info-Tech.

    allow group IT-Security to manage data-safe-audit-profiles in compartment Info-Tech

Autorizzazioni per registrare un Autonomous AI Database con Oracle Data Safe

Per registrare un Autonomous AI Database con Oracle Data Safe, un gruppo di utenti richiede le autorizzazioni in Oracle Cloud Infrastructure Identity and Access Management (IAM) per effettuare le operazioni riportate di seguito.

  • Accedi ad Autonomous AI Database: il gruppo di utenti richiede almeno l'autorizzazione use sulla risorsa autonomous-database in Oracle Cloud Infrastructure, ad esempio:

    allow group <group-name> to use autonomous-database in compartment <compartment-name>
  • Registrare un database di destinazione con Oracle Data Safe: il gruppo di utenti richiede l'autorizzazione manage sulla risorsa target-databases, ad esempio:

    allow group <group-name> to manage target-databases in compartment <compartment-name>
  • Per un Autonomous AI Database che dispone di un indirizzo IP privato: il gruppo di utenti richiede almeno l'autorizzazione use su un endpoint privato Oracle Data Safe e sulle risorse di rete virtuali di base dell'endpoint privato per i compartimenti pertinenti. Ad esempio, le istruzioni seguenti consentono a un gruppo di creare un endpoint privato:

    allow group <group-name> to manage data-safe-private-endpoints in compartment <compartment-name>
    allow group <group-name> to manage virtual-network-family in compartment <compartment-name>

    Se il gruppo dispone già di un endpoint privato Oracle Data Safe e desidera riutilizzarlo, sostituire manage con use nelle istruzioni precedenti.

Autorizzazioni per registrare un database Oracle Cloud con Oracle Data Safe

Per registrare un database Oracle Cloud con Oracle Data Safe, un gruppo di utenti richiede le autorizzazioni in Oracle Cloud Infrastructure Identity and Access Management (IAM) per eseguire le operazioni riportate di seguito.

  • Accedi al database Oracle Cloud:

    allow group <group-name> to manage database-family in compartment <compartment-name>
    allow group <group-name> to inspect vnics in tenancy
  • (Solo Exadata Cloud Service) Esaminare i cluster di virtual machine cloud nella tenancy:

    allow group <group-name> to inspect cloud-vmclusters in tenancy
  • Registrare un database di destinazione con Oracle Data Safe:

    allow group <group-name> to manage target-databases in compartment <compartment-name>
  • Utilizzare o creare un endpoint privato Oracle Data Safe: il gruppo di utenti richiede almeno l'autorizzazione use su un endpoint privato Oracle Data Safe e sulle risorse di rete virtuali di base dell'endpoint privato per i compartimenti pertinenti. Ad esempio, le istruzioni seguenti consentono a un gruppo di creare un endpoint privato:

    allow group <group-name> to manage data-safe-private-endpoints in compartment <compartment-name>
    allow group <group-name> to manage virtual-network-family in compartment <compartment-name>

    Se il gruppo dispone già di un endpoint privato Oracle Data Safe e desidera riutilizzarlo, sostituire manage con use nelle istruzioni precedenti.

Autorizzazioni per registrare un Oracle Database on-premise con Oracle Data Safe

Per registrare un Oracle Database in locale con Oracle Data Safe, un gruppo di utenti richiede le autorizzazioni in Oracle Cloud Infrastructure Identity and Access Management (IAM) per eseguire le operazioni riportate di seguito.

