Políticas do IAM para o Oracle AI Data Platform Workbench

O Oracle AI Data Platform Workbench é gerenciado na OCI e requer as políticas de IAM fornecidas.

Ícone Tutorial LiveLabs Sprint

Para criar novas instâncias do AI Data Platform Workbench, um usuário precisa ativar pelo menos o MANAGE nas políticas do serviço IAM:

allow group <aidpAdminIdentityDomain>/<aidpAdminGroup> to manage ai-data-platforms in compartment id <aidpCompartmentId>

Observação:

Quando o AI Data Platform Workbench é criado, você pode conceder permissões use a todos os usuários que deseja acessar sua instância. manage é obrigatório para o usuário que cria a instância.

O Oracle AI Data Platform Workbench permite que os usuários tenham duas combinações diferentes de políticas que podem escolher para configurar sua instância.

Opção 1: Políticas no nível da Tenancy (Escopo Amplo)

Com essa opção, suas políticas são definidas no nível de tenancy (raiz), dando ao seu Oracle AI Data Platform Workbench amplo acesso entre compartimentos.

  • Minimiza a necessidade de criar novas políticas do IAM sempre que você adicionar novas cargas de trabalho, origens de dados ou compartimentos.
  • Experiência de integração mais fácil; requer o mínimo de alterações após a configuração inicial.
  • Os usuários têm um escopo mais amplo de permissões.
  • Pode não atender aos requisitos rigorosos de menos privilégios em ambientes regulamentados.
  1. Permita que o serviço Oracle AI Data Platform Workbench exiba os recursos do OCI IAM para configurar o controle de acesso baseado em atribuição dos recursos gerenciados do AI Data Platform:
    allow any-user TO {AUTHENTICATION_INSPECT, DOMAIN_INSPECT, DOMAIN_READ, DYNAMIC_GROUP_INSPECT, GROUP_INSPECT, GROUP_MEMBERSHIP_INSPECT, USER_INSPECT, USER_READ} IN TENANCY where all {request.principal.type='aidataplatform'}
  2. Permita que o serviço Oracle AI Data Platform Workbench crie um grupo de logs de log do OCI e forneça logs aos usuários:
    allow any-user to manage log-groups in compartment id <aidpCompartmentId> where ALL { request.principal.type='aidataplatform' }
    allow any-user to read log-content in compartment id <aidpCompartmentId> where ALL { request.principal.type='aidataplatform' }
  3. Permita que o serviço Oracle AI Data Platform Workbench forneça métricas aos usuários:
    allow any-user to use metrics in compartment id <aidpCompartmentId> where ALL {request.principal.type='aidataplatform', target.metrics.namespace='oracle_aidataplatform'}
  4. Permita que o serviço Oracle AI Data Platform Workbench crie e gerencie o Bucket do OCI Object Store para espaço de trabalho e dados gerenciados no Catálogo Mestre:
    allow any-user to manage buckets in tenancy where all { request.principal.type='aidataplatform', any {request.permission = 'BUCKET_CREATE', request.permission = 'BUCKET_INSPECT', request.permission = 'BUCKET_READ', request.permission = 'BUCKET_UPDATE'}}
  5. Permita que o serviço Oracle AI Data Platform Workbench controle/gerencie dados no Espaço de Trabalho e no Catálogo Mestre com acesso restrito por nível de instância do AI Data Platform Workbench:
    allow any-user to {TAG_NAMESPACE_USE} in tenancy where all {request.principal.type = 'aidataplatform'}
    allow any-user to manage buckets in tenancy where all { request.principal.id=target.resource.tag.orcl-aidp.governingAidpId, any {request.permission = 'BUCKET_DELETE', request.permission = 'PAR_MANAGE', request.permission = 'RETENTION_RULE_LOCK', request.permission = 'RETENTION_RULE_MANAGE'} }
    allow any-user to read objectstorage-namespaces in tenancy where all { request.principal.type='aidataplatform', any {request.permission = 'OBJECTSTORAGE_NAMESPACE_READ'}}
    allow any-user to manage objects in tenancy where all { request.principal.id=target.bucket.system-tag.orcl-aidp.governingAidpId  }
  6. Permita que o serviço Oracle AI Data Platform Workbench chame LLMs hospedados no serviço OCI GenAI:

    Observação:

    Se você estiver fazendo upgrade da sua instância para acessar recursos do AI, poderá incluir as duas políticas listadas ou selecionar a relevante para a sua instância. Você pode determinar qual tipo de principal (datalake ou aidataplatform) é relevante para sua instância inspecionando o OCID da sua instância.

