Oracle AI Data Platform Workbench에 대한 IAM 정책

Oracle AI Data Platform Workbench는 OCI에서 관리되며, 제공된 IAM 정책이 필요합니다.

자습서 아이콘 LiveLabs Sprint

새 AI 데이터 플랫폼 워크벤치 인스턴스를 생성하려면 사용자가 IAM 정책에서 최소한 MANAGE를 사용으로 설정해야 합니다.

allow group <aidpAdminIdentityDomain>/<aidpAdminGroup> to manage ai-data-platforms in compartment id <aidpCompartmentId>

주:

AI 데이터 플랫폼 워크벤치가 생성되면 인스턴스에 액세스하려는 모든 사용자에게 use 권한을 부여할 수 있습니다. 인스턴스를 생성하는 사용자에게는 manage가 필요합니다.

Oracle AI Data Platform Workbench는 사용자가 인스턴스를 설정하기 위해 선택할 수 있는 두 가지 다양한 정책 조합을 제공합니다.

옵션 1: 테넌시 레벨 정책(범위)

이 옵션을 사용하면 정책이 테넌시(루트) 레벨에서 정의되므로 Oracle AI Data Platform Workbench가 구획 전반에 걸쳐 광범위하게 액세스할 수 있습니다.

  • 새로운 워크로드, 데이터 소스 또는 구획을 추가할 때마다 새로운 IAM 정책을 작성할 필요성을 최소화합니다.
  • 가장 쉬운 온보딩 경험. 초기 설정 후 최소한의 변경이 필요합니다.
  • 사용자는 더 넓은 범위의 권한을 가집니다.
  • 규제 환경에서 엄격한 최소 권한 요구 사항을 충족하지 못할 수 있습니다.
  1. Oracle AI Data Platform Workbench 서비스가 OCI IAM 리소스를 확인하여 AI Data Platform 관리 리소스의 역할 기반 액세스 제어를 구성할 수 있도록 허용합니다.
    allow any-user TO {AUTHENTICATION_INSPECT, DOMAIN_INSPECT, DOMAIN_READ, DYNAMIC_GROUP_INSPECT, GROUP_INSPECT, GROUP_MEMBERSHIP_INSPECT, USER_INSPECT, USER_READ} IN TENANCY where all {request.principal.type='aidataplatform'}
  2. Oracle AI Data Platform Workbench 서비스가 OCI 로깅 로그 그룹을 생성하고 사용자에게 로그를 제공할 수 있도록 허용합니다.
    allow any-user to manage log-groups in compartment id <aidpCompartmentId> where ALL { request.principal.type='aidataplatform' }
    allow any-user to read log-content in compartment id <aidpCompartmentId> where ALL { request.principal.type='aidataplatform' }
  3. Oracle AI Data Platform Workbench 서비스가 사용자에게 측정항목을 제공하도록 허용:
    allow any-user to use metrics in compartment id <aidpCompartmentId> where ALL {request.principal.type='aidataplatform', target.metrics.namespace='oracle_aidataplatform'}
  4. Oracle AI Data Platform Workbench 서비스가 작업영역 및 마스터 카탈로그의 관리형 데이터에 대한 OCI 객체 저장소 버킷을 생성 및 관리할 수 있도록 허용합니다.
    allow any-user to manage buckets in tenancy where all { request.principal.type='aidataplatform', any {request.permission = 'BUCKET_CREATE', request.permission = 'BUCKET_INSPECT', request.permission = 'BUCKET_READ', request.permission = 'BUCKET_UPDATE'}}
  5. Oracle AI Data Platform Workbench 서비스가 AI Data Platform Workbench 인스턴스 레벨별로 제한된 액세스 권한으로 작업영역 및 마스터 카탈로그의 데이터를 관리/관리할 수 있도록 허용합니다.
    allow any-user to {TAG_NAMESPACE_USE} in tenancy where all {request.principal.type = 'aidataplatform'}
    allow any-user to manage buckets in tenancy where all { request.principal.id=target.resource.tag.orcl-aidp.governingAidpId, any {request.permission = 'BUCKET_DELETE', request.permission = 'PAR_MANAGE', request.permission = 'RETENTION_RULE_LOCK', request.permission = 'RETENTION_RULE_MANAGE'} }
    allow any-user to read objectstorage-namespaces in tenancy where all { request.principal.type='aidataplatform', any {request.permission = 'OBJECTSTORAGE_NAMESPACE_READ'}}
    allow any-user to manage objects in tenancy where all { request.principal.id=target.bucket.system-tag.orcl-aidp.governingAidpId  }
  6. Oracle AI Data Platform Workbench 서비스가 OCI GenAI 서비스에 호스팅된 LLM을 호출할 수 있도록 허용:

