データ統合のポリシー

サービスOracle Cloud Infrastructure Identity and Access Management (IAM)をアイデンティティ・ドメインとともに使用してポリシーを作成します。

デフォルトでは、Administratorsグループのユーザーのみがデータ統合のすべてのリソースと機能にアクセスできます。データ統合のリソースおよび機能に対する管理者以外のユーザーのアクセスを制御するには、IAMグループを作成し、それらのグループに適切なアクセス権を付与するポリシーを記述します。

次のページでは、使用可能なポリシーの例をいくつか示します。

ポリシーの例

次の各ページには、ポリシーの記述に関する詳細な情報が表示されます。

ポリシー構文の概要

ポリシー・ステートメント全体の構文:

allow <subject> to <verb>
                    <resource-type> in <location> where <condition>

たとえば、次のように指定できます。

<subject> として、グループまたは動的グループの名前またはOCID。または、any-userを使用して、テナンシ内のすべてのユーザーを含めることができます。
<subject> に1つ以上の権限のアクセス権を付与するため、 <verb> として、inspect、read、useおよびmanage。

inspect > read > use > manageに移動すると、アクセスのレベルは一般に増加し、付与された権限は累積されます。たとえば、useには、readに加えて更新する権限が含まれます。
resource-type にはリソースのファミリ(virtual-network-familyなど)。または、vcnsやsubnetsなど、ファミリ内の個々のリソースを指定できます。
<location> として、コンパートメントの名前またはOCID。または、tenancyを使用して、テナンシ全体を含めることができます。
<condition> に1つ以上の条件。アクセス権を付与するためには、これが満たされる必要があります。複数の条件では、anyまたはallを使用できます。

1つの条件は1つ以上の変数で構成されます。変数は、リクエスト自体(request.operationなど)またはリクエストで処理されるリソース(target.workspace.idなど)に関連するものを使用できます。たとえば、グループが特定のワークスペースのみを管理できるようにするには:
```
allow group <group-name> to manage dis-workspaces in compartment <compartment-name> where target.workspace.id = '<workspace-ocid>'
```
または、グループが(ワークスペースの削除を除いて)すべてのデータ統合リソースを管理できるようにするには:
```
allow group <group-name> to manage dis-family in compartment <compartment-name> where request.permission != 'DIS_WORKSPACE_DELETE'
```

詳細は、ポリシー構文を参照してください。

ポリシーの作成の詳細は、ポリシーの仕組みおよびポリシー・リファレンスを参照してください。

リソース・タイプ

データ統合には、ポリシーを記述するために集約リソース・タイプと個別リソース・タイプの両方が用意されています。

集約リソース・タイプを使用すると、記述するポリシーの数を少なくできます。たとえば、グループにdis-workspacesおよびdis-work-requestsの管理を許可するかわりに、グループに集約リソース・タイプdis-familyの管理を許可するポリシーを記述できます。


集約リソース・タイプ	個々のリソース・タイプ
`dis-family`	`dis-workspaces` `dis-work-requests`

集約リソース・タイプdis-familyでカバーされるAPIは、dis-workspacesおよびdis-work-requestsのAPIをカバーしています。たとえば、

allow group dis-admins to manage dis-family in compartment <compartment_name>

は、次の2つのポリシーを記述することと同じです:

allow group dis-admins to manage dis-workspaces in compartment <compartment_name>
allow group dis-admins to manage dis-work-requests in compartment <compartment_name>

サポートされる変数

ポリシーに条件を追加するには、Oracle Cloud Infrastructureの一般変数またはサービス固有変数を使用できます。

データ統合では、すべての一般的な変数がサポートされます(すべてのリクエストの一般的な変数を参照)。

次の表に、使用できるリソースタイプ変数を示します。


操作対象のリソース・タイプ	使用できる変数	変数タイプ	コメント
`dis-workspace`	`target.workspace.id`	エンティティ(OCID)	`CreateWorkspace`では使用できません


