Políticas do Data Integration
Use o Oracle Cloud Infrastructure Identity and Access Management (IAM) com Domínios de Identidades para criar políticas.
Por padrão, apenas os usuários do grupo Administrators podem acessar todos os recursos e funções do Data Integration. Para controlar o acesso de usuários não administradores a recursos e funções do Data Integration, crie grupos do serviço IAM e, em seguida, crie políticas que concedam a esses grupos o acesso adequado.
- Exemplos de Política
- Ativar Acesso ao Data Integration e Usar Espaços de Trabalho
- Ativar o Uso de Rede Privada nos Espaços de Trabalho
- Ativar Acesso para Listar Usuários e Compartimentos
- Ativar o Acesso para Exibir Espaços de Trabalho
- Ativar o Acesso para Obter Detalhes do Espaço de Trabalho
- Ativar o Acesso para Atualizar Espaços de Trabalho
- Ativar o Acesso para Gerenciar Espaços de Trabalho
- Permitir Pesquisa em Espaços de Trabalho
- Permitir Exportação e Importação de Objetos em Espaços de Trabalho
- Configurar Acesso entre Tenancies para Cópia do Projeto e Cópia da Aplicação
- Ativar Exportação e Importação de Espaço de Trabalho e Objetos no Espaço de Trabalho
- Exemplos de Permissão de Política e API
- Exemplos de Política com Instruções Condicionais
- Ativar Acesso ao OCI Object Storage
- Usar Autonomous Databases como Destinos
- Publicar no Serviço OCI Data Flow
- Acessar o Ponto Final REST do Serviço OCI AI
- Ativar Acesso ao Data Integration e Usar Espaços de Trabalho
As páginas a seguir fornecem mais informações sobre como escrever políticas:
- Visão Geral da Sintaxe de Política
- Criando uma Política com a Console
- Tipos de Recursos
- Variáveis Suportadas
- Detalhes das Combinações de Verbos e Tipo de Recurso
- Permissões Exigidas para cada Operação de API
Visão Geral da Sintaxe de Política
A sintaxe geral de uma instrução de política é:
allow <subject> to <verb> <resource-type> in <location> where <condition>Por exemplo, você pode especificar:
-
Um grupo comum ou dinâmico por nome ou OCID como
<subject>. Ou você pode usarany-userpara abranger todos os usuários da tenancy. -
inspect,read,useemanagecomo<verb>para conceder a um<subject>acesso a uma ou mais permissões.À medida que você vai de
inspect>read>use>manage, o nível de acesso aumenta em geral e as permissões concedidas são acumuladas. Por exemplo,useincluireadmais a capacidade de atualizar. -
Uma família de recursos como
virtual-network-familypara oresource-type. Ou você pode especificar um recurso individual em uma família, comovcnsesubnets. -
Um compartimento por nome ou OCID como
<location>. Ou você pode usartenancypara abranger toda a tenancy. -
Uma ou mais condições em
<condition>, que devem ser atendidas para que o acesso seja concedido. Para várias condições, você pode usaranyouall.Uma condição consiste em uma ou mais variáveis. Uma variável pode ser relevante para a própria solicitação (por exemplo,
request.operation) ou para o recurso que está sendo utilizado na solicitação (por exemplo,target.workspace.id). Como ilustração, para permitir que um grupo gerencie um espaço de trabalho específico e não qualquer outro espaço de trabalho:allow group <group-name> to manage dis-workspaces in compartment <compartment-name> where target.workspace.id = '<workspace-ocid>'Ou para permitir que um grupo gerencie todos os recursos do Data Integration, exceto excluir espaços de trabalho:
allow group <group-name> to manage dis-family in compartment <compartment-name> where request.permission != 'DIS_WORKSPACE_DELETE'
Para obter detalhes completos, consulte Sintaxe de Política.
Para obter mais informações sobre a criação de políticas, consulte Como as Políticas Funcionam e Referência de Políticas.
Resource-Types
O Data Integration oferece tipos de recursos agregados e individuais para criação de políticas.