    주:

    AI 기능에 액세스하도록 인스턴스를 업그레이드하는 경우 나열된 정책을 모두 포함하거나 인스턴스와 관련된 정책을 선택할 수 있습니다. 인스턴스의 OCID를 검사하여 인스턴스와 관련된 주체 유형(datalake 또는 aidataplatform)을 확인할 수 있습니다.

    data_lake 인스턴스에 대한 작업 메뉴가 열려 있는 AI 데이터 플랫폼 워크벤치 페이지입니다. 세부정보 보기 작업이 강조 표시됩니다.


    data_lake AI 데이터 플랫폼 워크벤치 인스턴스에 대한 세부정보 페이지가 열립니다. OCID의 기본 유형 섹션이 강조 표시됩니다.

    allow any-user to use generative-ai-family in tenancy where all { request.principal.type='aidataplatform'}
    allow any-user to use generative-ai-family in tenancy where all { request.principal.type='datalake'}
  7. 다른 ID 도메인의 통합 사용자가 생성형 AI 제품군 리소스에 액세스할 수 있도록 허용합니다.
    Allow group <your-domain>/<your-group> to use generative-ai-family in tenancy
  8. Oracle AI Data Platform Workbench 관리자 그룹이 지정된 컴파트먼트에서 Oracle Autonomous AI Lakehouse 리소스를 생성, 업데이트 및 삭제할 수 있도록 허용:
    allow group <aidpAdminGroup> to manage autonomous-databases in <aidp compartment>

    주:

    AI 데이터 플랫폼 워크벤치에서 AI 기능을 사용하려면 Oracle Autonomous AI Lakehouse 인스턴스가 26ai 이상이어야 합니다.
  9. Oracle AI Data Platform Workbench 서비스가 지정된 컴파트먼트의 기존 Oracle Autonomous AI Lakehouse 인스턴스에 액세스하고 사용할 수 있도록 허용:
    allow group <aidpAdminGroup> to use autonomous-databases in <aidp compartment>

    주:

    AI 데이터 플랫폼 워크벤치에서 AI 기능을 사용하려면 Oracle Autonomous AI Lakehouse 인스턴스가 26ai 이상이어야 합니다.
  10. Oracle AI Data Platform Workbench 서비스가 컴퓨트 클러스터가 프라이빗 네트워크의 데이터에 액세스하도록 구성하도록 허용(선택사항):
    allow any-user to manage vnics in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform'}
    allow any-user to use subnets in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform'}
    allow any-user to use network-security-groups in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform'}
  11. 오브젝트 스토리지 서비스가 Oracle AI Data Platform Workbench 작업영역 데이터에 수명 주기 작업(예: 영구 삭제 또는 아카이브)을 자동으로 적용하여 수동 유지 관리 작업을 줄이고 데이터 보존 모범 사례 준수를 지원할 수 있도록 합니다(선택사항).
    allow service objectstorage-<<region_identifier>> to manage object-family in compartment id <<aidp-compartment-ocid>>

옵션 2: 컴파트먼트 레벨 정책(Fine-grained Scope)

이 옵션을 사용하면 정책이 컴파트먼트 레벨에서 정의됩니다. 즉, AI 데이터 플랫폼 인스턴스가 생성된 컴파트먼트입니다.

