Documentação do Oracle Cloud Infrastructure

Políticas

Para controlar quem tem acesso ao serviço Data Science e o tipo de acesso de cada grupo de usuários, você deve criar políticas.

Para monitorar recursos do Serviço Data Science, você deve receber o acesso necessário em uma política. Isso se aplica quando você está usando a Console ou a API REST com um SDK, uma CLI ou outra ferramenta. A política deve fornecer acesso aos serviços de monitoramento, bem como aos recursos que estão sendo monitorados. Se você tentar executar uma ação e receber uma mensagem de que não tem permissão ou está não autorizado, confirme com um administrador o tipo de acesso ao qual você recebeu e em qual compartimento você pode trabalhar. Para obter mais informações sobre autorizações de usuário para monitoramento, consulte a seção Autenticação e Autorização do serviço relacionado, Monitoring ou Notifications.

Por padrão, somente os usuários do grupo Administrators têm acesso a todos os recursos do Data Science. Para todos os outros que estejam envolvidos com o serviço Data Science, você deverá criar novas políticas que designe a eles direitos apropriados para acessar os recursos do Data Science.

Para obter uma lista completa das políticas do OCI, consulte a Referência de Políticas.

Tipos de Recursos

O serviço Data Science oferece tipos de recursos agregados e individuais para gravação de políticas.

Você pode usar tipos de recursos agregados para criar menos políticas. Por exemplo, em vez de permitir que um grupo gerencie data-science-projects, data-science-notebook-sessions, data-science-models e data-science-work-requests, você pode ter uma política que permita ao grupo gerenciar o tipo de recurso agregado data-science-family.

Tipo de Recurso Agregado

data-science-family

Tipos de Recurso Individual

data-science-projects

data-science-notebook-sessions

data-science-models

data-science-modelversionsets

data-science-model-deployments

data-science-work-requests

data-science-jobs

data-science-job-runs

data-science-pipelines

data-science-pipeline-runs

data-science-private-endpoint

data-science-schedules

data-science-model-groups

data-science-model-group-version-histories

Variáveis Suportadas

Para adicionar condições a suas políticas, você pode usar as variáveis gerais do OCI ou as variáveis específicas do serviço.

O serviço Data Science suporta as Variáveis Gerais para Todas as Solicitações para uso com recursos e estas variáveis específicas do serviço:

Variáveis de Política do Serviço Data Science

Operações para Este Tipo de Recurso...

Podem Usar Essas Variáveis...

Tipo de Variável

Comentários

data-science-notebook-sessions

target.notebook-session.id

Entidade (OCID)

Não disponível para uso com CreateNotebookSession

target.notebook-session.createdBy

String

Não disponível para uso com CreateNotebookSession

O usuário que cria um notebook é o único usuário que pode abrir e usá-lo.

Exemplos de Várias Operações

allow group <data_science_hol_users> to manage data_science_projects 
in compartment <datascience_hol>
                    
allow group <data_science_hol_users> to manage data_science_models
in compartment <datascience_hol>
                    
allow group <data_science_hol_users> to manage data_science_work_requests
in compartment <datascience_hol>
                    
allow group <data_science_hol_users> to inspect data_science_notebook_sessions
in compartment <datascience_hol>
                    
allow group <data_science_hol_users> to read data_science_notebook_sessions
in compartment <datascience_hol>
                    
allow group <data_science_hol_users> to {DATA_SCIENCE_NOTEBOOK_SESSION_CREATE} 
in compartment <datascience_hol>
                    
allow group <data_science_hol_users> to 
{DATA_SCIENCE_NOTEBOOK_SESSION_DELETE,DATA_SCIENCE_NOTEBOOK_SESSION_UPDATE,DATA_SCIENCE_NOTEBOOK
_SESSION_OPEN,DATA_SCIENCE_NOTEBOOK_SESSION_ACTIVATE,DATA_SCIENCE_NOTEBOOK_SESSION_DEACTIVATE} 
in compartment <datascience_hol> 
where target.notebook-session.createdBy = request.user.id

Detalhes para Combinações de Verbos + Tipo de Recurso

Há diversos verbos e tipos de recursos do OCI que podem ser usados para criar uma política.

