Documentação do Oracle Cloud Infrastructure

Configurando Políticas de Identidade

O Data Labeling requer a definição de políticas no serviço IAM para acessar recursos para gerenciar conjuntos de dados e identificar registros.

Para obter informações sobre como as políticas do serviço IAM funcionam, consulte a documentação do serviço IAM sem Domínios de Identidade ou do serviço IAM com Domínios de Identidade.

Para obter informações sobre tags e namespaces de tag a serem adicionados às suas políticas, consulte Gerenciando Tags e Namespaces de Tag.

Configurando Políticas do Usuário

Crie políticas no IAM para seus usuários do Data Labeling, de modo que o serviço funcione corretamente.

  1. Crie um grupo para seus usuários.
  2. Adicione seus usuários a este grupo.
  3. Crie um grupo dinâmico com a seguinte regra: 
    ALL { resource.type = 'datalabelingdataset'}
  4. Crie uma política no compartimento raiz para usuários não administradores: 
    allow group <group-name> to read buckets in compartment <compartment-name>
allow group <group-name> to manage objects in compartment <compartment-name>
allow group <group-name> to read objectstorage-namespaces in compartment <compartment-name>
allow group <group-name> to manage data-labeling-family in compartment <compartment-name>
  5. Crie uma política no compartimento raiz para o grupo dinâmico: 
    allow dynamic-group <dynamic-group-name> to read buckets in compartment <compartment-name>
allow dynamic-group <dynamic-group-name> to read objects in compartment <compartment-name>
allow dynamic-group <dynamic-group-name> to manage objects in compartment <compartment-name> where any {request.permission='OBJECT_CREATE', request.permission='OBJECT_OVERWRITE'}
  6. (Opcional) Gerencie sua tenancy conforme apropriado, incluindo a restrição de acesso a um compartimento específico. Para obter mais informações, consulte etapas para gerenciar sua tenancy.
  7. (Opcional) Gerencie seu compartimento, conforme apropriado.

Configurando Políticas entre Tenancies

Siga estas etapas para configurar políticas entre tenancies no serviço Data Labeling.

Uma política entre tenancies permite que você compartilhe recursos com usuários em outra tenancy. Por exemplo, você pode gravar políticas entre tenancy que permitam que seus usuários em um grupo do serviço IAM na tenancy de origem executem operações em conjuntos de dados na tenancy de destino. Para obter mais informações sobre políticas entre tenancies, consulte Acessando Recursos do Serviço Object Storage entre Tenancies.

No exemplo a seguir, os usuários do grupo group-name, na tenancy source-tenancy, desejam usar a funcionalidade do serviço Data Labeling em outra tenancy, chamada destination-tenancy.

  1. Crie um grupo em source-tenancy e adicione usuários a ele.
  2. Adicione as seguintes políticas em source-tenancy, para que group-name seja aprovado e possa gerenciar o conjunto de dados em destination-tenancy: 
    DEFINE tenancy destination-tenancy AS <destination-tenancy-ocid>
ENDORSE group group-name TO manage data-labeling-family IN tenancy destination-tenancy
  3. Em destination-tenancy, adicione instruções de política que permitam que group-name opere no conjunto de dados: 
    DEFINE tenancy source-tenancy AS <source-tenancy-ocid>
DEFINE group group-name AS <source-tenancy-group-ocid>
ADMIT group group-name OF tenancy source-tenancy TO manage data-labeling-family IN tenancy
  4. (Opcional) Você pode adicionar uma política para limitar o acesso a um compartimento específico dentro de destination-tenancy. Neste exemplo, o compartimento é chamado de dataset-compartment: 
    DEFINE tenancy source-tenancy AS <source-tenancy-ocid>
DEFINE group group-name AS <source-tenancy-group-ocid>
ADMIT group group-name OF tenancy source-tenancy TO manage data-labeling-family IN compartment dataset-compartment
  5. (Opcional) Se o bucket estiver presente em destination-tenancy, adicione políticas entre tenancies para recursos do serviço Object Storage também. Adicione as seguintes instruções de política para permitir que o grupo group-name acesse os recursos do serviço Object Storage em destination-tenancy:
    Em source-tenancy, adicione:
    ENDORSE group group-name to read buckets in tenancy destination-tenancy
ENDORSE group group-name to manage objects in tenancy destination-tenancy
ENDORSE group group-name to read objectstorage-namespaces in tenancy destination-tenancy
    Em destination-tenancy, adicione: 
    ADMIT group group-name of tenancy source-tenancy to read buckets in tenancy
ADMIT group group-name of tenancy source-tenancy to manage objects in tenancy
ADMIT group group-name of tenancy source-tenancy to read objectstorage-namespaces in tenancy
    Para obter mais informações sobre como gravar políticas entre tenancies, consulte Acessando Recursos do Serviço Object Storage entre Tenancies.

Configurando Políticas entre Tenancies para Associar o Conjunto de Dados a um Bucket do Serviço Object Storage

Se o conjunto de dados do serviço Data Labeling for criado em outra tenancy para o bucket do serviço Object Storage, você precisará de uma política para associar o conjunto de dados e o bucket.

Para acesso entre tenancies, você pode ter um dos três cenários a seguir, que exigem uma política de associação.

  1. O usuário e o bucket do serviço Object Storage estão na mesma tenancy (que nesse exemplo é a tenancy A) e o conjunto de dados está em outra tenancy (que nesse exemplo é a tenancy B).
    1. Adicione a seguinte política na tenancy A:
      define tenancy B as <tenancy-B-ocid> 
endorse group Group-A associate buckets in tenancy with data-labeling-datasets in tenancy B
    2. Adicione a seguinte política na tenancy B:
      define tenancy A as <tenancy-A-ocid>
define group Group-A as <Group-A-ocid>
Admit group Group-B of tenancy A associate buckets in tenancy A with data-labeling-datasets in tenancy
  2. O usuário e o conjunto de dados estão na mesma tenancy (que nesse exemplo é a tenancy A) e o bucket está em outra tenancy (que nesse exemplo é a tenancy B).
    1. Adicione a seguinte política na tenancy A:
      define tenancy B as <tenancy-B-ocid> 
endorse group Group-A associate buckets in tenancy B with data-labeling-datasets in tenancy
    2. Adicione a seguinte política na tenancy B:
      define tenancy A as <tenancy-A-ocid>
define group Group-A as <Group-A-ocid>
Admit group Group-A of tenancy A associate buckets in tenancy with data-labeling-datasets in tenancy A
  3. O usuário está em uma tenancy (que nesse exemplo é a tenancy A), o conjunto de dados está em outra tenancy (que nesse exemplo é a tenancy B) e o bucket está em uma terceira tenancy (que nesse exemplo é a tenancy C).
    1. Adicione a seguinte política na tenancy A:
      define tenancy B as <tenancy-B-ocid> 
define tenancy C as <tenancy-C-ocid> 
endorse group Group-A associate buckets in tenancy C with data-labeling-datasets in tenancy B
    2. Adicione a seguinte política na tenancy B:
      define tenancy A as <tenancy-A-ocid>
define tenancy C as <tenancy-C-ocid>
define group Group-A as <Group-A-ocid>
Admit group Group-A of tenancy A associate buckets in tenancy C with data-labeling-datasets in tenancy
    3. Adicione a seguinte política na tenancy C:
      define tenancy A as <tenancy-A-ocid>
define tenancy B as <tenancy-B-ocid>
define group Group-A as <Group-A-ocid>
Admit group Group-A of tenancy A associate buckets in tenancy with data-labeling-datasets in tenancy B