Políticas do IAM para o Oracle AI Data Platform Workbench

O Oracle AI Data Platform Workbench é gerenciado na OCI e requer as políticas de IAM fornecidas.

Para criar novas instâncias do AI Data Platform Workbench, um usuário precisa ativar pelo menos o MANAGE nas políticas do serviço IAM:

allow group <aidpAdminIdentityDomain>/<aidpAdminGroup> to manage ai-data-platforms in compartment id <aidpCompartmentId>

O Oracle AI Data Platform Workbench permite que os usuários tenham duas combinações diferentes de políticas entre as quais podem escolher para configurar sua instância.

Opção 1: Políticas no nível da Tenancy (Escopo Amplo)

Com essa opção, suas políticas são definidas no nível de tenancy (raiz), dando ao seu Oracle AI Data Platform Workbench amplo acesso entre compartimentos.

Minimiza a necessidade de criar novas políticas do IAM sempre que você adicionar novas cargas de trabalho, origens de dados ou compartimentos.
Experiência de integração mais fácil; requer o mínimo de alterações após a configuração inicial.
Os usuários têm um escopo mais amplo de permissões.
Pode não atender aos requisitos rigorosos de menos privilégios em ambientes regulamentados.

Permita que o serviço Oracle AI Data Platform Workbench exiba os recursos do OCI IAM para configurar o controle de acesso baseado em atribuição dos recursos gerenciados do AI Data Platform:

allow any-user TO {AUTHENTICATION_INSPECT, DOMAIN_INSPECT, DOMAIN_READ, DYNAMIC_GROUP_INSPECT, GROUP_INSPECT, GROUP_MEMBERSHIP_INSPECT, USER_INSPECT, USER_READ} IN TENANCY where all {request.principal.type='aidataplatform'}

Permita que o serviço Oracle AI Data Platform Workbench crie um grupo de logs de log do OCI e forneça logs aos usuários:

allow any-user to manage log-groups in compartment id <aidpCompartmentId> where ALL { request.principal.type='aidataplatform' }
allow any-user to read log-content in compartment id <aidpCompartmentId> where ALL { request.principal.type='aidataplatform' }

Permita que o serviço Oracle AI Data Platform Workbench forneça métricas aos usuários:

allow any-user to use metrics in compartment id <aidpCompartmentId> where ALL {request.principal.type='aidataplatform', target.metrics.namespace='oracle_aidataplatform'}

Permita que o serviço Oracle AI Data Platform Workbench crie e gerencie o Bucket do OCI Object Store para espaço de trabalho e dados gerenciados no Catálogo Mestre:

allow any-user to manage buckets in tenancy where all { request.principal.type='aidataplatform', any {request.permission = 'BUCKET_CREATE', request.permission = 'BUCKET_INSPECT', request.permission = 'BUCKET_READ', request.permission = 'BUCKET_UPDATE'}}

Permita que o serviço Oracle AI Data Platform Workbench controle/gerencie dados no Espaço de Trabalho e no Catálogo Mestre com acesso restrito por nível de instância do AI Data Platform Workbench:

allow any-user to {TAG_NAMESPACE_USE} in tenancy where all {request.principal.type = 'aidataplatform'}
allow any-user to manage buckets in tenancy where all { request.principal.id=target.resource.tag.orcl-aidp.governingAidpId, any {request.permission = 'BUCKET_DELETE', request.permission = 'PAR_MANAGE', request.permission = 'RETENTION_RULE_LOCK', request.permission = 'RETENTION_RULE_MANAGE'} }
allow any-user to read objectstorage-namespaces in tenancy where all { request.principal.type='aidataplatform', any {request.permission = 'OBJECTSTORAGE_NAMESPACE_READ'}}
allow any-user to manage objects in tenancy where all { request.principal.id=target.bucket.system-tag.orcl-aidp.governingAidpId  }

Permita que o serviço Oracle AI Data Platform Workbench configure o Cluster de Computação para acessar dados em uma rede privada (Opcional):

allow any-user to manage vnics in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform'}
allow any-user to use subnets in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform'}
allow any-user to use network-security-groups in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform'}

Permite que o serviço Object Storage aplique automaticamente ações do ciclo de vida (como exclusão ou arquivamento permanente) aos dados do espaço de trabalho do Oracle AI Data Platform Workbench, reduzindo o esforço de manutenção manual e dando suporte à conformidade com as melhores práticas de retenção de dados (Opcional):
```
allow service objectstorage-<<region_identifier>> to manage object-family in compartment id <<aidp-compartment-ocid>>
```

Opção 2: Políticas no Nível do Compartimento (Escopo Refinado)

Com essa opção, suas políticas são definidas no nível do compartimento, o que significa o compartimento no qual sua instância da AI Data Platform é criada.

Fornece um limite de segurança mais apertado; limita o acesso do seu AI Data Platform Workbench a um único compartimento por padrão.
Você pode adicionar novas políticas de compartimento de forma incremental quando os workflows precisarem abranger compartimentos adicionais.
Requer que você faça atualizações manuais do IAM sempre que precisar do seu AI Data Platform Workbench para acessar outro compartimento.
Requer mais sobrecarga operacional durante a expansão.

