Oracle AI Data Platform Workbench에 대한 IAM 정책

Oracle AI Data Platform Workbench는 OCI에서 관리되며, 제공된 IAM 정책이 필요합니다.

새 AI 데이터 플랫폼 워크벤치 인스턴스를 생성하려면 사용자가 IAM 정책에서 최소한 MANAGE를 사용으로 설정해야 합니다.

allow group <aidpAdminIdentityDomain>/<aidpAdminGroup> to manage ai-data-platforms in compartment id <aidpCompartmentId>

Oracle AI Data Platform Workbench를 사용하면 사용자가 두 가지 서로 다른 정책 조합을 사용하여 인스턴스를 설정할 수 있습니다.

옵션 1: 테넌시 레벨 정책(범위)

이 옵션을 사용하면 정책이 테넌시(루트) 레벨에서 정의되므로 Oracle AI Data Platform Workbench가 구획 전반에 걸쳐 광범위하게 액세스할 수 있습니다.

새로운 워크로드, 데이터 소스 또는 구획을 추가할 때마다 새로운 IAM 정책을 작성할 필요성을 최소화합니다.
가장 쉬운 온보딩 경험. 초기 설정 후 최소한의 변경이 필요합니다.
사용자는 더 넓은 범위의 권한을 가집니다.
규제 환경에서 엄격한 최소 권한 요구 사항을 충족하지 못할 수 있습니다.

Oracle AI Data Platform Workbench 서비스가 OCI IAM 리소스를 확인하여 AI Data Platform 관리 리소스의 역할 기반 액세스 제어를 구성할 수 있도록 허용합니다.

allow any-user TO {AUTHENTICATION_INSPECT, DOMAIN_INSPECT, DOMAIN_READ, DYNAMIC_GROUP_INSPECT, GROUP_INSPECT, GROUP_MEMBERSHIP_INSPECT, USER_INSPECT, USER_READ} IN TENANCY where all {request.principal.type='aidataplatform'}

Oracle AI Data Platform Workbench 서비스가 OCI 로깅 로그 그룹을 생성하고 사용자에게 로그를 제공할 수 있도록 허용합니다.

allow any-user to manage log-groups in compartment id <aidpCompartmentId> where ALL { request.principal.type='aidataplatform' }
allow any-user to read log-content in compartment id <aidpCompartmentId> where ALL { request.principal.type='aidataplatform' }

Oracle AI Data Platform Workbench 서비스가 사용자에게 측정항목을 제공하도록 허용:

allow any-user to use metrics in compartment id <aidpCompartmentId> where ALL {request.principal.type='aidataplatform', target.metrics.namespace='oracle_aidataplatform'}

Oracle AI Data Platform Workbench 서비스가 작업영역 및 마스터 카탈로그의 관리형 데이터에 대한 OCI 객체 저장소 버킷을 생성 및 관리할 수 있도록 허용합니다.

allow any-user to manage buckets in tenancy where all { request.principal.type='aidataplatform', any {request.permission = 'BUCKET_CREATE', request.permission = 'BUCKET_INSPECT', request.permission = 'BUCKET_READ', request.permission = 'BUCKET_UPDATE'}}

Oracle AI Data Platform Workbench 서비스가 AI Data Platform Workbench 인스턴스 레벨별로 제한된 액세스 권한으로 작업영역 및 마스터 카탈로그의 데이터를 관리/관리할 수 있도록 허용합니다.

allow any-user to {TAG_NAMESPACE_USE} in tenancy where all {request.principal.type = 'aidataplatform'}
allow any-user to manage buckets in tenancy where all { request.principal.id=target.resource.tag.orcl-aidp.governingAidpId, any {request.permission = 'BUCKET_DELETE', request.permission = 'PAR_MANAGE', request.permission = 'RETENTION_RULE_LOCK', request.permission = 'RETENTION_RULE_MANAGE'} }
allow any-user to read objectstorage-namespaces in tenancy where all { request.principal.type='aidataplatform', any {request.permission = 'OBJECTSTORAGE_NAMESPACE_READ'}}
allow any-user to manage objects in tenancy where all { request.principal.id=target.bucket.system-tag.orcl-aidp.governingAidpId  }

Oracle AI Data Platform Workbench 서비스가 컴퓨트 클러스터가 프라이빗 네트워크의 데이터에 액세스하도록 구성하도록 허용(선택사항):

allow any-user to manage vnics in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform'}
allow any-user to use subnets in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform'}
allow any-user to use network-security-groups in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform'}

오브젝트 스토리지 서비스가 Oracle AI Data Platform Workbench 작업영역 데이터에 수명 주기 작업(예: 영구 삭제 또는 아카이브)을 자동으로 적용하여 수동 유지 관리 작업을 줄이고 데이터 보존 모범 사례 준수를 지원할 수 있도록 합니다(선택사항).
```
allow service objectstorage-<<region_identifier>> to manage object-family in compartment id <<aidp-compartment-ocid>>
```

옵션 2: 컴파트먼트 레벨 정책(Fine-grained Scope)

이 옵션을 사용하면 정책이 컴파트먼트 레벨에서 정의됩니다. 즉, AI 데이터 플랫폼 인스턴스가 생성된 컴파트먼트입니다.