操作対象のAPIパス	使用できる変数	変数タイプ	コメント
`/workspaces/{workspaceId}/applications/{applicationKey}/*`	`target.application.key`	エンティティ(キー)	`ListApplications`、`CreateApplication`では使用できません
`/workspaces/{workspaceId}/applications`	`source.workspace.id` `source.application.key`	エンティティ(キー)	`CreateApplication`でのみ使用できます。 `ListApplications`、`GetApplication`、`UpdateApplication`または`DeleteApplication`では使用できません。
`/workspaces/{workspaceId}/projects/{projectKey}/*`	`target.object.key`	エンティティ(キー)
`/workspaces/{workspaceId}/folders/{folderKey}/*`	`target.object.key` `target.folder.key`	エンティティ(キー)	`target.folder.key`は、`CreateFolder`でのみ使用できます
`/workspaces/{workspaceId}/dataflows/{dataflowKey}/*`	`target.object.key` `target.folder.key`	エンティティ(キー)	`target.folder.key`は、`CreateDataflow`、`UpdateDataflow`でのみ使用できます
`/workspaces/{workspaceId}/tasks/{dataflowKey}/*`	`target.object.key` `target.folder.key`	エンティティ(キー)	`target.folder.key`は、`CreateTask`、`UpdateTask`でのみ使用できます
`/workspaces/{workspaceId}/dataAssets/{dataAssetKey}/*`	`target.object.key`	エンティティ(キー)
`/workspaces/{workspaceId}/connections/{connectionKey}/*`	`target.object.key` `target.folder.key`	エンティティ(キー)	`target.folder.key`は、`CreateConnection`、`UpdateConnection`でのみ使用できます
`/workspaces/{workspaceId}/pipelines/{pipelineKey}/*`	`target.object.key` `target.folder.key`	エンティティ(キー)	`target.folder.key`は、`CreatePipeline`、`UpdatePipeline`でのみ使用できます

動詞+リソース・タイプの組合せの詳細

ポリシーの作成時にOracle Cloud Infrastructureの動詞とリソース・タイプを使用します。

次の表に、データ統合で各動詞によってカバーされる権限およびAPI操作を示します。アクセスのレベルは、inspectからread、use、manageの順に累積します。表のセルのプラス記号(+)は、そのすぐ上のセルと比較して増分アクセスを示しますが、「追加なし」は増分アクセスを示しません。

dis-work-requests


権限	完全にカバーされるAPI
INSPECT
DIS_WORK_REQUEST_INSPECT	`ListWorkRequests`
	`ListWorkRequestErrors`
	`ListWorkRequestLogs`
読取り
INSPECT +	INSPECT +
DIS_WORK_REQUEST_READ	`GetWorkRequest`
使用
追加なし	追加なし
管理
追加なし	追加なし

ノート

dis-work-requestsの各権限では、1つ以上のAPIが全部カバーされます。dis-work-requestsの権限では、部分的にカバーされるAPIはありません。

