Documentação do Oracle Cloud Infrastructure

Pré-requisitos para Ativar e Usar o Data Safe

Certifique-se de ter as permissões aplicáveis de usuário e serviço em vigor para ativar e usar o Data Safe na instância do Oracle Autonomous AI Lakehouse associada à instância do Oracle Fusion Data Intelligence. Você também deve garantir que a instância do Oracle Autonomous AI Lakehouse permita o tráfego de rede do Data Safe.

As permissões necessárias são:
  • Permissões de usuário
    • Políticas gerais do Oracle Cloud Infrastructure Identity and Access Management – Permitem que o usuário liste e adicione políticas na tenancy do Oracle Cloud Infrastructure.
    • Políticas do Data Safe – Permitem que o usuário exiba e gerencie os recursos do Data Safe.
  • Permissões de serviço - O Oracle Fusion Data Intelligence requer permissão para ativar o Data Safe no Autonomous AI Lakehouse da instância do Oracle Fusion Data Intelligence.

Permissões do Usuário para Gerenciar Políticas do Oracle Cloud Infrastructure Identity and Access Management

A Console do Oracle Cloud Infrastructure depende da permissão do usuário conectado para listar e criar políticas na tenancy do Oracle Cloud Infrastructure. Dependendo das permissões do usuário, dois cenários se aplicam:
  • Cenário 1 – O usuário tem permissão para gerenciar as políticas de Gerenciamento de Identidade e Acesso (gerenciamento – leitura e adição de novas políticas). Nessa situação, a Console do Oracle Cloud Infrastructure verifica se as políticas do Data Safe para o serviço Oracle Fusion Data Intelligence existem. Se as políticas estiverem ausentes, a Console criará automaticamente as políticas de serviço. Depois disso, o usuário aplicável poderá criar a instância do Oracle Fusion Data Intelligence no Data Safe ou registrar a instância existente no Data Safe.

  • Cenário 2 – O usuário tem permissão apenas para ler as políticas do Identity and Access Management. Nessa situação, a Console do Oracle Cloud Infrastructure verifica se as políticas do Data Safe para o serviço Oracle Fusion Data Intelligence existem. Se as políticas já estiverem em vigor, o usuário poderá continuar a criar a instância no Data Safe ou registrar a instância existente no Data Safe. Se as políticas não estiverem presentes, o usuário aplicável deverá desativar a caixa de seleção Ativar o Data Safe durante a criação da instância do Oracle Fusion Data Intelligence para continuar ou interromper a criação da instância e solicitar que o administrador do serviço configure os usuários, grupos e políticas de gravação do Identity and Access Management.

    Embora um administrador de serviço possa gravar as políticas do Identity and Access Management de acordo com seu requisito, essas políticas de amostra podem ser úteis ao criar e gerenciar as instâncias do Oracle Fusion Data Intelligence com o Data Safe:
    allow group <identity_domain_name>/FDIDataSafeUsers to read compartments in tenancy
allow group <identity_domain_name>/FDIDataSafeUsers to read domains in tenancy
allow group <identity_domain_name>/FDIDataSafeUsers to manage policy in tenancy
  • Observação

    Substitua FDIDataSafeUsers pelo grupo apropriado do Identity and Access Management.

Permissões do Usuário para Exibir e Gerenciar Recursos do Data Safe

Quando você ativa o Data Safe para o Autonomous AI Lakehouse aplicável, o Fusion Data Intelligence cria vários recursos do Data Safe, como targetDataBase, auditPolicy, auditProfile, auditTrial e alertPolicyAssociations, entre outros. Crie a seguinte política ampla para gerenciar os recursos do Data Safe na tenancy:
allow group <identity_domain_name>/FDIDataSafeUsers to manage data-safe-family in tenancy
Observação

Substitua FDIDataSafeUsers pelo grupo apropriado do Identity and Access Management.

No entanto, como administrador de serviços, você pode fornecer acesso limitado aos grupos do Identity and Access Management aplicáveis. Consulte Políticas do IAM para o Autonomous Database e Criar Políticas do IAM para Usuários do Oracle Data Safe.

Permissão do Fusion Data Intelligence para Executar Operações do Data Safe

O Fusion Data Intelligence requer permissão para executar as operações relacionadas ao Data Safe no Autonomous AI Lakehouse associado. O sistema verifica se o usuário conectado tem permissões para listar e adicionar políticas e se o usuário conectado tem as permissões e se as políticas ainda não foram criadas, o sistema cria estas políticas:
allow any-user to manage data-safe in tenancy where all {request.principal.type = 'fawservice', request.principal.compartment.id = target.compartment.id}
allow any-user to manage data-safe-assessment-family in tenancy where all {request.principal.type = 'fawservice', request.principal.compartment.id = target.compartment.id}
allow any-user to manage data-safe-alert-family in tenancy where all {request.principal.type = 'fawservice', request.principal.compartment.id = target.compartment.id}
allow any-user to manage data-safe-audit-family in tenancy where all {request.principal.type = 'fawservice', request.principal.compartment.id = target.compartment.id}
allow any-user to manage virtual-network-family in tenancy where all {request.principal.type = 'fawservice', request.principal.compartment.id = target.compartment.id}

O sistema cria as políticas do Data Safe para o Fusion Data Intelligence no arquivo FDI_ADW_Data_Safe_Policy no compartimento raiz da tenancy. Você deve ter cuidado ao atualizar as declarações de política deste arquivo de política para evitar restringir o Fusion Data Intelligence a executar operações de segurança de dados no Autonomous AI Lakehouse.

Acesso à Rede

Verifique se a instância associada do Autonomous AI Lakehouse permite o tráfego de rede do Data Safe. Consulte Configurar o Acesso à Rede com Regras de Controle de Acesso (ACLs) e Pontos Finais Privados.