Uma sintaxe da política é semelhante a esta: 

allow <subject> to <verb> <resource_type> in <location> where <conditions>.

Veja a seguir uma descrição das permissões e operações de API incluídas por cada verbo do serviço Data Science. O nível de acesso é cumulativo à medida que você passa de inspect para read, use e manage. Um sinal de mais (+) em uma célula da tabela indica o acesso incremental comparado à célula diretamente acima dela, enquanto "sem extra" indica que não há acesso incremental.

data-science-projects

As APIs incluídas para o tipo de recurso data-science-projects estão listadas aqui. As APIs são exibidas em ordem alfabética para cada permissão.

Verbos

Permissões

APIs Completas

APIs Parcialmente Cobertas

inspect

DATA_SCIENCE_PROJECT_INSPECT

ListProjects

ListWorkRequests

Sem extra

read

inspect +

DATA_SCIENCE_PROJECT_READ

inspect +

GetProject

GetWorkRequest

CreateNotebookSession (Você também precisa de manage data-science-notebook-sessions.)

CreateModel (Você também precisa de manage data-science-models.)

CreateJob

CreateJobRun (Você também precisa de create data-science-job.)

use

read +

DATA_SCIENCE_PROJECT_UPDATE

read +

UpdateProject

Sem extra

manage

use +

DATA_SCIENCE_PROJECT_CREATE

DATA_SCIENCE_PROJECT_DELETE

DATA_SCIENCE_PROJECT_MOVE

use +

CreateProject

DeleteProject

ChangeProjectCompartment

Sem extra
data-science-notebook-sessions

As APIs incluídas para o tipo de recurso data-science-notebook-sessions estão listadas aqui. As APIs são exibidas em ordem alfabética para cada permissão.

Verbos

Permissões

APIs Totalmente Incluídas

APIs Parcialmente Incluídas

inspect

DATA_SCIENCE_NOTEBOOK_

SESSION_INSPECT

ListNotebookSessions

ListNotebookSessionShapes

ListWorkRequests

Sem extra

read

inspect +

DATA_SCIENCE_NOTEBOOK_

SESSION_READ

inspect +

GetNotebookSession

GetWorkRequest

ActivateNotebookSession

DeactivateNotebookSession

Sem extra

use

read +

DATA_SCIENCE_NOTEBOOK_SESSION_OPEN

DATA_SCIENCE_NOTEBOOK_SESSION_UPDATE

read +

OpenNotebookSession

UpdateNotebookSession

ActivateNotebookSession

DeactivateNotebookSession

Sem extra

manage

use+

DATA_SCIENCE_NOTEBOOK_SESSION_CREATE

DATA_SCIENCE_NOTEBOOK_SESSION_DELETE

DATA_SCIENCE_NOTEBOOK_SESSION_MOVE

DATA_SCIENCE_PRIVATE_ENDPOINT_READ

DATA_SCIENCE_PRIVATE_ENDPOINT_ATTACH

use+

CreateNotebookSession

DeleteNotebookSession

ChangeNotebookSessionCompartment

ActivateNotebookSession

CreateNotebookSession (Você também precisa de read data-science-projects.)
data-science-models

As APIs incluídas para o tipo de recurso data-science-models estão listadas aqui. As APIs são exibidas em ordem alfabética para cada permissão.

Verbos

Permissões

APIs Totalmente Incluídas

APIs Parcialmente Incluídas

inspect

DATA_SCIENCE_MODEL_INSPECT

ListModels

ListWorkRequests

Sem extra

read

inspect +

DATA_SCIENCE_MODEL_READ

inspect +

GetModel

GetModelProvenance

GetModelArtifact

GetWorkRequest

Sem extra

use

read +

DATA_SCIENCE_MODEL_UPDATE

read +

ActivateModel

DeactivateModel

UpdateModel

UpdateModelProvenance

Sem extra

manage

use +

DATA_SCIENCE_MODEL_CREATE

DATA_SCIENCE_MODEL_DELETE

DATA_SCIENCE_MODEL_MOVE

use +

CreateModelArtifact

CreateModelProvenance

DeleteModel

ChangeModelCompartment

CreateModel (também precisa de read data-science-projects )
data-science-modelversionsets

As APIs cobertas para o tipo de recurso data-science-modelversionsets estão listadas aqui. As APIs são exibidas em ordem alfabética para cada permissão.