  • Registrare un database di destinazione con Oracle Data Safe:

    allow group <group-name> to manage target-databases in compartment <compartment-name>
  • (Opzione 1) Usare o creare un endpoint privato di Oracle Data Safe: se il database di destinazione dispone di un indirizzo IP privato, è possibile connettersi utilizzando un endpoint privato di Oracle Data Safe. Il gruppo di utenti richiede almeno l'autorizzazione use su un endpoint privato Oracle Data Safe e sulle risorse di rete virtuali di base dell'endpoint privato per i compartimenti pertinenti. Ad esempio, le istruzioni seguenti consentono a un gruppo di creare un endpoint privato:

    allow group <group-name> to manage data-safe-private-endpoints in compartment <compartment-name>
    allow group <group-name> to manage virtual-network-family in compartment <compartment-name>

    Se il gruppo dispone già di un endpoint privato Oracle Data Safe e desidera riutilizzarlo, sostituire manage con use nelle istruzioni precedenti.

  • (Opzione 2) Usare o creare un connettore in locale Oracle Data Safe: se il database di destinazione dispone di un indirizzo IP privato, è possibile connettersi ad esso utilizzando un connettore in locale Oracle Data Safe. Includere l'autorizzazione per accedere o creare un connettore in locale, ad esempio:

    allow group <group-name> to manage onprem-connectors in compartment <compartment-name>

Autorizzazioni per registrare un Oracle Database in un'istanza di computazione con Oracle Data Safe

Per registrare un Oracle Database in un'istanza di computazione in Oracle Cloud Infrastructure con Oracle Data Safe, un gruppo di utenti richiede le autorizzazioni in Oracle Cloud Infrastructure Identity and Access Management (IAM) per eseguire le operazioni riportate di seguito.

  • Registrare un database di destinazione con Oracle Data Safe:

    allow group <group-name> to manage target-databases in compartment <compartment-name>
  • Accedere alle informazioni sull'istanza di computazione del database di destinazione:

    Allow group <group-name> to read instance-family in compartment <compartment-name>
  • (Opzione 1) Usare o creare un endpoint privato di Oracle Data Safe: il gruppo di utenti richiede almeno l'autorizzazione use su un endpoint privato di Oracle Data Safe e sulle risorse di rete virtuali di base dell'endpoint privato per i compartimenti pertinenti. Ad esempio, le istruzioni seguenti consentono a un gruppo di creare un endpoint privato:

    allow group <group-name> to manage data-safe-private-endpoints in compartment <compartment-name>
    allow group <group-name> to manage virtual-network-family in compartment <compartment-name>

    Se il gruppo dispone già di un endpoint privato Oracle Data Safe e desidera riutilizzarlo, sostituire manage con use nelle istruzioni precedenti.

  • (Opzione 2) Utilizzare o creare un connettore in locale di Oracle Data Safe: includere l'autorizzazione per utilizzare o creare un connettore in locale di Oracle Data Safe, ad esempio:

    allow group <group-name> to manage onprem-connectors in compartment <compartment-name>

Autorizzazioni per registrare un database Oracle Cloud@Customer con Oracle Data Safe

Per registrare un database Oracle Cloud@Customer (Oracle Exadata Database Service on Cloud@Customer o Oracle Autonomous AI Database on Exadata Cloud@Customer) con Oracle Data Safe, un gruppo di utenti richiede le autorizzazioni in Oracle Cloud Infrastructure Identity and Access Management (IAM) per eseguire le seguenti operazioni:

  • Registrare un database di destinazione con Oracle Data Safe:

    allow group <group-name> to manage target-databases in compartment <compartment-name>
  • (Oracle Exadata Database Service on Cloud@Customer) Registrare o aggiornare il database di destinazione:

    allow group <group-name> to inspect exadata-infrastructures in compartment <compartment-name>
    allow group <group-name> to inspect vmcluster-network in compartment <compartment-name>
  • (Oracle Autonomous AI Database on Exadata Cloud@Customer) Registra o aggiorna il database di destinazione:

