Oracle AI Data Platform WorkbenchのIAMポリシー

Oracle AI Data Platform WorkbenchはOCIで管理されており、提供されているIAMポリシーが必要です。

新しいAI Data Platform Workbenchインスタンスを作成するには、ユーザーはIAMポリシーで少なくともMANAGEを有効にする必要があります:

allow group <aidpAdminIdentityDomain>/<aidpAdminGroup> to manage ai-data-platforms in compartment id <aidpCompartmentId>

Oracle AI Data Platform Workbenchでは、2つの異なるポリシーの組合せを使用できます。どちらのポリシーからでも、インスタンスの設定を選択できます。

オプション1: テナンシ・レベルのポリシー(広範囲)

このオプションを使用すると、ポリシーはテナンシ(ルート)レベルで定義され、Oracle AI Data Platform Workbenchにより、コンパートメント間で幅広いアクセスが可能になります。

新しいワークロード、データ・ソースまたはコンパートメントを追加するたびに、新しいIAMポリシーを記述する必要性が最小限に抑えられます。
最も簡単なオンボーディング・エクスペリエンス。初期設定後は最小限の変更が必要です。
ユーザーには幅広い権限があります。
規制環境では、厳密な最小権限要件を満たさない場合があります。

Oracle AI Data Platform WorkbenchサービスがOCI IAMリソースを表示して、AI Data Platform管理対象リソースのロールベースのアクセス制御を構成することを許可します:

allow any-user TO {AUTHENTICATION_INSPECT, DOMAIN_INSPECT, DOMAIN_READ, DYNAMIC_GROUP_INSPECT, GROUP_INSPECT, GROUP_MEMBERSHIP_INSPECT, USER_INSPECT, USER_READ} IN TENANCY where all {request.principal.type='aidataplatform'}

Oracle AI Data Platform WorkbenchサービスがOCIロギング・ログ・グループを作成し、ユーザーにログを提供できるようにします:

allow any-user to manage log-groups in compartment id <aidpCompartmentId> where ALL { request.principal.type='aidataplatform' }
allow any-user to read log-content in compartment id <aidpCompartmentId> where ALL { request.principal.type='aidataplatform' }

Oracle AI Data Platform Workbenchサービスがユーザーにメトリックを提供できるようにします:

allow any-user to use metrics in compartment id <aidpCompartmentId> where ALL {request.principal.type='aidataplatform', target.metrics.namespace='oracle_aidataplatform'}

Oracle AI Data Platform Workbenchサービスが、マスター・カタログのワークスペースおよび管理対象データのOCIオブジェクト・ストア・バケットを作成および管理できるようにします:

allow any-user to manage buckets in tenancy where all { request.principal.type='aidataplatform', any {request.permission = 'BUCKET_CREATE', request.permission = 'BUCKET_INSPECT', request.permission = 'BUCKET_READ', request.permission = 'BUCKET_UPDATE'}}

Oracle AI Data Platform Workbenchサービスで、ワークスペースおよびマスター・カタログのデータを管理/管理し、AI Data Platform Workbenchインスタンス・レベルごとのアクセスを制限できます。

allow any-user to {TAG_NAMESPACE_USE} in tenancy where all {request.principal.type = 'aidataplatform'}
allow any-user to manage buckets in tenancy where all { request.principal.id=target.resource.tag.orcl-aidp.governingAidpId, any {request.permission = 'BUCKET_DELETE', request.permission = 'PAR_MANAGE', request.permission = 'RETENTION_RULE_LOCK', request.permission = 'RETENTION_RULE_MANAGE'} }
allow any-user to read objectstorage-namespaces in tenancy where all { request.principal.type='aidataplatform', any {request.permission = 'OBJECTSTORAGE_NAMESPACE_READ'}}
allow any-user to manage objects in tenancy where all { request.principal.id=target.bucket.system-tag.orcl-aidp.governingAidpId  }

Oracle AI Data Platform Workbenchサービスによる、プライベート・ネットワークのデータにアクセスするためのコンピュート・クラスタの構成を許可します(オプション):

allow any-user to manage vnics in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform'}
allow any-user to use subnets in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform'}
allow any-user to use network-security-groups in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform'}

Object Storageサービスでは、ライフサイクル・アクション(恒久的な削除やアーカイブなど)をOracle AI Data Platform Workbenchワークスペース・データに自動的に適用できるため、手動でのメンテナンス作業が削減され、データ保持のベスト・プラクティスへの準拠がサポートされます(オプション)。
```
allow service objectstorage-<<region_identifier>> to manage object-family in compartment id <<aidp-compartment-ocid>>
```

オプション2: コンパートメント・レベルのポリシー(ファイングレイン・スコープ)