Permita que o serviço Oracle AI Data Platform Workbench exiba os recursos do OCI IAM para configurar o controle de acesso baseado em atribuição dos recursos gerenciados do AI Data Platform:

allow any-user TO {AUTHENTICATION_INSPECT, DOMAIN_INSPECT, DOMAIN_READ, DYNAMIC_GROUP_INSPECT, GROUP_INSPECT, GROUP_MEMBERSHIP_INSPECT, USER_INSPECT, USER_READ} IN TENANCY where all {request.principal.type='aidataplatform'}

Permita que o serviço Oracle AI Data Platform Workbench crie um grupo de logs de log do OCI e forneça logs aos usuários:

allow any-user to manage log-groups in compartment id <aidpCompartmentId> where ALL { request.principal.type='aidataplatform' }
allow any-user to read log-content in compartment id <aidpCompartmentId> where ALL { request.principal.type='aidataplatform' }

Permita que o serviço Oracle AI Data Platform Workbench forneça métricas aos usuários:

allow any-user to use metrics in compartment id <aidpCompartmentId> where ALL {request.principal.type='aidataplatform', target.metrics.namespace='oracle_aidataplatform'}

Permita que o serviço Oracle AI Data Platform Workbench crie e gerencie o Bucket do OCI Object Store para espaço de trabalho e dados gerenciados no Catálogo Mestre:

allow any-user to manage buckets in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform', any {request.permission = 'BUCKET_CREATE', request.permission = 'BUCKET_INSPECT', request.permission = 'BUCKET_READ', request.permission = 'BUCKET_UPDATE'}}

allow any-user to {TAG_NAMESPACE_USE} in tenancy where all {request.principal.type = 'aidataplatform'}
allow any-user to manage buckets in compartment id <aidpCompartmentId> where all { request.principal.id=target.resource.tag.orcl-aidp.governingAidpId, any {request.permission = 'BUCKET_DELETE', request.permission = 'PAR_MANAGE', request.permission = 'RETENTION_RULE_LOCK', request.permission = 'RETENTION_RULE_MANAGE'} }
allow any-user to read objectstorage-namespaces in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform', any {request.permission = 'OBJECTSTORAGE_NAMESPACE_READ'}}
allow any-user to manage objects in compartment id <aidpCompartmentId> where all { request.principal.id=target.bucket.system-tag.orcl-aidp.governingAidpId  }

Permita que o serviço Oracle AI Data Platform Workbench configure o Cluster de Computação para acessar dados em uma rede privada (Opcional):

allow any-user to manage vnics in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform'}
allow any-user to use subnets in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform'}
allow any-user to use network-security-groups in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform'}

Permite que o serviço Object Storage aplique automaticamente ações do ciclo de vida (como exclusão ou arquivamento permanente) aos dados do espaço de trabalho do Oracle AI Data Platform Workbench, reduzindo o esforço de manutenção manual e dando suporte à conformidade com as melhores práticas de retenção de dados (Opcional):
```
allow service objectstorage-<<region_identifier>> to manage object-family in compartment id <<aidp-compartment-ocid>>
```

Políticas Adicionais para Tabelas Externas

Se sua instância do AI Data Platform Workbench precisar acessar dados armazenados em outro compartimento, você deverá conceder políticas adicionais para esse compartimento externo. Essas políticas permitem que o AI Data Platform Workbench inspecione, leia e gerencie buckets e objetos no compartimento externo para usá-lo dentro do espaço de trabalho do AI Data Platform Workbench.

allow any-user to manage buckets in compartment id <external-data-CompartmentId> where all { request.principal.type='aidataplatform', any {request.permission = 'BUCKET_INSPECT', request.permission = 'BUCKET_READ', request.permission = 'BUCKET_UPDATE'}} 
allow any-user to manage buckets in compartment id <external-data-CompartmentId> where all { request.principal.id=target.resource.tag.orcl-aidp.governingAidpId, any {request.permission = 'PAR_MANAGE', request.permission = 'RETENTION_RULE_LOCK', request.permission = 'RETENTION_RULE_MANAGE'} } 
allow any-user to manage objects in compartment id <external-data-CompartmentId> where all { request.principal.id=target.bucket.system-tag.orcl-aidp.governingAidpId } 
allow service objectstorage-<<region_identifier>> to manage object-family in compartment id <external-data-CompartmentId>

Observação:

Se você estiver usando um domínio de identidades personalizado (não padrão), prefixe o nome do grupo com o nome do domínio na sua política do serviço IAM. Por exemplo:

allow group <aidpAdminIdentityDomain>/<aidpAdminGroup> to manage ai-data-platforms in compartment id <aidpCompartmentId>

Para obter mais informações sobre políticas do IAM, consulte Visão Geral das Políticas do IAM.

Para ver e fazer log-in em um AI Data Platform Workbench, você precisa ter acesso concedido pelo administrador desse AI Data Platform Workbench.