    Página Workbenches da Plataforma de Dados AI com o menu Ações aberto para a instância data_lake. A ação Exibir Detalhes está destacada.


    Página de detalhes da instância do Workbench da Plataforma de Dados AI data_lake aberta. A seção do tipo principal do OCID é destacada.

    allow any-user to use generative-ai-family in tenancy where all { request.principal.type='aidataplatform'}
    allow any-user to use generative-ai-family in tenancy where all { request.principal.type='datalake'}
  7. Permitir que usuários federados em diferentes domínios de identidade acessem os recursos da família Generative AI:
    Allow group <your-domain>/<your-group> to use generative-ai-family in tenancy
  8. Permita que o grupo de administradores do Oracle AI Data Platform Workbench crie, atualize e exclua recursos do Oracle Autonomous AI Lakehouse em um determinado compartimento:
    allow group <aidpAdminGroup> to manage autonomous-databases in <aidp compartment>

    Observação:

    As instâncias do Oracle Autonomous AI Lakehouse devem ter 26ai ou mais para habilitar recursos de IA no AI Data Platform Workbench.
  9. Permita que o serviço Oracle AI Data Platform Workbench acesse e use instâncias existentes do Oracle Autonomous AI Lakehouse em um determinado compartimento:
    allow group <aidpAdminGroup> to use autonomous-databases in <aidp compartment>

    Observação:

    As instâncias do Oracle Autonomous AI Lakehouse devem ter 26ai ou mais para habilitar recursos de IA no AI Data Platform Workbench.
  10. Permita que o serviço Oracle AI Data Platform Workbench configure o Cluster de Computação para acessar dados em uma rede privada (Opcional):
    allow any-user to manage vnics in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform'}
    allow any-user to use subnets in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform'}
    allow any-user to use network-security-groups in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform'}
  11. Permite que o serviço Object Storage aplique automaticamente ações do ciclo de vida (como exclusão ou arquivamento permanente) aos dados do espaço de trabalho do Oracle AI Data Platform Workbench, reduzindo o esforço de manutenção manual e dando suporte à conformidade com as melhores práticas de retenção de dados (Opcional):
    allow service objectstorage-<<region_identifier>> to manage object-family in compartment id <<aidp-compartment-ocid>>

Opção 2: Políticas no Nível do Compartimento (Escopo Refinado)

Com essa opção, suas políticas são definidas no nível do compartimento, o que significa o compartimento no qual sua instância da AI Data Platform é criada.