Verbos

Permissões

APIs Totalmente Incluídas

APIs Parcialmente Incluídas

inspect

DATA_SCIENCE_MODELVERSIONSET_INSPECT

ListModelVersionSets

Sem extra

read

inspect +

DATA_SCIENCE_MODELVERSIONSET_READ

inspect +

GetModelVersionSet

Sem extra

use

read +

DATA_SCIENCE_MODELVERSIONSET_UPDATE

read +

UpdateModelVersionSet

Sem extra

manage

use +

DATA_SCIENCE_MODELVERSIONSET_CREATE

DATA_SCIENCE_MODELVERSIONSET_DELETE

DATA_SCIENCE_MODELVERSIONSET_MOVE

use +

DeleteModelVersionSet

ChangeModelVersionSetCompartment

CreateModelVersionSet (também é necessário read data-science-projects )
data-science-model-deployments

As APIs abrangidas para o tipo de recurso data-science-model-deployments são listadas aqui. As APIs são exibidas em ordem alfabética para cada permissão.

Verbos

Permissões

APIs Totalmente Incluídas

APIs Parcialmente Incluídas

inspect

DATA_SCIENCE_MODEL_DEPLOYMENT_INSPECT

ListModelDeployment

ListWorkRequests

ListModelDeploymentShapes

Sem extra

read

inspect +

DATA_SCIENCE_MODEL_DEPLOYMENT_READ

inspect +

GetModelDeployment

GetWorkRequest

Sem extra

use

read +

DATA_SCIENCE_MODEL_DEPLOYMENT_UPDATE

DATA_SCIENCE_MODEL_DEPLOYMENT_PREDICT

read +

ActivateModelDeployment

DeactivateModelDeployment

UpdateModelDeployment

PredictModelDeployment

Sem extra

manage

use +

DATA_SCIENCE_MODEL_DEPLOYMENT_CREATE

DATA_SCIENCE_MODEL_DEPLOYMENT_DELETE

DATA_SCIENCE_MODEL_DEPLOYMENT_MOVE

DATA_SCIENCE_PRIVATE_ENDPOINT_READ

DATA_SCIENCE_PRIVATE_ENDPOINT_ATTACH

use +

CreateModelDeployment

DeleteModelDeployment

ChangeModelDeploymentCompartment

Sem extra
data-science-work-requests

As APIs incluídas para o tipo de recurso data-science-work-requests estão listadas aqui. As APIs são exibidas em ordem alfabética para cada permissão.

Verbos

Permissões

APIs Totalmente Incluídas

APIs Parcialmente Incluídas

inspect

DATA_SCIENCE_WORK_REQUEST

_INSPECT

ListWorkRequests

Sem extra

read

inspect +

DATA_SCIENCE_WORK_REQUEST_READ

inspect +

ListWorkRequestErrors

ListWorkRequestLogs

GetWorkRequest

Sem extra

manage

read +

DATA_SCIENCE_WORK_REQUEST_DELETE

read +

CancelWorkRequest

Sem extra
data-science-jobs

As APIs abrangidas para o tipo de recurso data-science-jobs são listadas aqui. As APIs são exibidas em ordem alfabética para cada permissão.

Verbos

Permissões

APIs Totalmente Incluídas

APIs Parcialmente Incluídas

inspect

DATA_SCIENCE_JOB_INSPECT

ListJobs

ListJobShapes

ListWorkRequests

CreateJobRun

read

inspect +

DATA_SCIENCE_JOB_READ

inspect +

GetWorkRequest

CreateJobRun (Você também precisa de read data-science-job e create data-science-job-run.)

use

read +

DATA_SCIENCE_JOB_UPDATE

read +

UpdateJob

CreateJobRun (Você também precisa de DATA_SCIENCE_JOB_READ.)

manage

use +

DATA_SCIENCE_JOB_CREATE

DATA_SCIENCE_JOB_DELETE

DATA_SCIENCE_JOB_MOVE

use +

DeleteJob

ChangeJobCompartment

CreateJob

data-science-job-runs

As APIs abrangidas para o tipo de recurso data-science-job-runs são listadas aqui. As APIs são exibidas em ordem alfabética para cada permissão.