  • 더 엄격한 보안 경계를 제공합니다. 기본적으로 AI 데이터 플랫폼 워크벤치의 액세스를 단일 구획으로 제한합니다.
  • 워크플로우가 추가 구획으로 확장되어야 하는 경우 새 구획 정책을 증분식으로 추가할 수 있습니다.
  • 다른 구획에 액세스하기 위해 AI Data Platform Workbench가 필요할 때마다 수동 IAM 업데이트를 수행해야 합니다.
  • 확장 중 더 많은 작업 오버헤드가 필요합니다.
  1. Oracle AI Data Platform Workbench 서비스가 OCI IAM 리소스를 확인하여 AI Data Platform 관리 리소스의 역할 기반 액세스 제어를 구성할 수 있도록 허용합니다.
    allow any-user TO {AUTHENTICATION_INSPECT, DOMAIN_INSPECT, DOMAIN_READ, DYNAMIC_GROUP_INSPECT, GROUP_INSPECT, GROUP_MEMBERSHIP_INSPECT, USER_INSPECT, USER_READ} IN TENANCY where all {request.principal.type='aidataplatform'}
  2. Oracle AI Data Platform Workbench 서비스가 OCI 로깅 로그 그룹을 생성하고 사용자에게 로그를 제공할 수 있도록 허용합니다.
    allow any-user to manage log-groups in compartment id <aidpCompartmentId> where ALL { request.principal.type='aidataplatform' }
    allow any-user to read log-content in compartment id <aidpCompartmentId> where ALL { request.principal.type='aidataplatform' }
  3. Oracle AI Data Platform Workbench 서비스가 사용자에게 측정항목을 제공하도록 허용:
    allow any-user to use metrics in compartment id <aidpCompartmentId> where ALL {request.principal.type='aidataplatform', target.metrics.namespace='oracle_aidataplatform'}
  4. Oracle AI Data Platform Workbench 서비스가 작업영역 및 마스터 카탈로그의 관리형 데이터에 대한 OCI 객체 저장소 버킷을 생성 및 관리할 수 있도록 허용합니다.
    allow any-user to manage buckets in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform', any {request.permission = 'BUCKET_CREATE', request.permission = 'BUCKET_INSPECT', request.permission = 'BUCKET_READ', request.permission = 'BUCKET_UPDATE'}}
  5. Oracle AI Data Platform Workbench 서비스가 AI Data Platform Workbench 인스턴스 레벨별로 제한된 액세스 권한으로 작업영역 및 마스터 카탈로그의 데이터를 관리/관리할 수 있도록 허용합니다.
    allow any-user to {TAG_NAMESPACE_USE} in tenancy where all {request.principal.type = 'aidataplatform'}
    allow any-user to manage buckets in compartment id <aidpCompartmentId> where all { request.principal.id=target.resource.tag.orcl-aidp.governingAidpId, any {request.permission = 'BUCKET_DELETE', request.permission = 'PAR_MANAGE', request.permission = 'RETENTION_RULE_LOCK', request.permission = 'RETENTION_RULE_MANAGE'} }
    allow any-user to read objectstorage-namespaces in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform', any {request.permission = 'OBJECTSTORAGE_NAMESPACE_READ'}}
    allow any-user to manage objects in compartment id <aidpCompartmentId> where all { request.principal.id=target.bucket.system-tag.orcl-aidp.governingAidpId  }
  6. Oracle AI Data Platform Workbench 서비스가 컴퓨트 클러스터가 프라이빗 네트워크의 데이터에 액세스하도록 구성하도록 허용(선택사항):
    allow any-user to manage vnics in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform'}
    allow any-user to use subnets in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform'}
    allow any-user to use network-security-groups in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform'}
  7. 오브젝트 스토리지 서비스가 Oracle AI Data Platform Workbench 작업영역 데이터에 수명 주기 작업(예: 영구 삭제 또는 아카이브)을 자동으로 적용하여 수동 유지 관리 작업을 줄이고 데이터 보존 모범 사례 준수를 지원할 수 있도록 합니다(선택사항).
    allow service objectstorage-<<region_identifier>> to manage object-family in compartment id <<aidp-compartment-ocid>>

외부 테이블에 대한 추가 정책

AI 데이터 플랫폼 워크벤치 인스턴스가 다른 컴파트먼트에 저장된 데이터에 액세스해야 하는 경우 해당 외부 컴파트먼트에 대한 추가 정책을 부여해야 합니다. 이러한 정책을 통해 AI Data Platform Workbench는 외부 컴파트먼트의 버킷 및 객체를 검사, 읽기 및 관리하여 AI Data Platform Workbench 작업영역 내에서 사용할 수 있습니다.

allow any-user to manage buckets in compartment id <external-data-CompartmentId> where all { request.principal.type='aidataplatform', any {request.permission = 'BUCKET_INSPECT', request.permission = 'BUCKET_READ', request.permission = 'BUCKET_UPDATE'}} 
allow any-user to manage buckets in compartment id <external-data-CompartmentId> where all { request.principal.id=target.resource.tag.orcl-aidp.governingAidpId, any {request.permission = 'PAR_MANAGE', request.permission = 'RETENTION_RULE_LOCK', request.permission = 'RETENTION_RULE_MANAGE'} } 
allow any-user to manage objects in compartment id <external-data-CompartmentId> where all { request.principal.id=target.bucket.system-tag.orcl-aidp.governingAidpId } 
allow service objectstorage-<<region_identifier>> to manage object-family in compartment id <external-data-CompartmentId>

주:

사용자정의 ID 도메인(기본값 아님)을 사용 중인 경우 그룹 이름 앞에 IAM 정책의 도메인 이름을 추가해야 합니다. 예:
allow group <aidpAdminIdentityDomain>/<aidpAdminGroup> to manage ai-data-platforms in compartment id <aidpCompartmentId>

IAM 정책에 대한 자세한 내용은 IAM 정책 개요를 참조하십시오.

AI 데이터 플랫폼 워크벤치를 보고 로그인하려면 해당 AI 데이터 플랫폼 워크벤치의 관리자가 액세스 권한을 부여해야 합니다.