Protegendo o Serviço Data Catalog
O Oracle Cloud Infrastructure Data Catalog fornece uma solução colaborativa de descoberta e governança de dados de acordo com as melhores práticas de segurança líderes do setor.
Recomendações de Segurança
- Designe o acesso de privilégio mínimo para grupos e usuários do serviço IAM aos tipos de recursos em
data-catalog-family
. - Para minimizar a perda de dados decorrente de exclusões inadvertidas por um usuário autorizado ou de exclusões maliciosas, a Oracle recomenda fornecer a permissão
CATALOG_DELETE
ao menor conjunto possível de grupos e usuários do serviço IAM. Conceda permissõesCATALOG_DELETE
somente aos administradores de tenancies e compartimentos. - Para proteger suas origens de dados de qualquer vulnerabilidade de segurança, forneça credenciais apenas para contas somente para leitura. O serviço Data Catalog só precisa de acesso de leitura para coletar ativos de dados.
Exemplos de Política de Segurança
Impedir Exclusão de Catálogos de Dados
Crie esta política para permitir que o grupo DataCatalogUsers
execute todas as ações em catálogos de dados, exceto excluí-los.
Allow group DataCatalogUsers to manage data-catalog-family in tenancy
where request.permission!='CATALOG_DELETE'
Permitir que os Usuários Leiam todas as Instâncias do Serviço Data Catalog
Crie esta política para permitir que o grupo DataCatalogUsers
leia todas as instâncias do catálogo de dados na tenancy ou em um compartimento específico.
Allow group DataCatalogUsers to read data-catalog-family in tenancy
Allow group DataCatalogUsers to read data-catalog-family in compartment <compartment-name>
Permitir que Usuários Acessem Ativos de Dados em Catálogos de Dados
DataCatalogUsers
leia ou use ativos de dados na tenancy ou em um compartimento. Por exemplo, as políticas permitem que o grupo leia ativos de dados da seguinte forma:Allow group DataCatalogUsers to use data-catalog-data-assets in tenancy
Allow group DataCatalogUsers to use data-catalog-data-assets in compartment <compartment-name> where target.catalog.id = '<catalog-OCID>'
Permitir que os Usuários Acessem Ativos de Dados Específicos no Serviço Data Catalog
Crie esta política para permitir que o grupo DataCatalogUsers
leia ou use ativos de dados específicos na tenancy ou em um compartimento. Por exemplo, a política que permite ao grupo ler ativos de dados específicos é a seguinte:
Allow group DataCatalogUsers to read data-catalog-data-assets in tenancy where target.data.asset.key = '<data-asset-key>'
Permitir que os Usuários Acessem Glossários no Serviço Data Catalog
Crie esta política para permitir que o grupo DataCatalogUsers
leia ou use glossários na tenancy ou em um compartimento. Por exemplo, as políticas permitem que o grupo leia glossários da seguinte forma:
Allow group DataCatalogUsers to use data-catalog-glossaries in tenancy
Allow group DataCatalogUsers to use data-catalog-glossaries in compartment <compartment-name> where target.catalog.id = '<catalog-OCID>'
Para obter mais informações sobre a criação de políticas, consulte Políticas do Serviço Data Catalog.