Verbos

Permissões

APIs Totalmente Incluídas

APIs Parcialmente Incluídas

inspect

DATA_SCIENCE_JOB_RUN_INSPECT

ListJobRuns

Sem extra

read

inspect +

DATA_SCIENCE_JOB_RUN_READ

inspect +

GetJobRun

Sem extra

use

read +

DATA_SCIENCE_JOB_RUN_UPDATE

read +

UpdateJobRun

CancelJobRun (Você também precisa de DATA_SCIENCE_JOB_RUN_READ.)

manage

use +

DATA_SCIENCE_JOB_RUN_CREATE

DATA_SCIENCE_JOB_RUN_DELETE

DATA_SCIENCE_JOB_RUN_MOVE

use +

CreateJobRun

DeleteJobRun

ChangeJobRunCompartment

CreateJob

data-science-pipelines

As APIs incluídas para o tipo de recurso data-science-pipelines estão listadas aqui. As APIs são exibidas em ordem alfabética para cada permissão.

Verbos

Permissões

APIs Totalmente Incluídas

APIs Parcialmente Incluídas

inspect

DATA_SCIENCE_PIPELINE_INSPECT

ListPipelines

Sem extra

read

inspect +

DATA_SCIENCE_PIPELINE_READ

inspect +

GetPipeline

CreatePipelineRun (Você também precisa de read data-science-projects, read data-science-pipeline e create data-science-pipeline-run.)

use

read +

DATA_SCIENCE_PIPELINE_UPDATE

read +

UpdatePipeline

CreatePipelineRun, GetPipeline (Você também precisa de DATA_SCIENCE_PROJECT_READ e DATA_SCIENCE_PIPELINE_READ.)

manage

use +

DATA_SCIENCE_PIPELINE_CREATE

DATA_SCIENCE_PIPELINE_DELETE

DATA_SCIENCE_PIPELINE_MOVE

use +

CreatePipeline

DeletePipeline

ChangePipelineCompartment

CreatePipeline

(Você também precisa de read data-science-projects.)
data-science-pipelineruns

As APIs incluídas para o tipo de recurso data-science-pipelineruns estão listadas aqui. As APIs são exibidas em ordem alfabética para cada permissão.

Verbos

Permissões

APIs Totalmente Incluídas

APIs Parcialmente Incluídas

inspect

DATA_SCIENCE_PIPELINE_RUN_INSPECT

ListPipelineRuns

Sem extra

read

inspect +

DATA_SCIENCE_PIPELINE_RUN_READ

inspect +

GetPipelineRun

Sem extra

use

read +

DATA_SCIENCE_PIPELINE_RUN_UPDATE

read +

UpdatePipelineRun

CancelPipelineRun (Você também precisa de DATA_SCIENCE_PIPELINE_RUN_READ.)

manage

use +

DATA_SCIENCE_PIPELINE_RUN_CREATE

DATA_SCIENCE_PIPELINE_RUN_DELETE

DATA_SCIENCE_PIPELINE_RUN_MOVE

use +

CreatePipelineRun

DeletePipelineRun

ChangePipelineRunCompartment

CreatePipeline

data-science-private-endpoint

As APIs incluídas para o tipo de recurso data-science-private-endpoint estão listadas aqui. As APIs são exibidas em ordem alfabética para cada permissão.

