データ・サイエンス・テナンシの手動構成
このチュートリアルでは、データ・サイエンスのテナンシを設定し、ノートブック・セッションを作成してテストします。
このチュートリアルは管理者ユーザー向けです。必要なアクセス権限が付与されているためです。
このチュートリアルの内容:
開始する前に
このチュートリアルを実行するには、次が必要です:
-
有料Oracle Cloud Infrastructure (OCI)アカウントまたはOracle Cloudプロモーションの新しいアカウント。無料Oracle Cloudプロモーションのリクエストおよび管理を参照してください。
- OCIアカウントの管理者権限。
-
データ・サイエンス・サービスにアクセスするテナンシの少なくとも1人のユーザー。このユーザーは、IAMで作成する必要があります。
1. データ・サイエンティスト・ユーザー・グループの作成
データ・サイエンティストが活動するためのユーザー・グループを作成します。
2. 作業のためのコンパートメントの作成
データ・サイエンス・リソースのコンパートメントを作成します。
- ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「コンパートメント」をクリックします。
- 「コンパートメントの作成」をクリックします。
- 新規コンパートメントのdata-science-workに名前を付け、説明を入力します。
- 「コンパートメントの作成」をクリックします。
- コンパートメントがコンパートメント・リストに表示されることを確認します。
3.(オプション) VCNとサブネットの作成
このステップはオプションです。ステップ6でノートブック・セッションを作成する場合。ノートブック・セッションの作成では、ノートブック・セッションの適切な設定でデフォルト・ネットワークを作成できます。
ノートブックの作成時にデフォルト・ネットワークを選択した場合、ネットワークの作成およびサブネットおよびゲートウェイの設定をスキップできます。ノートブックでデフォルトのネットワークが構成されている場合、ノートブックを再アクティブ化するときに変更できません。
この項では、自分のVCNへのアクセスを必要とするユーザー、VCNの作成方法、および後でノートブック・セッションに推奨されるサブネットを選択する方法を示します。たとえば、データ・サイエンス・ジョブ実行のスケジュール・チュートリアルを実行している場合は、このネットワークを作成して、データ・サイエンスのノートブック・セッションとデータ統合サービスのワークスペースの両方に使用します。
パブリック・インターネットへのエグレス・アクセスには、NAT Gatewayへのルートを持つプライベート・サブネットを使用することをお薦めします。NATゲートウェイは、プライベート・サブネットのインスタンスにインターネットへのアクセス権を提供します。このステップで作成するVCNは、VCNのNAT Gatewayを介してインターネットにエグレス・アクセスするプライベート・サブネットを作成します。
4. ポリシーの作成
ユーザーがノートブック・セッションを開始する前に、データ・サイエンス・ポリシーを構成する必要があります。
ポリシーの説明:
-
データ・サイエンス・サービスがVCNをノートブック・セッションにアタッチし、ノートブック環境からエグレス・トラフィックを送信できるようにするには、次を追加します:
allow service datascience to use virtual-network-family in compartment data-science-work
-
data-scientists
グループがdata-science-work
コンパートメント(プロジェクト、ノートブック・セッション、モデル、モデル・デプロイメント、作業リクエスト、ジョブおよびジョブ実行)内のすべてのデータ・サイエンス・リソースに対する操作を実行できるようにするには、次を追加します:allow group data-scientists to manage data-science-family in compartment data-science-work
-
作成したVCNをこれらのデータ・科学者が使用し、ノートブック・セッションにアタッチできるようにするには、次を追加します:
allow group data-scientists to use virtual-network-family in compartment data-science-work
-
アーティファクトやconda環境のバケットへの追加など、これらのデータ・科学者がバケットを作成および管理できるようにするには、次を追加します:
allow group data-scientists to manage buckets in compartment data-science-work allow group data-scientists to manage objects in compartment data-science-work
バケット、オブジェクト、仮想ネットワーク・ファミリなど、管理するリソースを指定するかわりに、データ・サイエンティストがコンパートメントに対する管理権限を許可し、OCIサービスのすべてのリソースを管理できるようにするには、前の5つのポリシーを次の2つのポリシーに置き換えます:
allow group data-scientists to manage all-resources in compartment data-science-work