    allow group <group-name> to read autonomous-databases in compartment <compartment-name>
    allow group <group-name> to inspect autonomous-container-databases in compartment <compartment-name>
    allow group <group-name> to inspect autonomous-vmclusters in compartment <compartment-name>
    allow group <group-name> to inspect exadata-infrastructures in compartment <compartment-name>
    allow group <group-name> to inspect vmcluster-network in compartment <compartment-name>
  • (Opzione 1) Usare o creare un endpoint privato di Oracle Data Safe: il gruppo di utenti richiede almeno l'autorizzazione use su un endpoint privato di Oracle Data Safe e sulle risorse di rete virtuali di base dell'endpoint privato per i compartimenti pertinenti. Ad esempio, le istruzioni seguenti consentono a un gruppo di creare un endpoint privato:

    allow group <group-name> to manage data-safe-private-endpoints in compartment <compartment-name>
    allow group <group-name> to manage virtual-network-family in compartment <compartment-name>

    Se il gruppo dispone già di un endpoint privato Oracle Data Safe e desidera riutilizzarlo, sostituire manage con use nelle istruzioni precedenti.

  • (Opzione 2) Utilizzare o creare un connettore in locale di Oracle Data Safe: includere l'autorizzazione per utilizzare o creare un connettore in locale di Oracle Data Safe, ad esempio:

    allow group <group-name> to manage onprem-connectors in compartment <compartment-name>

Autorizzazioni per registrare un Amazon RDS per Oracle Database con Oracle Data Safe

Per registrare un Amazon RDS per Oracle Database con Oracle Data Safe, un gruppo di utenti richiede le autorizzazioni in Oracle Cloud Infrastructure Identity and Access Management (IAM) per effettuare le operazioni riportate di seguito.

  • Registrare un database di destinazione con Oracle Data Safe:

    allow group <group-name> to manage target-databases in compartment <compartment-name>
  • (Opzione 1) Usare o creare un endpoint privato di Oracle Data Safe: se il database dispone di un indirizzo IP privato, è possibile connettersi ad esso utilizzando un endpoint privato di Oracle Data Safe. Il gruppo di utenti richiede almeno l'autorizzazione use su un endpoint privato Oracle Data Safe e sulle risorse di rete virtuali di base dell'endpoint privato per i compartimenti pertinenti. Ad esempio, le istruzioni seguenti consentono a un gruppo di creare un endpoint privato:

    allow group <group-name> to manage data-safe-private-endpoints in compartment <compartment-name>
    allow group <group-name> to manage virtual-network-family in compartment <compartment-name>

    Se il gruppo dispone già di un endpoint privato Oracle Data Safe e desidera riutilizzarlo, sostituire manage con use nelle istruzioni precedenti.

  • (Opzione 2) Usare o creare un connettore in locale Oracle Data Safe: se il database dispone di un indirizzo IP privato, è possibile connettersi ad esso utilizzando un connettore in locale Oracle Data Safe. Includere l'autorizzazione per accedere o creare un connettore in locale, ad esempio:

    allow group <group-name> to manage onprem-connectors in compartment <compartment-name>

Autorizzazioni per registrare un database di destinazione con Oracle Data Safe

Per registrare un database di destinazione con Oracle Data Safe, un gruppo di utenti richiede l'autorizzazione manage sulla risorsa target-databases in Oracle Cloud Infrastructure Identity and Access Management (IAM).

Esempio: registrare un database di destinazione con Oracle Data Safe

allow group <group-name> to manage target-databases in compartment <compartment-name>

Autorizzazioni per un endpoint privato di Oracle Data Safe

Per utilizzare o creare un endpoint privato Oracle Data Safe, un gruppo di utenti richiede le autorizzazioni per le risorse data-safe-private-endpoints e virtual-network-family in Oracle Cloud Infrastructure Identity and Access Management (IAM).

Se il database di destinazione dispone di un indirizzo IP privato, è possibile connettersi ad esso utilizzando un endpoint privato Oracle Data Safe. Il gruppo di utenti richiede almeno l'autorizzazione use su un endpoint privato Oracle Data Safe e sulle risorse di rete virtuali di base dell'endpoint privato per i compartimenti pertinenti.