Verbos

Permissões

APIs Totalmente Incluídas

APIs Parcialmente Incluídas

inspect

DATA_SCIENCE_PRIVATE_ENDPOINT_INSPECT

ListDataSciencePrivateEndpoint

Sem extra

read

inspect +

DATA_SCIENCE_PRIVATE_ENDPOINT_READ

inspect +

GetDataSciencePrivateEndpoint

CreateNotebookSession

ActivateNotebookSession

DeactivateNotebookSession

CreateModelDeployment

ActivateModelDeployment

DeactivateModelDeployment

use

read +

DATA_SCIENCE_PRIVATE_ENDPOINT_ATTACH

DATA_SCIENCE_PRIVATE_ENDPOINT_DETACH

read +

UpdateDataSciencePrivateEndpoint

Sem extra

manage

use +

DATA_SCIENCE_PRIVATE_ENDPOINT_CREATE

DATA_SCIENCE_PRIVATE_ENDPOINT_UPDATE

DATA_SCIENCE_PRIVATE_ENDPOINT_DELETE

DATA_SCIENCE_PRIVATE_ENDPOINT_MOVE

use +

CreateDataSciencePrivateEndpoint

DeleteDataSciencePrivateEndpoint

ChangePrivateEndpointCompartment

AttachPrivateEndpoint

DetachPrivateEndpoint

CreatePrivateEndpoint

CreateNotebookSession

ActivateNotebookSession

DeactivateNotebookSession

CreateModelDeployment

ActivateModelDeployment

DeactivateModelDeployment

data-science-schedule

As APIs incluídas para o tipo de recurso data-science-schedule estão listadas aqui. As APIs são exibidas em ordem alfabética para cada permissão.

Verbos

Permissões

APIs Completas

APIs Parcialmente Cobertas

inspect

DATA_SCIENCE_SCHEDULE_INSPECT

ListSchedule

ListWorkRequests

Sem extra

read

inspect +

DATA_SCIENCE_SCHEDULE_READ

inspect +

GetSchedule

GetWorkRequest

CreateNotebookSession (Você também precisa de manage data-science-notebook-sessions.)

CreateModel (Você também precisa de manage data-science-models.)

CreateJob

CreateJobRun (Você também precisa de create data-science-job.)

use

read +

DATA_SCIENCE_SCHEDULE_USE

read +

UseSchedule

Sem extra

manage

use +

DATA_SCIENCE_SCHEDULE_UPDATE

DATA_SCIENCE_SCHEDULE_CREATE

DATA_SCIENCE_SCHEDULE_DELETE

DATA_SCIENCE_SCHEDULE_MOVE

use +

UpdateSchedule

CreateSchedule

DeleteSchedule

ChangeScheduleCompartment

Sem extra
data-science-model-groups

As APIs cobertas para o tipo de recurso data-science-model-groups estão listadas aqui. As APIs são exibidas em ordem alfabética para cada permissão.

Verbos

Permissões

APIs Totalmente Incluídas

APIs Parcialmente Incluídas

inspect

DATA_SCIENCE_MODEL_GROUP_INSPECT

ListModelGroups

Sem extra

read

inspect +

DATA_SCIENCE_MODEL_GROUP_READ

inspect +

GetModelGroup

GetModelGroupArtifact

Sem extra

use

read +

DATA_SCIENCE_MODEL_GROUP_UPDATE

read +

ActivateModelGroup

DeactivateModelGroup

UpdateModelGroup

Sem extra

manage

use +

DATA_SCIENCE_MODEL_GROUP_CREATE

DATA_SCIENCE_MODEL_GROUP_DELETE

DATA_SCIENCE_MODEL_GROUP_MOVE

use +

CreateModelGroupArtifact

DeleteModelVersionSet

ChangeModelGroupCompartment

CreateModelGroup (você também precisa de read data-science-projects e use data-science-model-group-version-histories ao associar um modelo a um conjunto de versões do grupo de modelos).
data-science-model-group-version-histories

As APIs abrangidas para o tipo de recurso data-science-model-group-version-histories são listadas aqui. As APIs são exibidas em ordem alfabética para cada permissão.

