データ統合のポリシー
サービスOracle Cloud Infrastructure Identity and Access Management (IAM)をアイデンティティ・ドメインとともに使用してポリシーを作成します。
デフォルトでは、Administratorsグループのユーザーのみがデータ統合のすべてのリソースと機能にアクセスできます。データ統合のリソースおよび機能に対する管理者以外のユーザーのアクセスを制御するには、IAMグループを作成し、そのグループに適切なアクセス権を付与するポリシーを記述します。
次のページでは、使用可能なポリシーの例をいくつか示します。
次のページには、ポリシーの記述に関する詳細な情報が表示されます。
ポリシー構文の概要
ポリシー・ステートメント全体の構文:
allow <subject> to <verb> <resource-type> in <location> where <condition>たとえば、次のように指定できます。
-
<subject>として、グループまたは動的グループの名前またはOCID。または、any-userを使用して、テナンシ内のすべてのユーザーを含めることができます。 -
<subject>に1つ以上の権限のアクセス権を付与するため、<verb>として、inspect、read、useおよびmanage。inspect>read>use>manageに移動すると、アクセスのレベルは一般に増加し、付与された権限は累積されます。たとえば、useには、readに加えて更新する権限が含まれます。 -
resource-typeにはリソースのファミリ(virtual-network-familyなど)。または、vcnsやsubnetsなど、ファミリ内の個々のリソースを指定できます。 -
<location>として、コンパートメントの名前またはOCID。または、tenancyを使用して、テナンシ全体を含めることができます。 -
<condition>に1つ以上の条件。アクセス権を付与するためには、これが満たされる必要があります。複数の条件では、anyまたはallを使用できます。1つの条件は1つ以上の変数で構成されます。変数は、リクエスト自体(
request.operationなど)またはリクエストで処理されるリソース(target.workspace.idなど)に関連するものを使用できます。たとえば、グループが特定のワークスペースのみを管理できるようにするには:allow group <group-name> to manage dis-workspaces in compartment <compartment-name> where target.workspace.id = '<workspace-ocid>'または、グループが(ワークスペースの削除を除いて)すべてのデータ統合リソースを管理できるようにするには:
allow group <group-name> to manage dis-family in compartment <compartment-name> where request.permission != 'DIS_WORKSPACE_DELETE'
詳細は、ポリシー構文を参照してください。
ポリシーの作成の詳細は、ポリシーの仕組みおよびポリシー・リファレンスを参照してください。
リソース・タイプ
データ統合には、ポリシーを記述するために集約リソース・タイプと個別リソース・タイプの両方が用意されています。
集約リソース・タイプを使用すると、記述するポリシーの数を少なくできます。たとえば、グループにdis-workspacesおよびdis-work-requestsの管理を許可するかわりに、グループに集約リソース・タイプdis-familyの管理を許可するポリシーを記述できます。
| 集約リソース・タイプ | 個々のリソースタイプ |
|---|---|
dis-family |
|
集約リソース・タイプ
dis-familyでカバーされるAPIは、dis-workspacesおよびdis-work-requestsのAPIをカバーしています。たとえば、
allow group dis-admins to manage dis-family in compartment <compartment_name>allow group dis-admins to manage dis-workspaces in compartment <compartment_name>
allow group dis-admins to manage dis-work-requests in compartment <compartment_name>サポートされる変数
条件をポリシーに追加するには、Oracle Cloud Infrastructureの汎用変数またはサービス固有変数を使用できます。
データ統合では、すべての一般的な変数がサポートされます(すべてのリクエストの一般的な変数を参照)。
次の表に、使用できるリソース・タイプ変数を示します。
| 操作対象のリソース・タイプ | 使用できる変数 | 変数タイプ | コメント |
|---|---|---|---|
dis-workspace | target.workspace.id | エンティティ(OCID) | CreateWorkspaceでは使用できません |
| 操作対象のAPIパス | 使用できる変数 | 変数タイプ | コメント |
|---|---|---|---|
/workspaces/{workspaceId}/applications/{applicationKey}/* | target.application.key | エンティティ(キー) | ListApplications、CreateApplicationでは使用できません |