Você pode usar tipos de recursos agregados para criar menos políticas. Por exemplo, em vez de permitir que um grupo gerencie dis-workspaces e dis-work-requests, você pode criar uma política que permita ao grupo gerenciar o tipo de recurso agregado, dis-family.
| Tipo de Recurso Agregado | Tipos de Recursos Individuais |
|---|---|
dis-family |
|
dis-family incluem as APIs para dis-workspaces e dis-work-requests. Por exemplo,
allow group dis-admins to manage dis-family in compartment <compartment_name>allow group dis-admins to manage dis-workspaces in compartment <compartment_name>
allow group dis-admins to manage dis-work-requests in compartment <compartment_name>Variáveis Suportadas
Para adicionar condições a políticas, você pode usar as variáveis gerais ou específicas do serviço do Oracle Cloud Infrastructure.
O Data Integration suporta todas as variáveis gerais (consulte Variáveis Gerais para Todas as Solicitações).
A tabela a seguir lista as variáveis de tipo de recurso que você pode usar.
| Operações para Este Tipo de Recurso.. | Podem Usar Estas Variáveis.. | Tipo de Variável | Comentários |
|---|---|---|---|
dis-workspace | target.workspace.id | Entidade (OCID) | Não disponível para uso com CreateWorkspace |
| Operações para Este Caminho da API.. | Podem Usar Estas Variáveis.. | Tipo de Variável | Comentários |
|---|---|---|---|
/workspaces/{workspaceId}/applications/{applicationKey}/* | target.application.key | Entidade (Chave) | Não disponível para uso com ListApplications, CreateApplication |
/workspaces/{workspaceId}/applications |
|
Entidade (Chave) |
Disponível somente para uso com Não disponível para uso com |
/workspaces/{workspaceId}/projects/{projectKey}/* | target.object.key | Entidade (Chave) | |
/workspaces/{workspaceId}/folders/{folderKey}/* |
| Entidade (Chave) | target.folder.key disponível somente para uso em CreateFolder |
/workspaces/{workspaceId}/dataflows/{dataflowKey}/* |
| Entidade (Chave) | target.folder.key disponível somente para uso em CreateDataflow, UpdateDataflow |
/workspaces/{workspaceId}/tasks/{dataflowKey}/* |
| Entidade (Chave) | target.folder.key disponível somente para uso em CreateTask, UpdateTask |
/workspaces/{workspaceId}/dataAssets/{dataAssetKey}/* | target.object.key | Entidade (Chave) | |
/workspaces/{workspaceId}/connections/{connectionKey}/* |
| Entidade (Chave) | target.folder.key disponível somente para uso em CreateConnection, UpdateConnection |
/workspaces/{workspaceId}/pipelines/{pipelineKey}/* |
| Entidade (Chave) | target.folder.key disponível somente para uso em CreatePipeline, UpdatePipeline |
Detalhes das Combinações de Verbos e Tipo de Recurso
Use verbos e tipos de recursos do Oracle Cloud Infrastructure ao criar uma política.
As tabelas a seguir mostram as Permissões e operações de API abrangidas por cada verbo do Data Integration. O nível de acesso é cumulativo conforme você vai de inspect a read a use a manage. Um sinal de mais (+) em uma célula da tabela indica acesso incremental em comparação com a célula diretamente acima, enquanto "nenhum extra" indica nenhum acesso incremental.
| Permissão | APIs Totalmente Incluídas |
|---|---|
|
INSPECT |
|
| DIS_WORK_REQUEST_INSPECT | ListWorkRequests |
ListWorkRequestErrors |
|
ListWorkRequestLogs |
|
|
READ |
|
|
INSPECT + |
INSPECT + |
| DIS_WORK_REQUEST_READ | GetWorkRequest |
|
USAR |
|
| no extra | no extra |
|
MANAGE |
|
| no extra | no extra |
Cada permissão para
dis-work-requests abrange totalmente uma ou mais APIs. Não há APIs parcialmente abrangidas para permissões dis-work-requests.| Permissão | APIs Totalmente Incluídas |
|---|---|
|
INSPECT |
|
| DIS_WORKSPACE_INSPECT | ListWorkspaces |
| DIS_WORKSPACE_OBJECT_INSPECT | ListProjects |
ListFolders |
|
ListDataFlows |
|
ListTasks |
|
ListTaskValidations |
|
ListApplications |
|
ListPublishedObjects |
|
ListDependentObjects |
|
ListTaskRuns |
|
ListTaskRunLogs |
|
ListDataAssets |
|
ListConnections |
|
ListSchemas |
|
ListDataEntities |
|
ListConnectionValidation |
|
ListDataFlowValidations |
|
ListExternalPublications | |
ListExternalPublicationValidations | |
ListReferences | |
ListPatchChanges | |
ListPipelines | |
ListSchedules | |
ListTaskSchedules | |
| READ | |
|
INSPECT + |
INSPECT + |
| DIS_WORKSPACE_READ | GetWorkspace |
| DIS_WORKSPACE_OBJECT_READ | GetCountStatistic |
GetProject |
|
GetFolder |
|
GetDataFlow |
|
GetTask |
|
GetTaskValidation |
|
GetApplication |
|
GetPatch |
|
GetPublishedObject |
|
GetDependentObject |
|
GetTaskRun |
|
GetDataAsset |
|
GetConnection |
|
GetSchema |
|
GetDataEntity |
|
GetConnectionValidation |
|
GetDataFlowValidation |
|
GetExternalPublication | |
GetExternalPublicationValidation | |
GetReference | |
GetPipeline | |
GetSchedule | |
GetTaskSchedule | |
|
USAR |
|
|
READ + |
READ + |
| DIS_WORKSPACE_EXECUTE | ExecuteTask |
| DIS_WORKSPACE_UPDATE | UpdateWorkspace |
| DIS_WORKSPACE_OBJECT_EXECUTE | CreateTaskRun |
UpdateTaskRun |
|
| DIS_WORKSPACE_OBJECT_UPDATE | UpdateProject |
UpdateFolder |
|
UpdateDataFlow |
|
UpdateTask |
|
UpdateApplication |
|
UpdateDataAsset |
|
UpdateConnection |
|
UpdateReference | |
UpdateExternalPublication | |
UpdatePipeline | |
UpdateSchedule | |
UpdateTaskSchedule | |
| DIS_WORKSPACE_OBJECT_CREATE | CreateProject |
CreateFolder |
|
CreateDataFlow |
|
CreateTask |
|
CreateTaskValidation |
|
CreatePatch |
|
CreateApplication |
|
CreateDataAsset |
|
CreateConnection |
|
CreateEntityShape |
|
CreateConnectionValidation |
|
CreateDataFlowValidation |
|
CreateExternalPublication | |
CreateExternalPublicationValidation | |
CreatePipeline | |
CreateSchedule | |
CreateTaskSchedule | |
| DIS_WORKSPACE_OBJECT_DELETE | DeleteProject |
DeleteFolder |
|
DeleteDataFlow |
|
DeleteTask |
|
DeleteTaskValidation |
|
DeleteApplication |
|
DeletePatch |
|
DeleteTaskRun |
|
DeleteDataAsset |
|
DeleteConnection |
|
DeleteConnectionValidation |
|
DeleteDataFlowValidation |
|
DeleteExternalPublication | |
DeleteExternalPublicationValidation | |
DeletePipeline | |
DeleteSchedule | |
DeleteTaskSchedule | |
|
MANAGE |
|
|
USAR + |
USAR + |
| DIS_WORKSPACE_CREATE | CreateWorkspace |
| DIS_WORKSPACE_DELETE | DeleteWorkspace |
| DIS_WORKSPACE_MOVE | ChangeCompartment |
| DIS_WORKSPACE_START | StartWorkspace |
| DIS_WORKSPACE_STOP | StopWorkspace |
Cada permissão para
dis-workspaces abrange totalmente uma API. Não há APIs parcialmente abrangidas nas permissões dis-workspaces.Permissões Exigidas para cada Operação de API
A tabela lista as operações de API do serviço Data Integration em ordem lógica, agrupadas por tipo de recurso e as permissões necessárias para os tipos de recursos dis-workspaces e dis-work-requests.
Para obter informações sobre permissões, consulte Permissões.