Verbos

Permissões

APIs Totalmente Incluídas

APIs Parcialmente Incluídas

inspect

DATA_SCIENCE_MODEL_GROUP_VERSION_HISTORY__INSPECT

ListModelGroupVersionHistories

Sem extra

read

inspect +

DATA_SCIENCE_MODEL_GROUP_VERSION_HISTORY_READ

inspect +

GetModelGroupVersionHistory

Sem extra

use

read +

DATA_SCIENCE_MODEL_GROUP_VERSION_HISTORY_UPDATE

read +

UpdateModelGroupVersionHistory

Sem extra

manage

use +

DATA_SCIENCE_MODEL_GROUP_VERSION_HISTORY_CREATE

DATA_SCIENCE_MODEL_GROUP_VERSION_HISTORY_DELETE

DATA_SCIENCE_MODEL_GROUP_VERSION_HISTORY_MOVE

use +

DeleteModelGroupVersionHistory

ChangeModelGroupVersionHistory

CreateModelGroupVersionHistory (também é necessário read data-science-projects )

Exemplos de Política

Observação

As APIs abrangem os tipos de recursos agregados data-science-family e individuais do Data Science. Por exemplo, allow group <group_name> to manage data-science-family in compartment <compartment_name> é o mesmo que gravar as quatro políticas a seguir:

allow group <group_name>> to manage <data_science_projects> in compartment 
<compartment_name>
                    
allow group <group_name> to manage data-science-notebook-sessions in compartment 
<compartment_name>
                    
allow group <group_name> to manage data-science-models in compartment 
<compartment_name>
                    
allow group <group_name> to manage data-science-work-requests in compartment 
<compartment_name>
Observação

Para obter um guia passo a passo para configurar políticas, consulte: 4. Criando Políticas no tutorial Configurando Manualmente uma Tenancy do Serviço Data Science.

Exemplo: View de Lista

Permite que um grupo simplesmente exibir a lista de todos os modelos do serviço Data Science em um compartimento específico:

allow group <group_name> to inspect data-science-models in compartment 
<compartment_name>

O verbo read para data-science-models abrange as mesmas permissões e operações de API do verbo inspect com a permissão DATA_SCIENCE_MODEL_READ e as operações de API que ele abrange, como GetModel e GetModelArtifact.

Exemplo: Todas as Operações

Permite que um grupo execute todas as operações listadas para DATA_SCIENCE_MODEL_READ em um compartimento especificado:

allow group <group_name> to read data-science-models in compartment 
<compartment_name>

O verbo manage para data-science-models inclui as mesmas permissões e operações de API que o verbo read, além das APIs para as permissões DATA_SCIENCE_MODEL_CREATE, DATA_SCIENCE_MODEL_MOVE, DATA_SCIENCE_MODEL_UPDATE e DATA_SCIENCE_MODEL_DELETE. Por exemplo, um usuário pode excluir um modelo somente com a permissão de gerenciamento ou a permissão DATA_SCIENCE_MODEL_DELETE específica. Com uma permissão read para data-science-models, um usuário não pode excluir os modelos.

Exemplos: Gerenciar Todos os Recursos

Permite que um grupo gerencie todos os recursos para uso do serviço Data Science:

allow group <group_name> to manage <data_science_family> in compartment 
<compartment_name>

Permite que um grupo gerencie todos os recursos do serviço Data Science, exceto excluir projetos do Data Science:

allow group <group_name> to manage <data_science_family> in compartment 
<compartment_name> where request.permission !='DATA_SCIENCE_PROJECT_DELETE'

As APIs incluídas para o tipo de recurso data-science-projects estão listadas aqui. As APIs são exibidas em ordem alfabética para cada permissão.

Exemplos de Política

Identificamos estas instruções de política que você provavelmente adotará em uma tenancy para implantações de modelo:

