Documentação do Oracle Cloud Infrastructure

Configuração da Política de Identidade

O serviço Data Flow requer que as políticas sejam definidas no serviço IAM para acessar recursos para que ele possa gerenciar pontos finais de SQL.

Você pode criar as políticas manualmente. Para obter mais informações sobre como as políticas do IAM funcionam, consulte Gerenciamento de Identidade e Acesso. Para obter mais informações sobre tags e namespaces de tag a serem adicionados às suas políticas, consulte Gerenciando Tags e Namespaces de Tag.

Criar Políticas Manualmente

Em vez de usar os modelos no serviço IAM para criar as políticas do Serviço Data Flow, você mesmo pode criá-las no Criador de Política do IAM.

Seguindo as etapas do Gerenciamento de Políticas no IAM com Domínios de Identidades ou sem Domínios de Identidades para criar manualmente as seguintes políticas:

Políticas de Usuários

Aplicar políticas de usuário no serviço IAM.

Para usuários semelhantes a administração dos Pontos Finais SQL:
  • Crie um grupo no seu serviço de identidade chamado dataflow-sql-endpoints-admin e adicione usuários a este grupo.
  • Crie uma política chamada dataflow-sql-endpoints-admin e adicione as seguintes instruções:
    ALLOW GROUP dataflow-sql-endpoints-admin TO MANAGE dataflow-sqlendpoint IN compartment <compartment-id>
ALLOW GROUP dataflow-sql-endpoints-admin TO INSPECT data-catalog-metastores IN compartment <compartment-id>
Para todos os outros usuários, que só estão autorizados a se conectar e executar SQL por meio de Pontos Finais SQL:
  • Crie um grupo no seu serviço de identidade chamado dataflow-sqlendpoint-users e adicione usuários a este grupo.
  • Crie uma política chamada dataflow-sqlendpoint-users e adicione a seguinte instrução após criar um Ponto Final SQL:
    ALLOW GROUP dataflow-sqlendpoint-users TO USE dataflow-sqlendpoint IN compartment <compartment-id> WHERE target.dataflow-sqlendpoint.id = <sql-endpoint-ocid>
Federação com um Provedor de Identidade

Você pode ativar o sign-on único para Clusters SQL do serviço Data Flow com um provedor de identidades compatível com SAML 2.0.

Se você usar sistemas SAML 2.0 de federação de identidades, como o Oracle Identity Cloud Service, Microsoft Active Directory, Okta ou qualquer outro provedor que suporte SAML 2.0, poderá usar um nome de usuário e uma senha em muitos sistemas, incluindo a Console do Oracle Cloud Infrastructure. Para ativar esta experiência de sign-on único, o administrador do tenant (ou outro usuário com privilégios iguais) deve configurar a confiança federada no IAM. Para obter mais detalhes apropriados ao provedor de identidades, consulte:

Quando você tiver configurado a confiança federada, use a Console do Oracle Cloud Infrastructure para mapear o grupo de usuários apropriado do Provedor de Identidades para o grupo de usuários necessário do serviço Data Flow no serviço de identidade.

Política de Metastore

Os Pontos Finais SQL do serviço Data Flow precisam de permissão para executar ações em nome do usuário ou grupo no metastore dentro da tenancy.

Você pode conceder acesso a Pontos Finais SQL de duas maneiras:
  • Crie uma política, dataflow-sqlendpoint-metastore, e adicione a seguinte instrução:
    ALLOW any-user to {CATALOG_METASTORE_EXECUTE} in tenancy where request.principal.type = 'dataflowsqlendpoint'
  • Criar um grupo dinâmico:
    ALL {resource.compartment.id = '<compartment_id>'}
    e adicione a seguinte política:
    ALLOW DYNAMIC-GROUP <dynamic-group-name> to {CATALOG_METASTORE_EXECUTE, CATALOG_METASTORE_INSPECT, CATALOG_METASTORE_READ}
in tenancy WHERE ALL {request.principal.type='dataflowsqlendpoint'}
Observação

Somente um metastore é permitido por tenancy.
Políticas de Pontos Finais Privados

Você precisa de políticas para usar Pontos Finais SQL do serviço Data Flow com pontos finais privados.

Para criar, editar ou gerenciar pontos finais privados, você precisa das políticas a seguir.
  • Para permitir o uso da família de rede virtual:
    ALLOW GROUP dataflow-sql-endpoint-admin TO USE virtual-network-family IN compartment <compartment-name>
  • Para permitir acesso a recursos mais específicos:
    ALLOW GROUP dataflow-sql-endpoint-admin TO MANAGE vnics IN compartment <compartment-name>
ALLOW GROUP dataflow-sql-endpoint-admin TO USE subnets IN compartment <compartment-name>
ALLOW GROUP dataflow-sql-endpoint-admin TO USE network-security-groups IN compartment <compartment-name>
  • Para permitir o acesso a operações específicas:
    ALLOW GROUP dataflow-sql-endpoint-admin TO MANAGE virtual-network-family IN compartment <compartment-name>
   WHERE any {request.operation='CreatePrivateEndpoint',
              request.operation='UpdatePrivateEndpoint',
              request.operation='DeletePrivateEndpoint'}

Embora esses exemplos concedam as políticas a dataflow-sql-endpoint-admin, você pode optar por conceder essas políticas a um subconjunto de usuários. Dessa forma, limita os usuários que podem executar operações em pontos finais privados.

Somente usuários do grupo dataflow-sql-endpoint-admin podem criar Pontos Finais SQL que possam ativar uma configuração do ponto final privado ou alternar a configuração de rede de volta para a internet. Consulte Segurança para obter o conjunto correto de privilégios. Um usuário do grupo dataflow-sql-endpoint-users pode estabelecer conexão com um ponto final SQL e executar a SQL.
Observação

Quando configurados corretamente, os pontos finais privados podem acessar uma combinação de recursos privados na VCN e recursos da internet. Forneça uma lista desses recursos na seção Zonas de DNS quando você configurar um ponto final privado.
Para obter mais informações sobre pontos finais privados, consulte Configurando uma Rede Privada.