| Operação de API | Permissões |
|---|---|
ListWorkspaces |
DIS_WORKSPACE_INSPECT |
GetWorkspace |
DIS_WORKSPACE_READ |
UpdateWorkspace |
DIS_WORKSPACE_UPDATE |
DeleteWorkspace |
DIS_WORKSPACE_DELETE |
CreateWorkspace |
DIS_WORKSPACE_CREATE |
ChangeCompartment |
DIS_WORKSPACE_MOVE |
StartWorkspace |
DIS_WORKSPACE_START |
StopWorkspace |
DIS_WORKSPACE_STOP |
ListWorkRequests |
DIS_WORK_REQUEST_INSPECT |
GetWorkRequest |
DIS_WORK_REQUEST_READ |
ListWorkRequestErrors |
DIS_WORK_REQUEST_INSPECT |
ListWorkRequestLogs |
DIS_WORK_REQUEST_INSPECT |
GetCountStatistic |
DIS_WORKSPACE_OBJECT_READ |
ListProjects |
DIS_WORKSPACE_OBJECT_INSPECT |
CreateProject |
DIS_WORKSPACE_OBJECT_CREATE |
GetProject |
DIS_WORKSPACE_OBJECT_READ |
UpdateProject |
DIS_WORKSPACE_OBJECT_UPDATE |
DeleteProject |
DIS_WORKSPACE_OBJECT_DELETE |
ListFolders |
DIS_WORKSPACE_OBJECT_INSPECT |
CreateFolder |
DIS_WORKSPACE_OBJECT_CREATE |
GetFolder |
DIS_WORKSPACE_OBJECT_READ |
UpdateFolder |
DIS_WORKSPACE_OBJECT_UPDATE |
DeleteFolder |
DIS_WORKSPACE_OBJECT_DELETE |
ListDataFlows |
DIS_WORKSPACE_OBJECT_INSPECT |
CreateDataFlow |
DIS_WORKSPACE_OBJECT_CREATE |
GetDataFlow |
DIS_WORKSPACE_OBJECT_READ |
UpdateDataFlow |
DIS_WORKSPACE_OBJECT_UPDATE |
DeleteDataFlow |
DIS_WORKSPACE_OBJECT_DELETE |
ListTasks |
DIS_WORKSPACE_OBJECT_INSPECT |
CreateTask |
DIS_WORKSPACE_OBJECT_CREATE |
GetTask |
DIS_WORKSPACE_OBJECT_READ |
UpdateTask |
DIS_WORKSPACE_OBJECT_UPDATE |
DeleteTask |
DIS_WORKSPACE_OBJECT_DELETE |
CreateTaskValidation |
DIS_WORKSPACE_OBJECT_CREATE |
ListTaskValidations |
DIS_WORKSPACE_OBJECT_INSPECT |
GetTaskValidations |
DIS_WORKSPACE_OBJECT_READ |
DeleteTaskValidation |
DIS_WORKSPACE_OBJECT_DELETE |
ListApplications |
DIS_WORKSPACE_OBJECT_INSPECT |
CreateApplication |
DIS_WORKSPACE_OBJECT_CREATE |
GetApplication |
DIS_WORKSPACE_OBJECT_READ |
UpdateApplication |
DIS_WORKSPACE_OBJECT_UPDATE |
DeleteApplication |
DIS_WORKSPACE_OBJECT_DELETE |
ListPatches |
DIS_WORKSPACE_OBJECT_INSPECT |
CreatePatch |
DIS_WORKSPACE_OBJECT_CREATE |
GetPatch |
DIS_WORKSPACE_OBJECT_READ |
DeletePatch |
DIS_WORKSPACE_OBJECT_DELETE |
ListPatchChanges | DIS_WORKSPACE_OBJECT_INSPECT |
ListPublishedObjects |
DIS_WORKSPACE_OBJECT_INSPECT |
GetPublishedObject |
DIS_WORKSPACE_OBJECT_READ |
ListDependentObjects |
DIS_WORKSPACE_OBJECT_INSPECT |
GetDependenObject |
DIS_WORKSPACE_OBJECT_READ |
ListTaskRuns |
DIS_WORKSPACE_OBJECT_INSPECT |
CreateTaskRun |
DIS_WORKSPACE_OBJECT_EXECUTE |
GetTaskRun |
DIS_WORKSPACE_OBJECT_READ |
UpdateTaskRun |
DIS_WORKSPACE_OBJECT_UPDATE |
DeleteTaskRun |
DIS_WORKSPACE_OBJECT_DELETE |
ListTaskRunLogs |
DIS_WORKSPACE_OBJECT_INSPECT |
CreateDataAsset |
DIS_WORKSPACE_OBJECT_CREATE |
ListDataAssets |
DIS_WORKSPACE_OBJECT_INSPECT |
GetDataAsset |
DIS_WORKSPACE_OBJECT_READ |
UpdateDataAsset |
DIS_WORKSPACE_OBJECT_UPDATE |
DeleteDataAsset |