Permite que um grupo de usuários, <group-name>, execute todas as operações CRUD em modelos armazenados no catálogo de modelos. Qualquer usuário que queira implantar um modelo por meio de implantação de modelo também precisa acessar o modelo que deseja implantar. 
allow group <group-name> to manage data-science-models 
in compartment <compartment-name>
Permite que um grupo de usuários, <group-name>, execute todas as operações CRUD, incluindo a chamada do ponto final de inferência, em recursos da implantação do modelo em um compartimento específico. Você pode alterar o verbo manage para limitar o que os usuários podem fazer. 
allow group <group-name> to manage data-science-model-deployments 
in compartment <compartment-name>
Permite que um grupo dinâmico de recursos (como sessões do notebook) execute todas as operações CRUD, incluindo a chamada do ponto final de inferência, nos recursos da implantação do modelo em um determinado compartimento. O verbo manage pode ser alterado para limitar o que os recursos podem fazer. 
allow dynamic-group <dynamic-group-name> to manage  data-science-model-deployments 
in compartment <compartment-name>
Ou você pode autorizar os recursos a fazerem o mesmo. Somente o grupo dinâmico de recursos no grupo dinâmico especificado pode chamar o ponto final de modelo para os recursos de implantação de modelo criados em um compartimento específico. 
allow dynamic-group <dynamic-group-name-2> to {DATA_SCIENCE_MODEL_DEPLOYMENT_PREDICT} 
in compartment <compartment-name>
(Opcional) Permite que uma implantação de modelo acesse os ambientes conda publicados armazenados em um bucket do Object Storage. Isso será necessário se você quiser usar Ambientes Conda Publicados para capturar as dependências de terceiros de um modelo. 
allow any-user to read objects in compartment <compartment-name>
where ALL { request.principal.type='datasciencemodeldeployment', 
target.bucket.name=<published-conda-envs-bucket-name> }
(Opcional) Permite que uma implantação de modelo emita logs para o serviço Logging. Você precisará dessa política se estiver usando o serviço Logging em uma implantação de modelo. Esta afirmação é permissiva. Por exemplo, você pode restringir a permissão para usar conteúdo de log em um compartimento específico.
allow any-user to use log-content in tenancy 
where ALL {request.principal.type = 'datasciencemodeldeployment'}
(Opcional) Permite que uma implantação de modelo acesse um bucket do Object Storage que reside em uma tenancy. Por exemplo, um modelo implantado de leitura de arquivos (um arquivo CSV de lookup) de um bucket de Armazenamento de Objetos que você gerencia. 
allow any-user to read objects in compartment <compartment-name> 
where ALL { request.principal.type='datasciencemodeldeployment', target.bucket.name=<bucket-name> }

Exemplos de Jobs e execuções de Jobs

(Opcional) Você pode integrar o registro em log dos jobs. Quando ativado, o recurso de execução de job exige permissões para emitir logs para o serviço Logging. Crie um grupo dinâmico de execuções de job com:

all { resource.type='datasciencejobrun', resource.compartment.id='<job-run-compartment-ocid>' }

Em seguida, permita que esse grupo dinâmico grave nos logs do serviço Logging:

allow dynamic-group <job-runs-dynamic-group> to use log-content in compartment <your-compartment-name>

Por fim, o usuário que está iniciando as execuções de job também deve ter acesso para usar logs e grupos de logs:

Observação

Se você usar um grupo dinâmico principal de instâncias para criar e iniciar execuções de jobs, aplique políticas de grupo ao grupo dinâmico. Especificamente, o controlador de instância deve ter a política to manage log-groups definida.

allow group <group-name> to manage log-groups in compartment <compartment-name>
allow group <group-name> to use log-content in compartment <compartment-name>

(Opcional) Não há políticas extras exigidas para executar jobs com um ambiente conda do serviço Data Science. Para executar jobs com um ambiente conda personalizado publicado, o recurso de execução de job exige permissões para fazer download do ambiente conda no Armazenamento de Objetos da tenancy. Permita que o grupo dinâmico de execuções de jobs acesse objetos no compartimento com:

allow dynamic-group <job-runs-dynamic-group> to read objects in compartment <compartment-name> where target.bucket.name='<bucket-name>'

Para extrair a imagem do contêiner do OCIR, adicione esta política:

allow dynamic-group <your-dynamic-group> to read repos in compartment <compartment-name>

Se o seu repositório estiver no compartimento raiz, permita a leitura da tenancy com:

allow dynamic-group <your-dynamic-group> to read repos in tenancy where all {target.repo.name=<repository-name>}

Exemplos de Pipelines

O Data Science usa outros serviços do OCI para executar pipelines, principalmente jobs. Para funcionar corretamente, os pipelines exigem permissões para operar esses recursos em sua tenancy ou compartimento. Você deve criar grupos dinâmicos e políticas para usar pipelines do serviço Data Science.