/workspaces/{workspaceId}/applications |
|
エンティティ(キー) |
|
/workspaces/{workspaceId}/projects/{projectKey}/* | target.object.key | エンティティ(キー) | |
/workspaces/{workspaceId}/folders/{folderKey}/* |
| エンティティ(キー) | target.folder.keyは、CreateFolderでのみ使用できます |
/workspaces/{workspaceId}/dataflows/{dataflowKey}/* |
| エンティティ(キー) | target.folder.keyは、CreateDataflow、UpdateDataflowでのみ使用できます |
/workspaces/{workspaceId}/tasks/{dataflowKey}/* |
| エンティティ(キー) | target.folder.keyは、CreateTask、UpdateTaskでのみ使用できます |
/workspaces/{workspaceId}/dataAssets/{dataAssetKey}/* | target.object.key | エンティティ(キー) | |
/workspaces/{workspaceId}/connections/{connectionKey}/* |
| エンティティ(キー) | target.folder.keyは、CreateConnection、UpdateConnectionでのみ使用できます |
/workspaces/{workspaceId}/pipelines/{pipelineKey}/* |
| エンティティ(キー) | target.folder.keyは、CreatePipeline、UpdatePipelineでのみ使用できます |
動詞+リソース・タイプの組合せの詳細
ポリシーの作成時にOracle Cloud Infrastructureの動詞とリソース・タイプを使用します。
次の表に、データ統合で各動詞によってカバーされる権限およびAPI操作を示します。アクセスのレベルは、inspectからread、use、manageの順に累積します。表のセルのプラス記号(+)は、そのすぐ上のセルと比較して増分アクセスを示しますが、「追加なし」は増分アクセスを示しません。
dis-work-requests
| 権限 | 完全にカバーされるAPI |
|---|---|
|
調査 |
|
| DIS_WORK_REQUEST_INSPECT | ListWorkRequests |
ListWorkRequestErrors |
|
ListWorkRequestLogs |
|
|
READ |
|
|
調査+ |
調査+ |
| DIS_WORK_REQUEST_READ | GetWorkRequest |
|
USE |
|
| 追加なし | 追加なし |
|
管理 |
|
| 追加なし | 追加なし |
ノート
dis-work-requestsの各権限では、1つ以上のAPIが全部カバーされます。dis-work-requestsの権限では、部分的にカバーされるAPIはありません。dis-workspaces
| 権限 | 完全にカバーされるAPI |
|---|---|
|
調査 |
|
| DIS_WORKSPACE_INSPECT | ListWorkspaces |
| DIS_WORKSPACE_OBJECT_INSPECT | ListProjects |
ListFolders |
|
ListDataFlows |
|
ListTasks |
|
ListTaskValidations |
|
ListApplications |
|
ListPublishedObjects |
|
ListDependentObjects |
|
ListTaskRuns |
|
ListTaskRunLogs |
|
ListDataAssets |
|
ListConnections |
|
ListSchemas |
|
ListDataEntities |
|
ListConnectionValidation |
|
ListDataFlowValidations |
|
ListExternalPublications | |
ListExternalPublicationValidations | |
ListReferences | |
ListPatchChanges | |
ListPipelines | |
ListSchedules | |
ListTaskSchedules | |
| READ | |
|
検査+ |
検査+ |
| DIS_WORKSPACE_READ | GetWorkspace |
| DIS_WORKSPACE_OBJECT_READ | GetCountStatistic |
GetProject |
|
GetFolder |
|
GetDataFlow |
|
GetTask |
|
GetTaskValidation |
|
GetApplication |
|
GetPatch |
|
GetPublishedObject |
|
GetDependentObject |
|
GetTaskRun |
|
GetDataAsset |
|
GetConnection |
|
GetSchema |
|
GetDataEntity |
|
GetConnectionValidation |
|
GetDataFlowValidation |
|