Esempio: le istruzioni seguenti consentono a un gruppo di creare un endpoint privato

allow group <group-name> to manage data-safe-private-endpoints in compartment <compartment-name>
allow group <group-name> to manage virtual-network-family in compartment <compartment-name>

Se il gruppo dispone già di un endpoint privato Oracle Data Safe e desidera riutilizzarlo, sostituire manage con use nelle istruzioni precedenti.

Autorizzazioni per un connettore Oracle Data Safe in locale

Per utilizzare o creare un connettore in locale Oracle Data Safe, un gruppo di utenti richiede le autorizzazioni per la risorsa onprem-connectors in Oracle Cloud Infrastructure Identity and Access Management (IAM).

Se il database di destinazione dispone di un indirizzo IP privato, è possibile connettersi ad esso utilizzando un connettore in locale di Oracle Data Safe.

Esempio: includere l'autorizzazione per accedere o creare un connettore in locale

allow group <group-name> to manage onprem-connectors in compartment <compartment-name>

Permesso di eseguire valutazioni e visualizzare i dati di audit e avvisi

Se un gruppo di utenti deve solo essere in grado di eseguire valutazioni e visualizzare i dati di audit e alert, è possibile creare un criterio con le istruzioni riportate di seguito. Con questo criterio, il gruppo di utenti non può modificare i criteri di mascheramento, mascherare i dati riservati, trovare i dati riservati o registrare i database di destinazione.

allow group <user-group> to manage data-safe-assessment-family in compartment <compartment name>
Allow group <user-group> to read data-safe-report-definitions in compartment <compartment-name>
Allow group <user-group> to read data-safe-reports in compartment <compartment-name>
Allow group <user-group> to read data-safe-alerts in compartment <compartment-name>

Autorizzazioni per trovare i dati sensibili

Un amministratore della tenancy può concedere le autorizzazioni per risorse di ricerca automatica dati specifiche nei compartimenti specificati in Oracle Cloud Infrastructure Identity and Access Management per consentire a un gruppo di utenti di eseguire determinati task.

Esempio 1: eseguire job di ricerca automatica dei dati (creare modelli dati riservati)

allow group <user-group> to manage data-safe-sensitive-data-models in compartment <compartment-name>
allow group <group-name> to read target-databases in compartment <compartment-name>

Esempio 2: eseguire job di ricerca automatica incrementale dei dati nei database di destinazione

allow group <user-group> to manage data-safe-discovery-jobs in compartment <compartment-name>
allow group <user-group> to read data-safe-sensitive-data-models in compartment <compartment-name>
allow group <user-group> to read data-safe-work-requests in compartment <compartment-name>

Esempio 3: creare tipi riservati

allow group <user-group> to manage data-safe-sensitive-types in compartment <compartment-name>

Esempio 4: eseguire tutti i task in Ricerca automatica dati

allow group <user-group> to manage data-safe-discovery-family in compartment <compartment-name>

Permesso di mascherare i dati riservati

Un amministratore della tenancy può concedere le autorizzazioni per risorse di mascheramento dei dati specifiche nei compartimenti specificati in Oracle Cloud Infrastructure Identity and Access Management per consentire a un gruppo di utenti di eseguire determinati task.

Esempio 1: maschera i dati riservati nei database di destinazione in un compartimento specificato utilizzando un criterio di mascheramento precreato

allow group <user-group> to manage data-safe-masking-policies in compartment <compartment-name>
allow group <user-group> to manage data-safe-masking-reports in compartment <compartment-name>
allow group <user-group> to read data-safe-work-requests in compartment <compartment-name>
allow group <user-group> to read target-databases in compartment <compartment-name>

Esempio 2: creare e gestire i criteri di mascheramento in un compartimento specificato

allow group <user-group> to manage data-safe-masking-policies in compartment <compartment-name>

Esempio 3: creare e gestire i formati di mascheramento della libreria in un compartimento specificato

allow group <user-group> to manage data-safe-library-masking-formats in compartment <compartment-name>