DIS_WORKSPACE_OBJECT_DELETE |
CreateConnection |
DIS_WORKSPACE_OBJECT_CREATE |
ListConnections |
DIS_WORKSPACE_OBJECT_INSPECT |
GetConnection |
DIS_WORKSPACE_OBJECT_READ |
UpdateConnection |
DIS_WORKSPACE_OBJECT_UPDATE |
DeleteConnection |
DIS_WORKSPACE_OBJECT_DELETE |
GetSchema |
DIS_WORKSPACE_OBJECT_READ |
ListSchemas |
DIS_WORKSPACE_OBJECT_INSPECT |
ListDataEntities |
DIS_WORKSPACE_OBJECT_INSPECT |
CreateEntityShape |
DIS_WORKSPACE_OBJECT_CREATE |
GetDataEntity |
DIS_WORKSPACE_OBJECT_READ |
CreateConnectionValidation |
DIS_WORKSPACE_OBJECT_CREATE |
ListConnectionValidations |
DIS_WORKSPACE_OBJECT_INSPECT |
GetConnectionValidation |
DIS_WORKSPACE_OBJECT_READ |
DeleteConnectionValidation |
DIS_WORKSPACE_OBJECT_DELETE |
CreateDataFlowValidation |
DIS_WORKSPACE_OBJECT_CREATE |
ListDataFlowValidations |
DIS_WORKSPACE_OBJECT_INSPECT |
GetDataFlowValidation |
DIS_WORKSPACE_OBJECT_READ |
DeleteDataFlowValiation |
DIS_WORKSPACE_OBJECT_DELETE |
ListReferences | DIS_WORKSPACE_OBJECT_INSPECT |
GetReference | DIS_WORKSPACE_OBJECT_READ |
UpdateReference | DIS_WORKSPACE_OBJECT_UPDATE |
ListExternalPublications | DIS_WORKSPACE_OBJECT_INSPECT |
CreateExternalPublication | DIS_WORKSPACE_OBJECT_CREATE |
GetExternalPublication | DIS_WORKSPACE_OBJECT_READ |
UpdateExternalPublication | DIS_WORKSPACE_OBJECT_UPDATE |
DeleteExternalPublication | DIS_WORKSPACE_OBJECT_DELETE |
ListExternalPublicationValidations | DIS_WORKSPACE_OBJECT_INSPECT |
CreateExternalPublicationValidation | DIS_WORKSPACE_OBJECT_CREATE |
GetExternalPublicationValidation | DIS_WORKSPACE_OBJECT_READ |
DeleteExternalPublicationValidation | DIS_WORKSPACE_OBJECT_DELETE |
ListPipelines | DIS_WORKSPACE_OBJECT_INSPECT |
GetPipeline | DIS_WORKSPACE_OBJECT_READ |
UpdatePipeline | DIS_WORKSPACE_OBJECT_UPDATE |
CreatePipeline | DIS_WORKSPACE_OBJECT_CREATE |
DeletePipeline | DIS_WORKSPACE_OBJECT_DELETE |
ListSchedules | DIS_WORKSPACE_OBJECT_INSPECT |
GetSchedule | DIS_WORKSPACE_OBJECT_READ |
UpdateSchedule | DIS_WORKSPACE_OBJECT_UPDATE |
CreateSchedule | DIS_WORKSPACE_OBJECT_CREATE |
DeleteSchedule | DIS_WORKSPACE_OBJECT_DELETE |
ListTaskSchedules | DIS_WORKSPACE_OBJECT_INSPECT |
GetTaskSchedule | DIS_WORKSPACE_OBJECT_READ |
UpdateTaskSchedule | DIS_WORKSPACE_OBJECT_UPDATE |
CreateTaskSchedule | DIS_WORKSPACE_OBJECT_CREATE |
DeleteTaskSchedule | DIS_WORKSPACE_OBJECT_DELETE |
CreateExportRequest |
DIS_WORKSPACE_OBJECT_EXPORT |
GetExportRequest |
DIS_WORKSPACE_OBJECT_READ |
ListExportRequests |
DIS_WORKSPACE_OBJECT_INSPECT |
UpdateExportRequest |
DIS_WORKSPACE_OBJECT_UPDATE |
DeleteExportRequest |
DIS_WORKSPACE_OBJECT_DELETE |
CreateImportRequest |
DIS_WORKSPACE_OBJECT_IMPORT |
GetImportRequest |
DIS_WORKSPACE_OBJECT_READ |
ListImportRequests |
DIS_WORKSPACE_OBJECT_INSPECT |
UpdateImportRequest |
DIS_WORKSPACE_OBJECT_UPDATE |
DeleteImportRequest |
DIS_WORKSPACE_OBJECT_DELETE |