Criteri IAM per Oracle AI Data Platform Workbench

Oracle AI Data Platform Workbench è gestito in OCI e richiede i criteri IAM forniti.

Per creare nuove istanze di AI Data Platform Workbench, un utente deve abilitare almeno la funzione di gestione nei criteri IAM:

allow group <aidpAdminIdentityDomain>/<aidpAdminGroup> to manage ai-data-platforms in compartment id <aidpCompartmentId>

Oracle AI Data Platform Workbench consente agli utenti due diverse combinazioni di criteri tra cui scegliere per impostare la propria istanza.

Opzione 1: Criteri a livello di tenancy (ambito generale)

Con questa opzione, i tuoi criteri vengono definiti a livello di tenancy (root), offrendo al tuo Oracle AI Data Platform Workbench un ampio accesso tra i compartimenti.

• Riduce al minimo la necessità di scrivere nuovi criteri IAM ogni volta che aggiungi nuovi carichi di lavoro, origini dati o compartimenti.
• Esperienza di onboarding più semplice: richiede meno modifiche dopo l'impostazione iniziale.
• Gli utenti hanno un ambito di autorizzazioni più ampio.
• Potrebbe non soddisfare i requisiti minimi di privilegi in ambienti regolamentati.

1. Consenti al servizio Oracle AI Data Platform Workbench di visualizzare le risorse IAM OCI per configurare il controllo dell'accesso basato su ruoli delle risorse gestite da AI Data Platform:

   allow any-user TO {AUTHENTICATION_INSPECT, DOMAIN_INSPECT, DOMAIN_READ, DYNAMIC_GROUP_INSPECT, GROUP_INSPECT, GROUP_MEMBERSHIP_INSPECT, USER_INSPECT, USER_READ} IN TENANCY where all {request.principal.type='aidataplatform'}

2. Consenti al servizio Oracle AI Data Platform Workbench di creare un gruppo di log OCI e fornire i log agli utenti:

   allow any-user to manage log-groups in compartment id <aidpCompartmentId> where ALL { request.principal.type='aidataplatform' }
   allow any-user to read log-content in compartment id <aidpCompartmentId> where ALL { request.principal.type='aidataplatform' }

3. Consenti al servizio Oracle AI Data Platform Workbench di fornire metriche agli utenti:

   allow any-user to use metrics in compartment id <aidpCompartmentId> where ALL {request.principal.type='aidataplatform', target.metrics.namespace='oracle_aidataplatform'}

4. Consenti al servizio Oracle AI Data Platform Workbench di creare e gestire il bucket dell'area di lavoro OCI per i dati gestiti e gestiti nel catalogo principale:

   allow any-user to manage buckets in tenancy where all { request.principal.type='aidataplatform', any {request.permission = 'BUCKET_CREATE', request.permission = 'BUCKET_INSPECT', request.permission = 'BUCKET_READ', request.permission = 'BUCKET_UPDATE'}}

5. Consenti al servizio Oracle AI Data Platform Workbench di governare/gestire i dati in Workspace e Master Catalog con accesso limitato a ogni livello di istanza di AI Data Platform Workbench:

   allow any-user to {TAG_NAMESPACE_USE} in tenancy where all {request.principal.type = 'aidataplatform'}
   allow any-user to manage buckets in tenancy where all { request.principal.id=target.resource.tag.orcl-aidp.governingAidpId, any {request.permission = 'BUCKET_DELETE', request.permission = 'PAR_MANAGE', request.permission = 'RETENTION_RULE_LOCK', request.permission = 'RETENTION_RULE_MANAGE'} }
   allow any-user to read objectstorage-namespaces in tenancy where all { request.principal.type='aidataplatform', any {request.permission = 'OBJECTSTORAGE_NAMESPACE_READ'}}
   allow any-user to manage objects in tenancy where all { request.principal.id=target.bucket.system-tag.orcl-aidp.governingAidpId  }

6. Consenti al servizio Oracle AI Data Platform Workbench di configurare il cluster di calcolo per accedere ai dati in una rete privata (facoltativo):

   allow any-user to manage vnics in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform'}
   allow any-user to use subnets in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform'}
   allow any-user to use network-security-groups in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform'}

7. Consente al servizio di storage degli oggetti di applicare automaticamente le azioni del ciclo di vita (ad esempio l'eliminazione permanente o l'archiviazione) ai dati dell'area di lavoro di Oracle AI Data Platform Workbench, riducendo gli sforzi di manutenzione manuale e supportando la conformità alle best practice di conservazione dei dati (facoltativo):

   allow service objectstorage-<<region_identifier>> to manage object-family in compartment id <<aidp-compartment-ocid>>

Opzione 2: Criteri a livello di compartimento (ambito con filtro)

Con questa opzione, i criteri vengono definiti a livello di compartimento, ovvero il compartimento in cui viene creata l'istanza di AI Data Platform.

• Offre un limite di sicurezza più stretto; limita l'accesso di AI Data Platform Workbench a un singolo compartimento per impostazione predefinita.
• È possibile aggiungere nuovi criteri di compartimento in modo incrementale quando i flussi di lavoro devono estendersi su compartimenti aggiuntivi.
• Richiede che tu effettui aggiornamenti manuali IAM ogni volta che hai bisogno del tuo AI Data Platform Workbench per accedere a un compartimento diverso.
• Richiede più sovraccarico operativo durante l'espansione.

1. Consenti al servizio Oracle AI Data Platform Workbench di visualizzare le risorse IAM OCI per configurare il controllo dell'accesso basato su ruoli delle risorse gestite da AI Data Platform:

   allow any-user TO {AUTHENTICATION_INSPECT, DOMAIN_INSPECT, DOMAIN_READ, DYNAMIC_GROUP_INSPECT, GROUP_INSPECT, GROUP_MEMBERSHIP_INSPECT, USER_INSPECT, USER_READ} IN TENANCY where all {request.principal.type='aidataplatform'}

2. Consenti al servizio Oracle AI Data Platform Workbench di creare un gruppo di log OCI e fornire i log agli utenti:

   allow any-user to manage log-groups in compartment id <aidpCompartmentId> where ALL { request.principal.type='aidataplatform' }
   allow any-user to read log-content in compartment id <aidpCompartmentId> where ALL { request.principal.type='aidataplatform' }

3. Consenti al servizio Oracle AI Data Platform Workbench di fornire metriche agli utenti:

   allow any-user to use metrics in compartment id <aidpCompartmentId> where ALL {request.principal.type='aidataplatform', target.metrics.namespace='oracle_aidataplatform'}

4. Consenti al servizio Oracle AI Data Platform Workbench di creare e gestire OCI Object Store Bucket per l'area di lavoro e i dati gestiti nel catalogo principale:

   allow any-user to manage buckets in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform', any {request.permission = 'BUCKET_CREATE', request.permission = 'BUCKET_INSPECT', request.permission = 'BUCKET_READ', request.permission = 'BUCKET_UPDATE'}}

5. Consenti al servizio Oracle AI Data Platform Workbench di governare/gestire i dati in Workspace e Master Catalog con accesso limitato a ogni livello di istanza di AI Data Platform Workbench:

   allow any-user to {TAG_NAMESPACE_USE} in tenancy where all {request.principal.type = 'aidataplatform'}
   allow any-user to manage buckets in compartment id <aidpCompartmentId> where all { request.principal.id=target.resource.tag.orcl-aidp.governingAidpId, any {request.permission = 'BUCKET_DELETE', request.permission = 'PAR_MANAGE', request.permission = 'RETENTION_RULE_LOCK', request.permission = 'RETENTION_RULE_MANAGE'} }
   allow any-user to read objectstorage-namespaces in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform', any {request.permission = 'OBJECTSTORAGE_NAMESPACE_READ'}}
   allow any-user to manage objects in compartment id <aidpCompartmentId> where all { request.principal.id=target.bucket.system-tag.orcl-aidp.governingAidpId  }

6. Consenti al servizio Oracle AI Data Platform Workbench di configurare il cluster di calcolo per accedere ai dati in una rete privata (facoltativo):

   allow any-user to manage vnics in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform'}
   allow any-user to use subnets in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform'}
   allow any-user to use network-security-groups in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform'}

7. Consente al servizio di storage degli oggetti di applicare automaticamente le azioni del ciclo di vita (ad esempio l'eliminazione permanente o l'archiviazione) ai dati dell'area di lavoro di Oracle AI Data Platform Workbench, riducendo gli sforzi di manutenzione manuale e supportando la conformità alle best practice di conservazione dei dati (facoltativo):

   allow service objectstorage-<<region_identifier>> to manage object-family in compartment id <<aidp-compartment-ocid>>

Criteri aggiuntivi per tabelle esterne

Se l'istanza di AI Data Platform Workbench deve accedere AI dati memorizzati in un compartimento diverso, è necessario concedere criteri aggiuntivi per tale compartimento esterno. Questi criteri consentono a AI Data Platform Workbench di ispezionare, leggere e gestire bucket e oggetti nel compartimento esterno per utilizzarli nell'area di lavoro di AI Data Platform Workbench.

allow any-user to manage buckets in compartment id <external-data-CompartmentId> where all { request.principal.type='aidataplatform', any {request.permission = 'BUCKET_INSPECT', request.permission = 'BUCKET_READ', request.permission = 'BUCKET_UPDATE'}} 
allow any-user to manage buckets in compartment id <external-data-CompartmentId> where all { request.principal.id=target.resource.tag.orcl-aidp.governingAidpId, any {request.permission = 'PAR_MANAGE', request.permission = 'RETENTION_RULE_LOCK', request.permission = 'RETENTION_RULE_MANAGE'} } 
allow any-user to manage objects in compartment id <external-data-CompartmentId> where all { request.principal.id=target.bucket.system-tag.orcl-aidp.governingAidpId } 
allow service objectstorage-<<region_identifier>> to manage object-family in compartment id <external-data-CompartmentId>

Nota

Se si utilizza un dominio di Identity personalizzato (non predefinito), è necessario anteporre al nome del gruppo il nome del dominio nel criterio IAM. Ad esempio:

allow group <aidpAdminIdentityDomain>/<aidpAdminGroup> to manage ai-data-platforms in compartment id <aidpCompartmentId>

Per ulteriori informazioni sui criteri IAM, vedere Panoramica dei criteri IAM.

Per visualizzare ed eseguire il login a un workbench della piattaforma dati AI, è necessario che l'amministratore del workbench della piattaforma dati AI disponga dell'accesso.