Documentação do Oracle Cloud Infrastructure

Pré-requisitos para Ativar e Usar o Data Safe

Certifique-se de ter as permissões de usuário e serviço aplicáveis em vigor para ativar e usar o Data Safe na instância do Autonomous Data Warehouse associada à instância do Fusion Data Intelligence. Certifique-se também de que a instância do Autonomous Data Warehouse permita o tráfego de rede do Data Safe.

As permissões necessárias são:
  • Permissões de usuário
    • Políticas gerais do Oracle Cloud Infrastructure Identity and Access Management – Permitem que o usuário liste e adicione políticas na tenancy do Oracle Cloud Infrastructure.
    • Políticas do Data Safe – Permitem que o usuário exiba e gerencie os recursos do Data Safe.
  • Permissões de serviço - O Fusion Data Intelligence requer permissão para ativar o Data Safe no Autonomous Data Warehouse da instância do Fusion Data Intelligence.

Permissões do Usuário para Gerenciar Políticas do Oracle Cloud Infrastructure Identity and Access Management

A Console do Oracle Cloud Infrastructure depende da permissão do usuário conectado para listar e criar políticas na tenancy do Oracle Cloud Infrastructure. Dependendo das permissões do usuário, dois cenários se aplicam:
  • Cenário 1 – O usuário tem permissão para gerenciar as políticas de Gerenciamento de Identidade e Acesso (gerenciamento – leitura e adição de novas políticas). Nessa situação, a Console do Oracle Cloud Infrastructure verifica se as políticas do Data Safe para o serviço Fusion Data Intelligence existem. Se as políticas estiverem ausentes, a Console criará automaticamente as políticas de serviço. Depois disso, o usuário aplicável poderá criar a instância do Fusion Data Intelligence no Data Safe ou registrar a instância existente no Data Safe.

  • Cenário 2 – O usuário tem permissão apenas para ler as políticas do Identity and Access Management. Nessa situação, a Console do Oracle Cloud Infrastructure verifica se as políticas do Data Safe para o serviço Fusion Data Intelligence existem. Se as políticas já estiverem em vigor, o usuário poderá continuar a criar a instância no Data Safe ou registrar a instância existente no Data Safe. Se as políticas não estiverem presentes, o usuário aplicável deverá desativar a caixa de seleção Ativar o Data Safe durante a criação da instância do Fusion Data Intelligence para continuar ou interromper a criação da instância e solicitar que o administrador do serviço configure os usuários, grupos e políticas de gravação do Identity and Access Management.

    Embora um administrador de serviço possa gravar as políticas do Identity and Access Management de acordo com seu requisito, essas políticas de amostra podem ser úteis ao criar e gerenciar as instâncias do Fusion Data Intelligence com o Data Safe:
    allow group <identity_domain_name>/FDIDataSafeUsers to read compartments in tenancy
allow group <identity_domain_name>/FDIDataSafeUsers to read domains in tenancy
allow group <identity_domain_name>/FDIDataSafeUsers to manage policy in tenancy
  • Observação

    Substitua FDIDataSafeUsers pelo grupo apropriado do Identity and Access Management.

Permissões do Usuário para Exibir e Gerenciar Recursos do Data Safe

Quando você ativa o Data Safe para o Autonomous Data Warehouse aplicável, o Fusion Data Intelligence cria vários recursos do Data Safe, como targetDataBase, auditPolicy, auditProfile, auditTrial e alertPolicyAssociations, entre outros. Crie a seguinte política ampla para gerenciar os recursos do Data Safe na tenancy:
allow group <identity_domain_name>/FDIDataSafeUsers to manage data-safe-family in tenancy
Observação

Substitua FDIDataSafeUsers pelo grupo apropriado do Identity and Access Management.

No entanto, como administrador de serviços, você pode fornecer acesso limitado aos grupos do Identity and Access Management aplicáveis. Consulte Políticas do IAM para o Autonomous Database e Criar Políticas do IAM para Usuários do Oracle Data Safe.

Permissão do Fusion Data Intelligence para Executar Operações do Data Safe

O Fusion Data Intelligence requer permissão para executar as operações relacionadas ao Data Safe no Autonomous Data Warehouse associado. O sistema verifica se o usuário conectado tem permissões para listar e adicionar políticas e se o usuário conectado tem as permissões e se as políticas ainda não foram criadas, o sistema cria estas políticas:
allow any-user to manage data-safe in tenancy where all {request.principal.type = 'fawservice', request.principal.compartment.id = target.compartment.id}
allow any-user to manage data-safe-assessment-family in tenancy where all {request.principal.type = 'fawservice', request.principal.compartment.id = target.compartment.id}
allow any-user to manage data-safe-alert-family in tenancy where all {request.principal.type = 'fawservice', request.principal.compartment.id = target.compartment.id}
allow any-user to manage data-safe-audit-family in tenancy where all {request.principal.type = 'fawservice', request.principal.compartment.id = target.compartment.id}
allow any-user to manage virtual-network-family in tenancy where all {request.principal.type = 'fawservice', request.principal.compartment.id = target.compartment.id}

O sistema cria as políticas do Data Safe para o Fusion Data Intelligence no arquivo FDI_ADW_Data_Safe_Policy no compartimento raiz da tenancy. Você deve ter cuidado ao atualizar as declarações de política deste arquivo de política para evitar restringir o Fusion Data Intelligence a executar operações de segurança de dados no Autonomous Data Warehouse.

Acesso à Rede

Verifique se a instância associada do Autonomous Data Warehouse permite tráfego de rede do Data Safe. Consulte Configurar o Acesso à Rede com Regras de Controle de Acesso (ACLs) e Pontos Finais Privados.