GetExternalPublication | |
GetExternalPublicationValidation | |
GetReference | |
GetPipeline | |
GetSchedule | |
GetTaskSchedule | |
|
USE |
|
|
読取り+ |
読取り+ |
| DIS_WORKSPACE_EXECUTE | ExecuteTask |
| DIS_WORKSPACE_UPDATE | UpdateWorkspace |
| DIS_WORKSPACE_OBJECT_EXECUTE | CreateTaskRun |
UpdateTaskRun |
|
| DIS_WORKSPACE_OBJECT_UPDATE | UpdateProject |
UpdateFolder |
|
UpdateDataFlow |
|
UpdateTask |
|
UpdateApplication |
|
UpdateDataAsset |
|
UpdateConnection |
|
UpdateReference | |
UpdateExternalPublication | |
UpdatePipeline | |
UpdateSchedule | |
UpdateTaskSchedule | |
| DIS_WORKSPACE_OBJECT_CREATE | CreateProject |
CreateFolder |
|
CreateDataFlow |
|
CreateTask |
|
CreateTaskValidation |
|
CreatePatch |
|
CreateApplication |
|
CreateDataAsset |
|
CreateConnection |
|
CreateEntityShape |
|
CreateConnectionValidation |
|
CreateDataFlowValidation |
|
CreateExternalPublication | |
CreateExternalPublicationValidation | |
CreatePipeline | |
CreateSchedule | |
CreateTaskSchedule | |
| DIS_WORKSPACE_OBJECT_DELETE | DeleteProject |
DeleteFolder |
|
DeleteDataFlow |
|
DeleteTask |
|
DeleteTaskValidation |
|
DeleteApplication |
|
DeletePatch |
|
DeleteTaskRun |
|
DeleteDataAsset |
|
DeleteConnection |
|
DeleteConnectionValidation |
|
DeleteDataFlowValidation |
|
DeleteExternalPublication | |
DeleteExternalPublicationValidation | |
DeletePipeline | |
DeleteSchedule | |
DeleteTaskSchedule | |
|
管理 |
|
|
使用+ |
使用+ |
| DIS_WORKSPACE_CREATE | CreateWorkspace |
| DIS_WORKSPACE_DELETE | DeleteWorkspace |
| DIS_WORKSPACE_MOVE | ChangeCompartment |
| DIS_WORKSPACE_START | StartWorkspace |
| DIS_WORKSPACE_STOP | StopWorkspace |
ノート
dis-workspacesの各権限では、APIが全部カバーされます。dis-workspacesの権限では、部分的にカバーされるAPIはありません。API操作ごとに必要な権限
この表は、データ統合API操作をリソース・タイプ別に論理的な順序で示し、リソース・タイプdis-workspacesおよびdis-work-requestsに必要な権限を示しています。
権限の詳細は、権限を参照してください。
| API操作 | 権限 |
|---|---|
ListWorkspaces |
DIS_WORKSPACE_INSPECT |
GetWorkspace |
DIS_WORKSPACE_READ |
UpdateWorkspace |
DIS_WORKSPACE_UPDATE |
DeleteWorkspace |
DIS_WORKSPACE_DELETE |
CreateWorkspace |
DIS_WORKSPACE_CREATE |
ChangeCompartment |
DIS_WORKSPACE_MOVE |
StartWorkspace |
DIS_WORKSPACE_START |
StopWorkspace |
DIS_WORKSPACE_STOP |
ListWorkRequests |
DIS_WORK_REQUEST_INSPECT |
GetWorkRequest |
DIS_WORK_REQUEST_READ |
ListWorkRequestErrors |
DIS_WORK_REQUEST_INSPECT |
ListWorkRequestLogs |
DIS_WORK_REQUEST_INSPECT |
GetCountStatistic |
DIS_WORKSPACE_OBJECT_READ |
ListProjects |
DIS_WORKSPACE_OBJECT_INSPECT |
CreateProject |
DIS_WORKSPACE_OBJECT_CREATE |