allow service datascience to use virtual-network-family in compartment data-science-work
5. ポリシーを使用した動的グループの作成
データ・サイエンス・リソースの動的グループを作成し、この動的グループがオブジェクト・ストレージやロギングなどの他のOCIリソースにアクセスできるようにします。
OCIリソースに他のOCIリソースにアクセスする権限を付与するには、最初に、ユーザー・グループではなく動的グループにリソースを追加します。次に、動的グループが指定したリソースにアクセスできるようにするポリシーを記述します。ここで、動的グループには3つのデータ・サイエンス・リソース(ノートブック・セッション、モデル・デプロイメントおよびジョブ実行)があります。
この動的グループを使用して、data-science-work
コンパートメントにあるノートブック・セッションおよびモデル・デプロイメントにテナンシ内の他のOCIリソースへのアクセス権を付与できます。
ポリシーの説明:
-
ノートブック・セッションがモデル・カタログ、プロジェクトおよびノートブック・セッション・リソースのエントリに対するCRUD操作を実行できるようにするには、次を追加します:
allow dynamic-group data-science-dynamic-group to manage data-science-family in compartment data-science-work
-
ノートブック・セッションがデータ・フロー・アプリケーションに対するCRUD操作を実行できるようにするには、次を追加します:
allow dynamic-group data-science-dynamic-group to manage dataflow-family in compartment data-science-work
-
ノートブック・セッションがテナンシ内のコンパートメントおよびユーザー名をリストおよび読取りできるようにするには、次を追加します:
allow dynamic-group data-science-dynamic-group to read compartments in tenancy allow dynamic-group data-science-dynamic-group to read users in tenancy
-
モデル・デプロイメントがロギング・サービスにログを生成できるようにするには、次を追加します:
allow dynamic-group data-science-dynamic-group to use log-content in compartment data-science-work
-
ジョブ実行がログを作成し、ジョブ実行の詳細をロギング・サービスに記録できるようにするには、次を追加します:
allow dynamic-group data-science-dynamic-group to use log-groups in compartment data-science-work
-
ノートブック・セッションおよびモデル・デプロイメントがオブジェクト・ストレージ・バケットに対してファイルを読み書きできるようにするには、
data-science-work
コンパートメントで次を追加します:allow dynamic-group data-science-dynamic-group to manage object-family in compartment data-science-work
- 前述のポリシーにより、モデル・デプロイメントはdata-science-workコンパートメント内の任意のバケットにアクセスできます。
- モデル・デプロイメントにdata-science-workコンパートメントの外部にある特定のバケットへの読取りアクセス権を付与するには、ポリシーにバケット名とコンパートメントを指定します。
- 例: モデル・デプロイメントがバケット
published-conda-env
から公開されたconda環境にアクセスし、バケットmodel-artifacts
からアーティファクトをモデル化できるようにするには、次を追加します:allow dynamic-group data-science-dynamic-group to read objects in compartment <another-compartment> where ANY {target.bucket.name='published-conda-envs', target.bucket.name='model-artifacts'}
- ポリシー・ステートメントにテナンシが記述されるか、
data-science-work
コンパートメントの外部のコンパートメントが含まれる場合は、「ポリシーの作成」ダイアログで「コンパートメント」オプションの<your-tenancy> (root)を選択します。このように、コンパートメントに加えて、テナンシ内の他のコンパートメントのルールをポリシーに含めることができます。
6. ノートブック・セッションの作成
最後に、ノートブック・セッションを作成し、パブリック・インターネットへのアクセスをテストします。
次の手順
データ・サイエンス・テナンシの設定、およびノートブック・セッションを含むデータ・サイエンス・プロジェクトの作成が正常に完了しました。次のタスクに進むことができます: