Documentação do Oracle Cloud Infrastructure

Políticas do Data Integration

Use o Oracle Cloud Infrastructure Identity and Access Management (IAM) com Domínios de Identidades para criar políticas.

Por padrão, apenas os usuários do grupo Administrators podem acessar todos os recursos e funções do Data Integration. Para controlar o acesso de usuários não administradores a recursos e funções do Data Integration, crie grupos do serviço IAM e, em seguida, crie políticas que concedam a esses grupos o acesso adequado.

As páginas a seguir fornecem alguns exemplos de política que você pode usar:

As páginas a seguir fornecem mais informações sobre como escrever políticas:

Visão Geral da Sintaxe de Política

A sintaxe geral de uma instrução de política é:

allow <subject> to <verb>
                    <resource-type> in <location> where <condition>

Por exemplo, você pode especificar:

  • Um grupo comum ou dinâmico por nome ou OCID como <subject> . Ou você pode usar any-user para abranger todos os usuários da tenancy.

  • inspect, read, use e manage como <verb> para conceder a um <subject> acesso a uma ou mais permissões.

    À medida que você vai de inspect > read > use > manage, o nível de acesso aumenta em geral e as permissões concedidas são acumuladas. Por exemplo, use inclui read mais a capacidade de atualizar.

  • Uma família de recursos como virtual-network-family para o resource-type . Ou você pode especificar um recurso individual em uma família, como vcns e subnets.

  • Um compartimento por nome ou OCID como <location> . Ou você pode usar tenancy para abranger toda a tenancy.

  • Uma ou mais condições em <condition> , que devem ser atendidas para que o acesso seja concedido. Para várias condições, você pode usar any ou all.

    Uma condição consiste em uma ou mais variáveis. Uma variável pode ser relevante para a própria solicitação (por exemplo, request.operation) ou para o recurso que está sendo utilizado na solicitação (por exemplo, target.workspace.id). Como ilustração, para permitir que um grupo gerencie um espaço de trabalho específico e não qualquer outro espaço de trabalho:

    allow group <group-name> to manage dis-workspaces in compartment <compartment-name> where target.workspace.id = '<workspace-ocid>'

    Ou para permitir que um grupo gerencie todos os recursos do Data Integration, exceto excluir espaços de trabalho:

    allow group <group-name> to manage dis-family in compartment <compartment-name> where request.permission != 'DIS_WORKSPACE_DELETE'

Para obter detalhes completos, consulte Sintaxe de Política.

Para obter mais informações sobre a criação de políticas, consulte Como as Políticas Funcionam e Referência de Políticas.

Resource-Types

O Data Integration oferece tipos de recursos agregados e individuais para criação de políticas.

Você pode usar tipos de recursos agregados para criar menos políticas. Por exemplo, em vez de permitir que um grupo gerencie dis-workspaces e dis-work-requests, você pode criar uma política que permita ao grupo gerenciar o tipo de recurso agregado, dis-family.

Tipo de Recurso Agregado Tipos de Recursos Individuais
dis-family

dis-workspaces

dis-work-requests

As APIs abrangidas pelo tipo de recurso agregado dis-family incluem as APIs para dis-workspaces e dis-work-requests. Por exemplo, 
allow group dis-admins to manage dis-family in compartment <compartment_name>
é o mesmo que criar as duas seguintes políticas:
allow group dis-admins to manage dis-workspaces in compartment <compartment_name>
allow group dis-admins to manage dis-work-requests in compartment <compartment_name>

Variáveis Suportadas

Para adicionar condições a políticas, você pode usar as variáveis gerais ou específicas do serviço do Oracle Cloud Infrastructure.

O Data Integration suporta todas as variáveis gerais (consulte Variáveis Gerais para Todas as Solicitações).

A tabela a seguir lista as variáveis de tipo de recurso que você pode usar.

Operações para Este Tipo de Recurso.. Podem Usar Estas Variáveis.. Tipo de Variável Comentários
dis-workspace target.workspace.id Entidade (OCID) Não disponível para uso com CreateWorkspace

Operações para Este Caminho da API.. Podem Usar Estas Variáveis.. Tipo de Variável Comentários
/workspaces/{workspaceId}/applications/{applicationKey}/* target.application.key Entidade (Chave) Não disponível para uso com ListApplications, CreateApplication
/workspaces/{workspaceId}/applications

source.workspace.id

source.application.key

Entidade (Chave)

Disponível somente para uso com CreateApplication.

Não disponível para uso com ListApplications, GetApplication, UpdateApplication ou DeleteApplication.
/workspaces/{workspaceId}/projects/{projectKey}/* target.object.key Entidade (Chave)
/workspaces/{workspaceId}/folders/{folderKey}/*

target.object.key

target.folder.key

Entidade (Chave) target.folder.key disponível somente para uso em CreateFolder
/workspaces/{workspaceId}/dataflows/{dataflowKey}/*

target.object.key

target.folder.key

Entidade (Chave) target.folder.key disponível somente para uso em CreateDataflow, UpdateDataflow
/workspaces/{workspaceId}/tasks/{dataflowKey}/*

target.object.key

target.folder.key

Entidade (Chave) target.folder.key disponível somente para uso em CreateTask, UpdateTask
/workspaces/{workspaceId}/dataAssets/{dataAssetKey}/* target.object.key Entidade (Chave)
/workspaces/{workspaceId}/connections/{connectionKey}/*

target.object.key

target.folder.key

Entidade (Chave) target.folder.key disponível somente para uso em CreateConnection, UpdateConnection
/workspaces/{workspaceId}/pipelines/{pipelineKey}/*

target.object.key

target.folder.key

Entidade (Chave) target.folder.key disponível somente para uso em CreatePipeline, UpdatePipeline

Detalhes das Combinações de Verbos e Tipo de Recurso

Use verbos e tipos de recursos do Oracle Cloud Infrastructure ao criar uma política.

As tabelas a seguir mostram as Permissões e operações de API abrangidas por cada verbo do Data Integration. O nível de acesso é cumulativo conforme você vai de inspect a read a use a manage. Um sinal de mais (+) em uma célula da tabela indica acesso incremental em comparação com a célula diretamente acima, enquanto "nenhum extra" indica nenhum acesso incremental.

dis-work-requests
Permissão APIs Totalmente Incluídas

INSPECT

DIS_WORK_REQUEST_INSPECT ListWorkRequests
ListWorkRequestErrors
ListWorkRequestLogs

READ

INSPECT +

INSPECT +

DIS_WORK_REQUEST_READ GetWorkRequest

USAR

no extra no extra

MANAGE

no extra no extra
Observação

Cada permissão para dis-work-requests abrange totalmente uma ou mais APIs. Não há APIs parcialmente abrangidas para permissões dis-work-requests.
dis-workspaces
Permissão APIs Totalmente Incluídas

INSPECT

DIS_WORKSPACE_INSPECT ListWorkspaces
DIS_WORKSPACE_OBJECT_INSPECT ListProjects
ListFolders
ListDataFlows
ListTasks
ListTaskValidations
ListApplications
ListPublishedObjects
ListDependentObjects
ListTaskRuns
ListTaskRunLogs
ListDataAssets
ListConnections
ListSchemas
ListDataEntities
ListConnectionValidation
ListDataFlowValidations
ListExternalPublications
ListExternalPublicationValidations
ListReferences
ListPatchChanges
ListPipelines
ListSchedules
ListTaskSchedules
READ

INSPECT +

INSPECT +

DIS_WORKSPACE_READ GetWorkspace
DIS_WORKSPACE_OBJECT_READ GetCountStatistic
GetProject
GetFolder
GetDataFlow
GetTask
GetTaskValidation
GetApplication
GetPatch
GetPublishedObject
GetDependentObject
GetTaskRun
GetDataAsset
GetConnection
GetSchema
GetDataEntity
GetConnectionValidation
GetDataFlowValidation
GetExternalPublication
GetExternalPublicationValidation
GetReference
GetPipeline
GetSchedule
GetTaskSchedule

USAR

READ +

READ +

DIS_WORKSPACE_EXECUTE ExecuteTask
DIS_WORKSPACE_UPDATE UpdateWorkspace
DIS_WORKSPACE_OBJECT_EXECUTE CreateTaskRun
UpdateTaskRun
DIS_WORKSPACE_OBJECT_UPDATE UpdateProject
UpdateFolder
UpdateDataFlow
UpdateTask
UpdateApplication
UpdateDataAsset
UpdateConnection
UpdateReference
UpdateExternalPublication
UpdatePipeline
UpdateSchedule
UpdateTaskSchedule
DIS_WORKSPACE_OBJECT_CREATE CreateProject
CreateFolder
CreateDataFlow
CreateTask
CreateTaskValidation
CreatePatch
CreateApplication
CreateDataAsset
CreateConnection
CreateEntityShape
CreateConnectionValidation
CreateDataFlowValidation
CreateExternalPublication
CreateExternalPublicationValidation
CreatePipeline
CreateSchedule
CreateTaskSchedule
DIS_WORKSPACE_OBJECT_DELETE DeleteProject
DeleteFolder
DeleteDataFlow
DeleteTask
DeleteTaskValidation
DeleteApplication
DeletePatch
DeleteTaskRun
DeleteDataAsset
DeleteConnection
DeleteConnectionValidation
DeleteDataFlowValidation
DeleteExternalPublication
DeleteExternalPublicationValidation
DeletePipeline
DeleteSchedule
DeleteTaskSchedule

MANAGE

USAR +

USAR +

DIS_WORKSPACE_CREATE CreateWorkspace
DIS_WORKSPACE_DELETE DeleteWorkspace
DIS_WORKSPACE_MOVE ChangeCompartment
DIS_WORKSPACE_START StartWorkspace
DIS_WORKSPACE_STOP StopWorkspace
Observação

Cada permissão para dis-workspaces abrange totalmente uma API. Não há APIs parcialmente abrangidas nas permissões dis-workspaces.

Permissões Exigidas para cada Operação de API

A tabela lista as operações de API do serviço Data Integration em ordem lógica, agrupadas por tipo de recurso e as permissões necessárias para os tipos de recursos dis-workspaces e dis-work-requests.

Para obter informações sobre permissões, consulte Permissões.

Permissões Obrigatórias
Operação de API Permissões
ListWorkspaces DIS_WORKSPACE_INSPECT
GetWorkspace DIS_WORKSPACE_READ
UpdateWorkspace DIS_WORKSPACE_UPDATE
DeleteWorkspace DIS_WORKSPACE_DELETE
CreateWorkspace DIS_WORKSPACE_CREATE
ChangeCompartment DIS_WORKSPACE_MOVE
StartWorkspace DIS_WORKSPACE_START
StopWorkspace DIS_WORKSPACE_STOP
ListWorkRequests DIS_WORK_REQUEST_INSPECT
GetWorkRequest DIS_WORK_REQUEST_READ
ListWorkRequestErrors DIS_WORK_REQUEST_INSPECT
ListWorkRequestLogs DIS_WORK_REQUEST_INSPECT
GetCountStatistic DIS_WORKSPACE_OBJECT_READ
ListProjects DIS_WORKSPACE_OBJECT_INSPECT
CreateProject DIS_WORKSPACE_OBJECT_CREATE
GetProject DIS_WORKSPACE_OBJECT_READ
UpdateProject DIS_WORKSPACE_OBJECT_UPDATE
DeleteProject DIS_WORKSPACE_OBJECT_DELETE
ListFolders DIS_WORKSPACE_OBJECT_INSPECT
CreateFolder DIS_WORKSPACE_OBJECT_CREATE
GetFolder DIS_WORKSPACE_OBJECT_READ
UpdateFolder DIS_WORKSPACE_OBJECT_UPDATE
DeleteFolder DIS_WORKSPACE_OBJECT_DELETE
ListDataFlows DIS_WORKSPACE_OBJECT_INSPECT
CreateDataFlow DIS_WORKSPACE_OBJECT_CREATE
GetDataFlow DIS_WORKSPACE_OBJECT_READ
UpdateDataFlow DIS_WORKSPACE_OBJECT_UPDATE
DeleteDataFlow DIS_WORKSPACE_OBJECT_DELETE
ListTasks DIS_WORKSPACE_OBJECT_INSPECT
CreateTask DIS_WORKSPACE_OBJECT_CREATE
GetTask DIS_WORKSPACE_OBJECT_READ
UpdateTask DIS_WORKSPACE_OBJECT_UPDATE
DeleteTask DIS_WORKSPACE_OBJECT_DELETE
CreateTaskValidation DIS_WORKSPACE_OBJECT_CREATE
ListTaskValidations DIS_WORKSPACE_OBJECT_INSPECT
GetTaskValidations DIS_WORKSPACE_OBJECT_READ
DeleteTaskValidation DIS_WORKSPACE_OBJECT_DELETE
ListApplications DIS_WORKSPACE_OBJECT_INSPECT
CreateApplication DIS_WORKSPACE_OBJECT_CREATE
GetApplication DIS_WORKSPACE_OBJECT_READ
UpdateApplication DIS_WORKSPACE_OBJECT_UPDATE
DeleteApplication DIS_WORKSPACE_OBJECT_DELETE
ListPatches DIS_WORKSPACE_OBJECT_INSPECT
CreatePatch DIS_WORKSPACE_OBJECT_CREATE
GetPatch DIS_WORKSPACE_OBJECT_READ
DeletePatch DIS_WORKSPACE_OBJECT_DELETE
ListPatchChanges DIS_WORKSPACE_OBJECT_INSPECT
ListPublishedObjects DIS_WORKSPACE_OBJECT_INSPECT
GetPublishedObject DIS_WORKSPACE_OBJECT_READ
ListDependentObjects DIS_WORKSPACE_OBJECT_INSPECT
GetDependenObject DIS_WORKSPACE_OBJECT_READ
ListTaskRuns DIS_WORKSPACE_OBJECT_INSPECT
CreateTaskRun DIS_WORKSPACE_OBJECT_EXECUTE
GetTaskRun DIS_WORKSPACE_OBJECT_READ
UpdateTaskRun DIS_WORKSPACE_OBJECT_UPDATE
DeleteTaskRun DIS_WORKSPACE_OBJECT_DELETE
ListTaskRunLogs DIS_WORKSPACE_OBJECT_INSPECT
CreateDataAsset DIS_WORKSPACE_OBJECT_CREATE
ListDataAssets DIS_WORKSPACE_OBJECT_INSPECT
GetDataAsset DIS_WORKSPACE_OBJECT_READ
UpdateDataAsset DIS_WORKSPACE_OBJECT_UPDATE
DeleteDataAsset DIS_WORKSPACE_OBJECT_DELETE
CreateConnection DIS_WORKSPACE_OBJECT_CREATE
ListConnections DIS_WORKSPACE_OBJECT_INSPECT
GetConnection DIS_WORKSPACE_OBJECT_READ
UpdateConnection DIS_WORKSPACE_OBJECT_UPDATE
DeleteConnection DIS_WORKSPACE_OBJECT_DELETE
GetSchema DIS_WORKSPACE_OBJECT_READ
ListSchemas DIS_WORKSPACE_OBJECT_INSPECT
ListDataEntities DIS_WORKSPACE_OBJECT_INSPECT
CreateEntityShape DIS_WORKSPACE_OBJECT_CREATE
GetDataEntity DIS_WORKSPACE_OBJECT_READ
CreateConnectionValidation DIS_WORKSPACE_OBJECT_CREATE
ListConnectionValidations DIS_WORKSPACE_OBJECT_INSPECT
GetConnectionValidation DIS_WORKSPACE_OBJECT_READ
DeleteConnectionValidation DIS_WORKSPACE_OBJECT_DELETE
CreateDataFlowValidation DIS_WORKSPACE_OBJECT_CREATE
ListDataFlowValidations DIS_WORKSPACE_OBJECT_INSPECT
GetDataFlowValidation DIS_WORKSPACE_OBJECT_READ
DeleteDataFlowValiation DIS_WORKSPACE_OBJECT_DELETE
ListReferences DIS_WORKSPACE_OBJECT_INSPECT
GetReference DIS_WORKSPACE_OBJECT_READ
UpdateReference DIS_WORKSPACE_OBJECT_UPDATE
ListExternalPublications DIS_WORKSPACE_OBJECT_INSPECT
CreateExternalPublication DIS_WORKSPACE_OBJECT_CREATE
GetExternalPublication DIS_WORKSPACE_OBJECT_READ
UpdateExternalPublication DIS_WORKSPACE_OBJECT_UPDATE
DeleteExternalPublication DIS_WORKSPACE_OBJECT_DELETE
ListExternalPublicationValidations DIS_WORKSPACE_OBJECT_INSPECT
CreateExternalPublicationValidation DIS_WORKSPACE_OBJECT_CREATE
GetExternalPublicationValidation DIS_WORKSPACE_OBJECT_READ
DeleteExternalPublicationValidation DIS_WORKSPACE_OBJECT_DELETE
ListPipelines DIS_WORKSPACE_OBJECT_INSPECT
GetPipeline DIS_WORKSPACE_OBJECT_READ
UpdatePipeline DIS_WORKSPACE_OBJECT_UPDATE
CreatePipeline DIS_WORKSPACE_OBJECT_CREATE
DeletePipeline DIS_WORKSPACE_OBJECT_DELETE
ListSchedules DIS_WORKSPACE_OBJECT_INSPECT
GetSchedule DIS_WORKSPACE_OBJECT_READ
UpdateSchedule DIS_WORKSPACE_OBJECT_UPDATE
CreateSchedule DIS_WORKSPACE_OBJECT_CREATE
DeleteSchedule DIS_WORKSPACE_OBJECT_DELETE
ListTaskSchedules DIS_WORKSPACE_OBJECT_INSPECT
GetTaskSchedule DIS_WORKSPACE_OBJECT_READ
UpdateTaskSchedule DIS_WORKSPACE_OBJECT_UPDATE
CreateTaskSchedule DIS_WORKSPACE_OBJECT_CREATE
DeleteTaskSchedule DIS_WORKSPACE_OBJECT_DELETE
CreateExportRequest DIS_WORKSPACE_OBJECT_EXPORT
GetExportRequest DIS_WORKSPACE_OBJECT_READ
ListExportRequests DIS_WORKSPACE_OBJECT_INSPECT
UpdateExportRequest DIS_WORKSPACE_OBJECT_UPDATE
DeleteExportRequest DIS_WORKSPACE_OBJECT_DELETE
CreateImportRequest DIS_WORKSPACE_OBJECT_IMPORT
GetImportRequest DIS_WORKSPACE_OBJECT_READ
ListImportRequests DIS_WORKSPACE_OBJECT_INSPECT
UpdateImportRequest DIS_WORKSPACE_OBJECT_UPDATE
DeleteImportRequest DIS_WORKSPACE_OBJECT_DELETE