Crie um novo grupo dinâmico ou atualize um grupo dinâmico existente para adicionar as seguintes linhas:

Para permitir que execuções de pipeline acessem serviços do OCI, como Logging, Networking, Object Storage etc.:

all {resource.type='datasciencepipelinerun',resource.compartment.id='ocid1.compartment.oc1..<>'}

Se seu pipeline incluir pelo menos um job como etapa, você deverá permitir que a execução do job acesse recursos:

all {resource.type='datasciencejobrun',resource.compartment.id='ocid1.compartment.oc1..<>'}

Ao trabalhar em sessões de notebook usando a autenticação do Controlador de Recursos, você precisará permitir que o notebook acesse recursos:

all {resource.type='datasciencenotebooksession',resource.compartment.id='ocid1.compartment.oc1..<>'}

Agora, adicione as políticas relevantes para permitir que seu grupo dinâmico acesse os recursos em um compartimento ou tenancy. Veja a seguir alguns exemplos de políticas úteis para seu grupo dinâmico:

(Opcional) Permita gerenciar todos os recursos do Data Science, como notebooks, jobs, pipelines etc.:

allow dynamic-group <YOUR_DYNAMIC_GROUP_NAME> to manage data-science-family in compartment <YOUR_COMPARTMENT_NAME>

(Opcional) Permita usar a rede, incluindo o uso do OCI Object Storage e do File Storage Service:

allow dynamic-group <YOUR_DYNAMIC_GROUP_NAME> to use virtual-network-family in compartment <YOUR_COMPARTMENT_NAME>

(Opcional) Permita gerenciar o Armazenamento de Objetos:

allow dynamic-group <YOUR_DYNAMIC_GROUP_NAME> to manage objects in compartment <YOUR_COMPARTMENT_NAME>

(Opcional) Permita o log nos logs do serviço Logging:

allow dynamic-group <YOUR_DYNAMIC_GROUP_NAME> to use log-content in compartment <YOUR_COMPARTMENT_NAME>
(Opcional) Permitir leitura de repositórios:
allow dynamic-group <YOUR_DYNAMIC_GROUP_NAME> to read repos in compartment <YOUR COMPARTMENT NAME>
(Opcional) Permita usar buckets do Object Storage como montagens de armazenamento:
allow dynamic-group <YOUR_DYNAMIC_GROUP_NAME> to use object-family in compartment <YOUR_COMPARTMENT_NAME>
allow service datascience to use object-family in compartment <YOUR_COMPARTMENT_NAME>
(Opcional) Permita o uso do File Storage como montagens de armazenamento:
allow dynamic-group <YOUR_DYNAMIC_GROUP_NAME> use file-systems in compartment <YOUR_COMPARTMENT_NAME>
allow dynamic-group <YOUR_DYNAMIC_GROUP_NAME> use mount-targets in compartment <YOUR_COMPARTMENT_NAME>
allow service datascience to use file-systems in compartment <YOUR_COMPARTMENT_NAME>
allow service datascience to use mount-targets in compartment <YOUR_COMPARTMENT_NAME>
(Opcional) Se você usar aplicativos do serviço Data Flow como etapas em pipelines: 
allow dynamic-group <YOUR_DYNAMIC_GROUP_NAME> manage dataflow-run in compartment <YOUR_COMPARTMENT_NAME>
allow dynamic-group <YOUR_DYNAMIC_GROUP_NAME> read dataflow-application in compartment <YOUR_COMPARTMENT_NAME>
allow dynamic-group <YOUR_DYNAMIC_GROUP_NAME> read object-family in compartment <YOUR_COMPARTMENT_NAME>
Certifique-se de que os usuários que trabalham com pipelines recebam os privilégios apropriados. A política a seguir pressupõe que os usuários pertençam ao grupo datascienceusers.
allow group datascienceusers to inspect compartments in tenancy
allow group datascienceusers in tenancy where all {target.rule.type='managed', target.event.source in ('dataflow')}
allow group datascienceusers to read dataflow-application in compartment <YOUR_COMPARTMENT_NAME>