GetProject |
DIS_WORKSPACE_OBJECT_READ |
UpdateProject |
DIS_WORKSPACE_OBJECT_UPDATE |
DeleteProject |
DIS_WORKSPACE_OBJECT_DELETE |
ListFolders |
DIS_WORKSPACE_OBJECT_INSPECT |
CreateFolder |
DIS_WORKSPACE_OBJECT_CREATE |
GetFolder |
DIS_WORKSPACE_OBJECT_READ |
UpdateFolder |
DIS_WORKSPACE_OBJECT_UPDATE |
DeleteFolder |
DIS_WORKSPACE_OBJECT_DELETE |
ListDataFlows |
DIS_WORKSPACE_OBJECT_INSPECT |
CreateDataFlow |
DIS_WORKSPACE_OBJECT_CREATE |
GetDataFlow |
DIS_WORKSPACE_OBJECT_READ |
UpdateDataFlow |
DIS_WORKSPACE_OBJECT_UPDATE |
DeleteDataFlow |
DIS_WORKSPACE_OBJECT_DELETE |
ListTasks |
DIS_WORKSPACE_OBJECT_INSPECT |
CreateTask |
DIS_WORKSPACE_OBJECT_CREATE |
GetTask |
DIS_WORKSPACE_OBJECT_READ |
UpdateTask |
DIS_WORKSPACE_OBJECT_UPDATE |
DeleteTask |
DIS_WORKSPACE_OBJECT_DELETE |
CreateTaskValidation |
DIS_WORKSPACE_OBJECT_CREATE |
ListTaskValidations |
DIS_WORKSPACE_OBJECT_INSPECT |
GetTaskValidations |
DIS_WORKSPACE_OBJECT_READ |
DeleteTaskValidation |
DIS_WORKSPACE_OBJECT_DELETE |
ListApplications |
DIS_WORKSPACE_OBJECT_INSPECT |
CreateApplication |
DIS_WORKSPACE_OBJECT_CREATE |
GetApplication |
DIS_WORKSPACE_OBJECT_READ |
UpdateApplication |
DIS_WORKSPACE_OBJECT_UPDATE |
DeleteApplication |
DIS_WORKSPACE_OBJECT_DELETE |
ListPatches |
DIS_WORKSPACE_OBJECT_INSPECT |
CreatePatch |
DIS_WORKSPACE_OBJECT_CREATE |
GetPatch |
DIS_WORKSPACE_OBJECT_READ |
DeletePatch |
DIS_WORKSPACE_OBJECT_DELETE |
ListPatchChanges | DIS_WORKSPACE_OBJECT_INSPECT |
ListPublishedObjects |
DIS_WORKSPACE_OBJECT_INSPECT |
GetPublishedObject |
DIS_WORKSPACE_OBJECT_READ |
ListDependentObjects |
DIS_WORKSPACE_OBJECT_INSPECT |
GetDependentObject |
DIS_WORKSPACE_OBJECT_READ |
ListTaskRuns |
DIS_WORKSPACE_OBJECT_INSPECT |
CreateTaskRun |
DIS_WORKSPACE_OBJECT_EXECUTE |
GetTaskRun |
DIS_WORKSPACE_OBJECT_READ |
UpdateTaskRun |
DIS_WORKSPACE_OBJECT_UPDATE |
DeleteTaskRun |
DIS_WORKSPACE_OBJECT_DELETE |
ListTaskRunLogs |
DIS_WORKSPACE_OBJECT_INSPECT |
CreateDataAsset |
DIS_WORKSPACE_OBJECT_CREATE |
ListDataAssets |
DIS_WORKSPACE_OBJECT_INSPECT |
GetDataAsset |
DIS_WORKSPACE_OBJECT_READ |
UpdateDataAsset |
DIS_WORKSPACE_OBJECT_UPDATE |
DeleteDataAsset |
DIS_WORKSPACE_OBJECT_DELETE |
CreateConnection |
DIS_WORKSPACE_OBJECT_CREATE |
ListConnections |
DIS_WORKSPACE_OBJECT_INSPECT |
GetConnection |
DIS_WORKSPACE_OBJECT_READ |
UpdateConnection |
DIS_WORKSPACE_OBJECT_UPDATE |
DeleteConnection |
DIS_WORKSPACE_OBJECT_DELETE |
GetSchema |
DIS_WORKSPACE_OBJECT_READ |
ListSchemas |
DIS_WORKSPACE_OBJECT_INSPECT |