  • Fornece um limite de segurança mais rígido; limita o acesso do seu AI Data Platform Workbench a um único compartimento por padrão.
  • Você pode adicionar novas políticas de compartimento de forma incremental quando os workflows precisarem abranger compartimentos adicionais.
  • Requer que você faça atualizações manuais do IAM sempre que precisar do seu AI Data Platform Workbench para acessar outro compartimento.
  • Requer mais sobrecarga operacional durante a expansão.
  1. Permita que o serviço Oracle AI Data Platform Workbench exiba os recursos do OCI IAM para configurar o controle de acesso baseado em atribuição dos recursos gerenciados do AI Data Platform:
    allow any-user TO {AUTHENTICATION_INSPECT, DOMAIN_INSPECT, DOMAIN_READ, DYNAMIC_GROUP_INSPECT, GROUP_INSPECT, GROUP_MEMBERSHIP_INSPECT, USER_INSPECT, USER_READ} IN TENANCY where all {request.principal.type='aidataplatform'}
  2. Permita que o serviço Oracle AI Data Platform Workbench crie um grupo de logs de log do OCI e forneça logs aos usuários:
    allow any-user to manage log-groups in compartment id <aidpCompartmentId> where ALL { request.principal.type='aidataplatform' }
    allow any-user to read log-content in compartment id <aidpCompartmentId> where ALL { request.principal.type='aidataplatform' }
  3. Permita que o serviço Oracle AI Data Platform Workbench forneça métricas aos usuários:
    allow any-user to use metrics in compartment id <aidpCompartmentId> where ALL {request.principal.type='aidataplatform', target.metrics.namespace='oracle_aidataplatform'}
  4. Permita que o serviço Oracle AI Data Platform Workbench crie e gerencie o Bucket do OCI Object Store para espaço de trabalho e dados gerenciados no Catálogo Mestre:
    allow any-user to manage buckets in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform', any {request.permission = 'BUCKET_CREATE', request.permission = 'BUCKET_INSPECT', request.permission = 'BUCKET_READ', request.permission = 'BUCKET_UPDATE'}}
  5. Permita que o serviço Oracle AI Data Platform Workbench controle/gerencie dados no Espaço de Trabalho e no Catálogo Mestre com acesso restrito por nível de instância do AI Data Platform Workbench:
    allow any-user to {TAG_NAMESPACE_USE} in tenancy where all {request.principal.type = 'aidataplatform'}
    allow any-user to manage buckets in compartment id <aidpCompartmentId> where all { request.principal.id=target.resource.tag.orcl-aidp.governingAidpId, any {request.permission = 'BUCKET_DELETE', request.permission = 'PAR_MANAGE', request.permission = 'RETENTION_RULE_LOCK', request.permission = 'RETENTION_RULE_MANAGE'} }
    allow any-user to read objectstorage-namespaces in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform', any {request.permission = 'OBJECTSTORAGE_NAMESPACE_READ'}}
    allow any-user to manage objects in compartment id <aidpCompartmentId> where all { request.principal.id=target.bucket.system-tag.orcl-aidp.governingAidpId  }
  6. Permita que o serviço Oracle AI Data Platform Workbench configure o Cluster de Computação para acessar dados em uma rede privada (Opcional):
    allow any-user to manage vnics in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform'}
    allow any-user to use subnets in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform'}
    allow any-user to use network-security-groups in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform'}
  7. Permite que o serviço Object Storage aplique automaticamente ações do ciclo de vida (como exclusão ou arquivamento permanente) aos dados do espaço de trabalho do Oracle AI Data Platform Workbench, reduzindo o esforço de manutenção manual e dando suporte à conformidade com as melhores práticas de retenção de dados (Opcional):
    allow service objectstorage-<<region_identifier>> to manage object-family in compartment id <<aidp-compartment-ocid>>

Políticas Adicionais para Tabelas Externas

Se sua instância do AI Data Platform Workbench precisar acessar dados armazenados em outro compartimento, você deverá conceder políticas adicionais para esse compartimento externo. Essas políticas permitem que o AI Data Platform Workbench inspecione, leia e gerencie buckets e objetos no compartimento externo para usá-lo dentro do espaço de trabalho do AI Data Platform Workbench.

allow any-user to manage buckets in compartment id <external-data-CompartmentId> where all { request.principal.type='aidataplatform', any {request.permission = 'BUCKET_INSPECT', request.permission = 'BUCKET_READ', request.permission = 'BUCKET_UPDATE'}} 
allow any-user to manage buckets in compartment id <external-data-CompartmentId> where all { request.principal.id=target.resource.tag.orcl-aidp.governingAidpId, any {request.permission = 'PAR_MANAGE', request.permission = 'RETENTION_RULE_LOCK', request.permission = 'RETENTION_RULE_MANAGE'} } 
allow any-user to manage objects in compartment id <external-data-CompartmentId> where all { request.principal.id=target.bucket.system-tag.orcl-aidp.governingAidpId } 
allow service objectstorage-<<region_identifier>> to manage object-family in compartment id <external-data-CompartmentId>

Observação:

Se você estiver usando um domínio de identidades personalizado (não padrão), prefixe o nome do grupo com o nome do domínio na sua política do serviço IAM. Por exemplo:
allow group <aidpAdminIdentityDomain>/<aidpAdminGroup> to manage ai-data-platforms in compartment id <aidpCompartmentId>

Para obter mais informações sobre políticas do IAM, consulte Visão Geral das Políticas do IAM.

Para ver e fazer log-in em um AI Data Platform Workbench, você precisa ter acesso concedido pelo administrador desse AI Data Platform Workbench.