このオプションでは、ポリシーはコンパートメント・レベル(AI Data Platformインスタンスが作成されるコンパートメント)で定義されます。

セキュリティ境界が厳しくなり、AI Data Platform Workbenchによる単一コンパートメントへのアクセスがデフォルトで制限されます。
ワークフローが追加のコンパートメントにまたがる必要がある場合は、新しいコンパートメント・ポリシーを段階的に追加できます。
別のコンパートメントにアクセスするためにAI Data Platform Workbenchが必要なときはいつでも、手動でIAMを更新する必要があります。
拡張時には、より多くの運用オーバーヘッドが必要です。

allow any-user TO {AUTHENTICATION_INSPECT, DOMAIN_INSPECT, DOMAIN_READ, DYNAMIC_GROUP_INSPECT, GROUP_INSPECT, GROUP_MEMBERSHIP_INSPECT, USER_INSPECT, USER_READ} IN TENANCY where all {request.principal.type='aidataplatform'}

Oracle AI Data Platform WorkbenchサービスがOCIロギング・ログ・グループを作成し、ユーザーにログを提供できるようにします:

allow any-user to manage log-groups in compartment id <aidpCompartmentId> where ALL { request.principal.type='aidataplatform' }
allow any-user to read log-content in compartment id <aidpCompartmentId> where ALL { request.principal.type='aidataplatform' }

Oracle AI Data Platform Workbenchサービスがユーザーにメトリックを提供できるようにします:

allow any-user to use metrics in compartment id <aidpCompartmentId> where ALL {request.principal.type='aidataplatform', target.metrics.namespace='oracle_aidataplatform'}

allow any-user to manage buckets in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform', any {request.permission = 'BUCKET_CREATE', request.permission = 'BUCKET_INSPECT', request.permission = 'BUCKET_READ', request.permission = 'BUCKET_UPDATE'}}

allow any-user to {TAG_NAMESPACE_USE} in tenancy where all {request.principal.type = 'aidataplatform'}
allow any-user to manage buckets in compartment id <aidpCompartmentId> where all { request.principal.id=target.resource.tag.orcl-aidp.governingAidpId, any {request.permission = 'BUCKET_DELETE', request.permission = 'PAR_MANAGE', request.permission = 'RETENTION_RULE_LOCK', request.permission = 'RETENTION_RULE_MANAGE'} }
allow any-user to read objectstorage-namespaces in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform', any {request.permission = 'OBJECTSTORAGE_NAMESPACE_READ'}}
allow any-user to manage objects in compartment id <aidpCompartmentId> where all { request.principal.id=target.bucket.system-tag.orcl-aidp.governingAidpId  }

allow any-user to manage vnics in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform'}
allow any-user to use subnets in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform'}
allow any-user to use network-security-groups in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform'}

Object Storageサービスでは、ライフサイクル・アクション(恒久的な削除やアーカイブなど)をOracle AI Data Platform Workbenchワークスペース・データに自動的に適用できるため、手動でのメンテナンス作業が削減され、データ保持のベスト・プラクティスへの準拠がサポートされます(オプション)。
```
allow service objectstorage-<<region_identifier>> to manage object-family in compartment id <<aidp-compartment-ocid>>
```

外部表の追加ポリシー

AI Data Platform Workbenchインスタンスが別のコンパートメントに格納されているデータにアクセスする必要がある場合は、その外部コンパートメントに追加ポリシーを付与する必要があります。これらのポリシーにより、AI Data Platform Workbenchは、外部コンパートメント内のバケットおよびオブジェクトを検査、読取りおよび管理して、AI Data Platform Workbenchワークスペース内で使用できます。

allow any-user to manage buckets in compartment id <external-data-CompartmentId> where all { request.principal.type='aidataplatform', any {request.permission = 'BUCKET_INSPECT', request.permission = 'BUCKET_READ', request.permission = 'BUCKET_UPDATE'}} 
allow any-user to manage buckets in compartment id <external-data-CompartmentId> where all { request.principal.id=target.resource.tag.orcl-aidp.governingAidpId, any {request.permission = 'PAR_MANAGE', request.permission = 'RETENTION_RULE_LOCK', request.permission = 'RETENTION_RULE_MANAGE'} } 
allow any-user to manage objects in compartment id <external-data-CompartmentId> where all { request.principal.id=target.bucket.system-tag.orcl-aidp.governingAidpId } 
allow service objectstorage-<<region_identifier>> to manage object-family in compartment id <external-data-CompartmentId>

ノート:

カスタム・アイデンティティ・ドメイン(デフォルト以外)を使用している場合は、IAMポリシーのドメイン名にグループ名の接頭辞を付ける必要があります。たとえば:

allow group <aidpAdminIdentityDomain>/<aidpAdminGroup> to manage ai-data-platforms in compartment id <aidpCompartmentId>

IAMポリシーの詳細は、IAMポリシーの概要を参照してください。

AIデータ・プラットフォーム・ワークベンチを表示してログインするには、そのAIデータ・プラットフォーム・ワークベンチの管理者によるアクセス権が付与されている必要があります。