ListDataEntities |
DIS_WORKSPACE_OBJECT_INSPECT |
CreateEntityShape |
DIS_WORKSPACE_OBJECT_CREATE |
GetDataEntity |
DIS_WORKSPACE_OBJECT_READ |
CreateConnectionValidation |
DIS_WORKSPACE_OBJECT_CREATE |
ListConnectionValidations |
DIS_WORKSPACE_OBJECT_INSPECT |
GetConnectionValidation |
DIS_WORKSPACE_OBJECT_READ |
DeleteConnectionValidation |
DIS_WORKSPACE_OBJECT_DELETE |
CreateDataFlowValidation |
DIS_WORKSPACE_OBJECT_CREATE |
ListDataFlowValidations |
DIS_WORKSPACE_OBJECT_INSPECT |
GetDataFlowValidation |
DIS_WORKSPACE_OBJECT_READ |
DeleteDataFlowValiation |
DIS_WORKSPACE_OBJECT_DELETE |
ListReferences | DIS_WORKSPACE_OBJECT_INSPECT |
GetReference | DIS_WORKSPACE_OBJECT_READ |
UpdateReference | DIS_WORKSPACE_OBJECT_UPDATE |
ListExternalPublications | DIS_WORKSPACE_OBJECT_INSPECT |
CreateExternalPublication | DIS_WORKSPACE_OBJECT_CREATE |
GetExternalPublication | DIS_WORKSPACE_OBJECT_READ |
UpdateExternalPublication | DIS_WORKSPACE_OBJECT_UPDATE |
DeleteExternalPublication | DIS_WORKSPACE_OBJECT_DELETE |
ListExternalPublicationValidations | DIS_WORKSPACE_OBJECT_INSPECT |
CreateExternalPublicationValidation | DIS_WORKSPACE_OBJECT_CREATE |
GetExternalPublicationValidation | DIS_WORKSPACE_OBJECT_READ |
DeleteExternalPublicationValidation | DIS_WORKSPACE_OBJECT_DELETE |
ListPipelines | DIS_WORKSPACE_OBJECT_INSPECT |
GetPipeline | DIS_WORKSPACE_OBJECT_READ |
UpdatePipeline | DIS_WORKSPACE_OBJECT_UPDATE |
CreatePipeline | DIS_WORKSPACE_OBJECT_CREATE |
DeletePipeline | DIS_WORKSPACE_OBJECT_DELETE |
ListSchedules | DIS_WORKSPACE_OBJECT_INSPECT |
GetSchedule | DIS_WORKSPACE_OBJECT_READ |
UpdateSchedule | DIS_WORKSPACE_OBJECT_UPDATE |
CreateSchedule | DIS_WORKSPACE_OBJECT_CREATE |
DeleteSchedule | DIS_WORKSPACE_OBJECT_DELETE |
ListTaskSchedules | DIS_WORKSPACE_OBJECT_INSPECT |
GetTaskSchedule | DIS_WORKSPACE_OBJECT_READ |
UpdateTaskSchedule | DIS_WORKSPACE_OBJECT_UPDATE |
CreateTaskSchedule | DIS_WORKSPACE_OBJECT_CREATE |
DeleteTaskSchedule | DIS_WORKSPACE_OBJECT_DELETE |
CreateExportRequest |
DIS_WORKSPACE_OBJECT_EXPORT |
GetExportRequest |
DIS_WORKSPACE_OBJECT_READ |
ListExportRequests |
DIS_WORKSPACE_OBJECT_INSPECT |
UpdateExportRequest |
DIS_WORKSPACE_OBJECT_UPDATE |
DeleteExportRequest |
DIS_WORKSPACE_OBJECT_DELETE |
CreateImportRequest |
DIS_WORKSPACE_OBJECT_IMPORT |
GetImportRequest |
DIS_WORKSPACE_OBJECT_READ |
ListImportRequests |
DIS_WORKSPACE_OBJECT_INSPECT |
UpdateImportRequest |
DIS_WORKSPACE_OBJECT_UPDATE |
DeleteImportRequest |
DIS_WORKSPACE_OBJECT_DELETE |