dis-workspaces


権限	完全にカバーされるAPI
INSPECT
DIS_WORKSPACE_INSPECT	`ListWorkspaces`
DIS_WORKSPACE_OBJECT_INSPECT	`ListProjects`
	`ListFolders`
	`ListDataFlows`
	`ListTasks`
	`ListTaskValidations`
	`ListApplications`
	`ListPublishedObjects`
	`ListDependentObjects`
	`ListTaskRuns`
	`ListTaskRunLogs`
	`ListDataAssets`
	`ListConnections`
	`ListSchemas`
	`ListDataEntities`
	`ListConnectionValidation`
	`ListDataFlowValidations`
	`ListExternalPublications`
	`ListExternalPublicationValidations`
	`ListReferences`
	`ListPatchChanges`
	`ListPipelines`
	`ListSchedules`
	`ListTaskSchedules`
読取り
INSPECT +	INSPECT +
DIS_WORKSPACE_READ	`GetWorkspace`
DIS_WORKSPACE_OBJECT_READ	`GetCountStatistic`
	`GetProject`
	`GetFolder`
	`GetDataFlow`
	`GetTask`
	`GetTaskValidation`
	`GetApplication`
	`GetPatch`
	`GetPublishedObject`
	`GetDependentObject`
	`GetTaskRun`
	`GetDataAsset`
	`GetConnection`
	`GetSchema`
	`GetDataEntity`
	`GetConnectionValidation`
	`GetDataFlowValidation`
	`GetExternalPublication`
	`GetExternalPublicationValidation`
	`GetReference`
	`GetPipeline`
	`GetSchedule`
	`GetTaskSchedule`
使用
読取り+	読取り+
DIS_WORKSPACE_EXECUTE	`ExecuteTask`
DIS_WORKSPACE_UPDATE	`UpdateWorkspace`
DIS_WORKSPACE_OBJECT_EXECUTE	`CreateTaskRun`
DIS_WORKSPACE_OBJECT_EXECUTE	`UpdateTaskRun`
DIS_WORKSPACE_OBJECT_UPDATE	`UpdateProject`
	`UpdateFolder`
	`UpdateDataFlow`
	`UpdateTask`
	`UpdateApplication`
	`UpdateDataAsset`
	`UpdateConnection`
	`UpdateReference`
	`UpdateExternalPublication`
	`UpdatePipeline`
	`UpdateSchedule`
	`UpdateTaskSchedule`
DIS_WORKSPACE_OBJECT_CREATE	`CreateProject`
	`CreateFolder`
	`CreateDataFlow`
	`CreateTask`
	`CreateTaskValidation`
	`CreatePatch`
	`CreateApplication`
	`CreateDataAsset`
	`CreateConnection`
	`CreateEntityShape`
	`CreateConnectionValidation`
	`CreateDataFlowValidation`
	`CreateExternalPublication`
	`CreateExternalPublicationValidation`
	`CreatePipeline`
	`CreateSchedule`
	`CreateTaskSchedule`
DIS_WORKSPACE_OBJECT_DELETE	`DeleteProject`
	`DeleteFolder`
	`DeleteDataFlow`
	`DeleteTask`
	`DeleteTaskValidation`
	`DeleteApplication`
	`DeletePatch`
	`DeleteTaskRun`
	`DeleteDataAsset`
	`DeleteConnection`
	`DeleteConnectionValidation`
	`DeleteDataFlowValidation`
	`DeleteExternalPublication`
	`DeleteExternalPublicationValidation`
	`DeletePipeline`
	`DeleteSchedule`
	`DeleteTaskSchedule`
管理
使用+	使用+
DIS_WORKSPACE_CREATE	`CreateWorkspace`
DIS_WORKSPACE_DELETE	`DeleteWorkspace`
DIS_WORKSPACE_MOVE	`ChangeCompartment`
DIS_WORKSPACE_START	`StartWorkspace`
DIS_WORKSPACE_STOP	`StopWorkspace`

ノート

dis-workspacesの各権限では、APIが全部カバーされます。dis-workspacesの権限では、部分的にカバーされるAPIはありません。

API操作ごとに必要な権限

この表は、データ統合API操作をリソース・タイプ別に論理的な順序で示し、リソース・タイプdis-workspacesおよびdis-work-requestsに必要な権限を示しています。

権限の詳細は、権限を参照してください。

必要な権限
API操作	権限
`ListWorkspaces`	DIS_WORKSPACE_INSPECT
`GetWorkspace`	DIS_WORKSPACE_READ
`UpdateWorkspace`	DIS_WORKSPACE_UPDATE
`DeleteWorkspace`	DIS_WORKSPACE_DELETE
`CreateWorkspace`	DIS_WORKSPACE_CREATE
`ChangeCompartment`	DIS_WORKSPACE_MOVE
`StartWorkspace`	DIS_WORKSPACE_START
`StopWorkspace`	DIS_WORKSPACE_STOP
`ListWorkRequests`	DIS_WORK_REQUEST_INSPECT
`GetWorkRequest`	DIS_WORK_REQUEST_READ
`ListWorkRequestErrors`	DIS_WORK_REQUEST_INSPECT
`ListWorkRequestLogs`	DIS_WORK_REQUEST_INSPECT
`GetCountStatistic`	DIS_WORKSPACE_OBJECT_READ
`ListProjects`	DIS_WORKSPACE_OBJECT_INSPECT
`CreateProject`	DIS_WORKSPACE_OBJECT_CREATE
`GetProject`	DIS_WORKSPACE_OBJECT_READ
`UpdateProject`	DIS_WORKSPACE_OBJECT_UPDATE
`DeleteProject`	DIS_WORKSPACE_OBJECT_DELETE
`ListFolders`	DIS_WORKSPACE_OBJECT_INSPECT
`CreateFolder`	DIS_WORKSPACE_OBJECT_CREATE
`GetFolder`	DIS_WORKSPACE_OBJECT_READ
`UpdateFolder`	DIS_WORKSPACE_OBJECT_UPDATE
`DeleteFolder`	DIS_WORKSPACE_OBJECT_DELETE
`ListDataFlows`	DIS_WORKSPACE_OBJECT_INSPECT
`CreateDataFlow`	DIS_WORKSPACE_OBJECT_CREATE
`GetDataFlow`	DIS_WORKSPACE_OBJECT_READ
`UpdateDataFlow`	DIS_WORKSPACE_OBJECT_UPDATE
`DeleteDataFlow`	DIS_WORKSPACE_OBJECT_DELETE
`ListTasks`	DIS_WORKSPACE_OBJECT_INSPECT
`CreateTask`	DIS_WORKSPACE_OBJECT_CREATE
`GetTask`	DIS_WORKSPACE_OBJECT_READ
`UpdateTask`	DIS_WORKSPACE_OBJECT_UPDATE
`DeleteTask`	DIS_WORKSPACE_OBJECT_DELETE
`CreateTaskValidation`	DIS_WORKSPACE_OBJECT_CREATE
`ListTaskValidations`	DIS_WORKSPACE_OBJECT_INSPECT
`GetTaskValidations`	DIS_WORKSPACE_OBJECT_READ
`DeleteTaskValidation`	DIS_WORKSPACE_OBJECT_DELETE
`ListApplications`	DIS_WORKSPACE_OBJECT_INSPECT
`CreateApplication`	DIS_WORKSPACE_OBJECT_CREATE
`GetApplication`	DIS_WORKSPACE_OBJECT_READ
`UpdateApplication`	DIS_WORKSPACE_OBJECT_UPDATE
`DeleteApplication`	DIS_WORKSPACE_OBJECT_DELETE
`ListPatches`	DIS_WORKSPACE_OBJECT_INSPECT
`CreatePatch`	DIS_WORKSPACE_OBJECT_CREATE
`GetPatch`	DIS_WORKSPACE_OBJECT_READ
`DeletePatch`	DIS_WORKSPACE_OBJECT_DELETE
`ListPatchChanges`	DIS_WORKSPACE_OBJECT_INSPECT
`ListPublishedObjects`	DIS_WORKSPACE_OBJECT_INSPECT
`GetPublishedObject`	DIS_WORKSPACE_OBJECT_READ
`ListDependentObjects`	DIS_WORKSPACE_OBJECT_INSPECT
`GetDependenObject`	DIS_WORKSPACE_OBJECT_READ
`ListTaskRuns`	DIS_WORKSPACE_OBJECT_INSPECT
`CreateTaskRun`	DIS_WORKSPACE_OBJECT_EXECUTE
`GetTaskRun`	DIS_WORKSPACE_OBJECT_READ
`UpdateTaskRun`	DIS_WORKSPACE_OBJECT_UPDATE
`DeleteTaskRun`	DIS_WORKSPACE_OBJECT_DELETE
`ListTaskRunLogs`	DIS_WORKSPACE_OBJECT_INSPECT
`CreateDataAsset`	DIS_WORKSPACE_OBJECT_CREATE
`ListDataAssets`	DIS_WORKSPACE_OBJECT_INSPECT
`GetDataAsset`	DIS_WORKSPACE_OBJECT_READ
`UpdateDataAsset`	DIS_WORKSPACE_OBJECT_UPDATE
`DeleteDataAsset`	DIS_WORKSPACE_OBJECT_DELETE
`CreateConnection`	DIS_WORKSPACE_OBJECT_CREATE
`ListConnections`	DIS_WORKSPACE_OBJECT_INSPECT
`GetConnection`	DIS_WORKSPACE_OBJECT_READ
`UpdateConnection`	DIS_WORKSPACE_OBJECT_UPDATE
`DeleteConnection`	DIS_WORKSPACE_OBJECT_DELETE
`GetSchema`	DIS_WORKSPACE_OBJECT_READ
`ListSchemas`	DIS_WORKSPACE_OBJECT_INSPECT
`ListDataEntities`	DIS_WORKSPACE_OBJECT_INSPECT
`CreateEntityShape`	DIS_WORKSPACE_OBJECT_CREATE
`GetDataEntity`	DIS_WORKSPACE_OBJECT_READ
`CreateConnectionValidation`	DIS_WORKSPACE_OBJECT_CREATE
`ListConnectionValidations`	DIS_WORKSPACE_OBJECT_INSPECT
`GetConnectionValidation`	DIS_WORKSPACE_OBJECT_READ
`DeleteConnectionValidation`	DIS_WORKSPACE_OBJECT_DELETE
`CreateDataFlowValidation`	DIS_WORKSPACE_OBJECT_CREATE
`ListDataFlowValidations`	DIS_WORKSPACE_OBJECT_INSPECT
`GetDataFlowValidation`	DIS_WORKSPACE_OBJECT_READ
`DeleteDataFlowValiation`	DIS_WORKSPACE_OBJECT_DELETE
`ListReferences`	DIS_WORKSPACE_OBJECT_INSPECT
`GetReference`	DIS_WORKSPACE_OBJECT_READ
`UpdateReference`	DIS_WORKSPACE_OBJECT_UPDATE
`ListExternalPublications`	DIS_WORKSPACE_OBJECT_INSPECT
`CreateExternalPublication`	DIS_WORKSPACE_OBJECT_CREATE
`GetExternalPublication`	DIS_WORKSPACE_OBJECT_READ
`UpdateExternalPublication`	DIS_WORKSPACE_OBJECT_UPDATE
`DeleteExternalPublication`	DIS_WORKSPACE_OBJECT_DELETE
`ListExternalPublicationValidations`	DIS_WORKSPACE_OBJECT_INSPECT
`CreateExternalPublicationValidation`	DIS_WORKSPACE_OBJECT_CREATE
`GetExternalPublicationValidation`	DIS_WORKSPACE_OBJECT_READ
`DeleteExternalPublicationValidation`	DIS_WORKSPACE_OBJECT_DELETE
`ListPipelines`	DIS_WORKSPACE_OBJECT_INSPECT
`GetPipeline`	DIS_WORKSPACE_OBJECT_READ
`UpdatePipeline`	DIS_WORKSPACE_OBJECT_UPDATE
`CreatePipeline`	DIS_WORKSPACE_OBJECT_CREATE
`DeletePipeline`	DIS_WORKSPACE_OBJECT_DELETE
`ListSchedules`	DIS_WORKSPACE_OBJECT_INSPECT
`GetSchedule`	DIS_WORKSPACE_OBJECT_READ
`UpdateSchedule`	DIS_WORKSPACE_OBJECT_UPDATE
`CreateSchedule`	DIS_WORKSPACE_OBJECT_CREATE
`DeleteSchedule`	DIS_WORKSPACE_OBJECT_DELETE
`ListTaskSchedules`	DIS_WORKSPACE_OBJECT_INSPECT
`GetTaskSchedule`	DIS_WORKSPACE_OBJECT_READ
`UpdateTaskSchedule`	DIS_WORKSPACE_OBJECT_UPDATE
`CreateTaskSchedule`	DIS_WORKSPACE_OBJECT_CREATE
`DeleteTaskSchedule`	DIS_WORKSPACE_OBJECT_DELETE
`CreateExportRequest`	DIS_WORKSPACE_OBJECT_EXPORT
`GetExportRequest`	DIS_WORKSPACE_OBJECT_READ
`ListExportRequests`	DIS_WORKSPACE_OBJECT_INSPECT
`UpdateExportRequest`	DIS_WORKSPACE_OBJECT_UPDATE
`DeleteExportRequest`	DIS_WORKSPACE_OBJECT_DELETE
`CreateImportRequest`	DIS_WORKSPACE_OBJECT_IMPORT
`GetImportRequest`	DIS_WORKSPACE_OBJECT_READ
`ListImportRequests`	DIS_WORKSPACE_OBJECT_INSPECT
`UpdateImportRequest`	DIS_WORKSPACE_OBJECT_UPDATE
`DeleteImportRequest`	DIS_WORKSPACE_OBJECT_DELETE