더 엄격한 보안 경계를 제공합니다. 기본적으로 AI 데이터 플랫폼 워크벤치의 액세스를 단일 구획으로 제한합니다.
워크플로우가 추가 구획으로 확장되어야 하는 경우 새 구획 정책을 증분식으로 추가할 수 있습니다.
다른 구획에 액세스하기 위해 AI Data Platform Workbench가 필요할 때마다 수동 IAM 업데이트를 수행해야 합니다.
확장 중 더 많은 작업 오버헤드가 필요합니다.

Oracle AI Data Platform Workbench 서비스가 OCI IAM 리소스를 확인하여 AI Data Platform 관리 리소스의 역할 기반 액세스 제어를 구성할 수 있도록 허용합니다.

allow any-user TO {AUTHENTICATION_INSPECT, DOMAIN_INSPECT, DOMAIN_READ, DYNAMIC_GROUP_INSPECT, GROUP_INSPECT, GROUP_MEMBERSHIP_INSPECT, USER_INSPECT, USER_READ} IN TENANCY where all {request.principal.type='aidataplatform'}

Oracle AI Data Platform Workbench 서비스가 OCI 로깅 로그 그룹을 생성하고 사용자에게 로그를 제공할 수 있도록 허용합니다.

allow any-user to manage log-groups in compartment id <aidpCompartmentId> where ALL { request.principal.type='aidataplatform' }
allow any-user to read log-content in compartment id <aidpCompartmentId> where ALL { request.principal.type='aidataplatform' }

Oracle AI Data Platform Workbench 서비스가 사용자에게 측정항목을 제공하도록 허용:

allow any-user to use metrics in compartment id <aidpCompartmentId> where ALL {request.principal.type='aidataplatform', target.metrics.namespace='oracle_aidataplatform'}

allow any-user to manage buckets in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform', any {request.permission = 'BUCKET_CREATE', request.permission = 'BUCKET_INSPECT', request.permission = 'BUCKET_READ', request.permission = 'BUCKET_UPDATE'}}

allow any-user to {TAG_NAMESPACE_USE} in tenancy where all {request.principal.type = 'aidataplatform'}
allow any-user to manage buckets in compartment id <aidpCompartmentId> where all { request.principal.id=target.resource.tag.orcl-aidp.governingAidpId, any {request.permission = 'BUCKET_DELETE', request.permission = 'PAR_MANAGE', request.permission = 'RETENTION_RULE_LOCK', request.permission = 'RETENTION_RULE_MANAGE'} }
allow any-user to read objectstorage-namespaces in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform', any {request.permission = 'OBJECTSTORAGE_NAMESPACE_READ'}}
allow any-user to manage objects in compartment id <aidpCompartmentId> where all { request.principal.id=target.bucket.system-tag.orcl-aidp.governingAidpId  }

Oracle AI Data Platform Workbench 서비스가 컴퓨트 클러스터가 프라이빗 네트워크의 데이터에 액세스하도록 구성하도록 허용(선택사항):

allow any-user to manage vnics in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform'}
allow any-user to use subnets in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform'}
allow any-user to use network-security-groups in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform'}

오브젝트 스토리지 서비스가 Oracle AI Data Platform Workbench 작업영역 데이터에 수명 주기 작업(예: 영구 삭제 또는 아카이브)을 자동으로 적용하여 수동 유지 관리 작업을 줄이고 데이터 보존 모범 사례 준수를 지원할 수 있도록 합니다(선택사항).
```
allow service objectstorage-<<region_identifier>> to manage object-family in compartment id <<aidp-compartment-ocid>>
```

외부 테이블에 대한 추가 정책

AI 데이터 플랫폼 워크벤치 인스턴스가 다른 컴파트먼트에 저장된 데이터에 액세스해야 하는 경우 해당 외부 컴파트먼트에 대한 추가 정책을 부여해야 합니다. 이러한 정책을 통해 AI Data Platform Workbench는 외부 컴파트먼트의 버킷 및 객체를 검사, 읽기 및 관리하여 AI Data Platform Workbench 작업영역 내에서 사용할 수 있습니다.

allow any-user to manage buckets in compartment id <external-data-CompartmentId> where all { request.principal.type='aidataplatform', any {request.permission = 'BUCKET_INSPECT', request.permission = 'BUCKET_READ', request.permission = 'BUCKET_UPDATE'}} 
allow any-user to manage buckets in compartment id <external-data-CompartmentId> where all { request.principal.id=target.resource.tag.orcl-aidp.governingAidpId, any {request.permission = 'PAR_MANAGE', request.permission = 'RETENTION_RULE_LOCK', request.permission = 'RETENTION_RULE_MANAGE'} } 
allow any-user to manage objects in compartment id <external-data-CompartmentId> where all { request.principal.id=target.bucket.system-tag.orcl-aidp.governingAidpId } 
allow service objectstorage-<<region_identifier>> to manage object-family in compartment id <external-data-CompartmentId>

주:

사용자정의 ID 도메인(기본값 아님)을 사용 중인 경우 그룹 이름 앞에 IAM 정책의 도메인 이름을 추가해야 합니다. 예:

allow group <aidpAdminIdentityDomain>/<aidpAdminGroup> to manage ai-data-platforms in compartment id <aidpCompartmentId>

IAM 정책에 대한 자세한 내용은 IAM 정책 개요를 참조하십시오.

AI 데이터 플랫폼 워크벤치를 보고 로그인하려면 해당 AI 데이터 플랫폼 워크벤치의 관리자가 액세스 권한을 부여해야 합니다.