Documentação do Oracle Cloud Infrastructure

Protegendo o Serviço Data Catalog

O Oracle Cloud Infrastructure Data Catalog fornece uma solução colaborativa de descoberta e governança de dados de acordo com as melhores práticas de segurança líderes do setor.

Recomendações de Segurança

  • Designe o acesso de privilégio mínimo para grupos e usuários do serviço IAM aos tipos de recursos em data-catalog-family.
  • Para minimizar a perda de dados decorrente de exclusões inadvertidas por um usuário autorizado ou de exclusões maliciosas, a Oracle recomenda fornecer a permissão CATALOG_DELETE ao menor conjunto possível de grupos e usuários do serviço IAM. Conceda permissões CATALOG_DELETE somente aos administradores de tenancies e compartimentos.
  • Para proteger suas origens de dados de qualquer vulnerabilidade de segurança, forneça credenciais apenas para contas somente para leitura. O serviço Data Catalog só precisa de acesso de leitura para coletar ativos de dados.

Exemplos de Política de Segurança

Impedir Exclusão de Catálogos de Dados

Crie esta política para permitir que o grupo DataCatalogUsers execute todas as ações em catálogos de dados, exceto excluí-los.

Allow group DataCatalogUsers to manage data-catalog-family in tenancy
 where request.permission!='CATALOG_DELETE'

Permitir que os Usuários Leiam todas as Instâncias do Serviço Data Catalog

Crie esta política para permitir que o grupo DataCatalogUsers leia todas as instâncias do catálogo de dados na tenancy ou em um compartimento específico.

Allow group DataCatalogUsers to read data-catalog-family in tenancy 
Allow group DataCatalogUsers to read data-catalog-family in compartment <compartment-name>

Permitir que Usuários Acessem Ativos de Dados em Catálogos de Dados

Crie esta política para permitir que o grupo DataCatalogUsers leia ou use ativos de dados na tenancy ou em um compartimento. Por exemplo, as políticas permitem que o grupo leia ativos de dados da seguinte forma:
Allow group DataCatalogUsers to use data-catalog-data-assets in tenancy 
Allow group DataCatalogUsers to use data-catalog-data-assets in compartment <compartment-name> where target.catalog.id = '<catalog-OCID>'

Permitir que os Usuários Acessem Ativos de Dados Específicos no Serviço Data Catalog

Crie esta política para permitir que o grupo DataCatalogUsers leia ou use ativos de dados específicos na tenancy ou em um compartimento. Por exemplo, a política que permite ao grupo ler ativos de dados específicos é a seguinte:

Allow group DataCatalogUsers to read data-catalog-data-assets in tenancy where target.data.asset.key = '<data-asset-key>'

Permitir que os Usuários Acessem Glossários no Serviço Data Catalog

Crie esta política para permitir que o grupo DataCatalogUsers leia ou use glossários na tenancy ou em um compartimento. Por exemplo, as políticas permitem que o grupo leia glossários da seguinte forma:

Allow group DataCatalogUsers to use data-catalog-glossaries in tenancy 
Allow group DataCatalogUsers to use data-catalog-glossaries in compartment <compartment-name> where target.catalog.id = '<catalog-OCID>'

Para obter mais informações sobre a criação de políticas, consulte Políticas do Serviço Data Catalog.