Criar Políticas do IAM para Usuários do Serviço Oracle Data Safe
Um administrador de tenancy pode criar políticas no Oracle Cloud Infrastructure Identity and Access Management (IAM) que concedam aos usuários acesso a recursos do Oracle Data Safe.
Para obter mais informações sobre os recursos e suas permissões, consulte Recursos do OCI para o Oracle Data Safe.
Etapas Gerais para Criar uma Política do Serviço IAM para o Oracle Data Safe
Siga estas etapas gerais para criar uma política do serviço IAM que conceda permissões a um grupo de usuários nos recursos do Oracle Data Safe.
-
Como administrador da tenancy, no menu de navegação do Oracle Cloud Infrastructure, selecione Identidade e Segurança e, em seguida, selecione Políticas.
A página Políticas é aberta no Oracle Cloud Infrastructure Identity and Access Management (IAM).
-
Ao lado de Filtros aplicados, selecione o compartimento no qual você deseja armazenar a política. Você pode selecionar o compartimento
root, se necessário. Uma política se aplica ao compartimento no qual ela está definida e a todos os seus subcompartimentos. -
Selecione Criar Política.
A página Criar Política é aberta.
-
Informe um nome para a sua política. Nenhum espaço é permitido. Somente letras, algarismos, hifens, pontos e sublinhados são permitidos.
-
Informe uma breve descrição para sua apólice.
-
Selecione outro compartimento, se necessário.
-
Na seção Criador de Políticas, selecione Mostrar editor manual.
Uma caixa é exibida na qual você pode inserir instruções de política.
-
Informe uma ou mais instruções de política usando a sintaxe a seguir.
Allow group <group-name> to <verb> <resource-type> in compartment <compartment-name>Para
<group-name>, informe o nome do grupo do IAM ao qual a política se aplica.Para o
<verb>, você pode usarinspect,read,useoumanage.Para
<resource-type>, informe um recurso usado pelo Oracle Data Safe. Para obter uma lista de recursos, consulte Recursos do OCI para o Oracle Data Safe.Para
<compartment>, informe o nome do compartimento que contém os recursos aos quais você deseja conceder permissões.Para especificar subcompartimentos em uma instrução de política, use a sintaxe a seguir, em que
<parent-compartment>é o compartimento no compartimentoroote<child-compartment>é o compartimento no<parent-compartment>. Você pode adicionar quantos compartimentos secundários forem necessários separados por dois-pontos.allow group <group-name> to <verb> <resource-type> in compartment <parent-compartment>:<child-compartment> -
Para adicionar tags, selecione Adicionar Tag e configure tags.
-
Selecione Criar.
Criar um Grupo de Administradores do Oracle Data Safe
Um administrador de tenancy pode criar um grupo de administradores do Oracle Data Safe no Oracle Cloud Infrastructure Identity and Access Management (IAM). A finalidade desse grupo é supervisionar e gerenciar os recursos do Oracle Data Safe em uma região.
-
Como administrador da tenancy, acesse o IAM no Oracle Cloud Infrastructure.
-
Crie um grupo para administradores do Oracle Data Safe e usuários apropriados ao grupo.
-
Crie uma política para o grupo do administrador do Oracle Data Safe que permita ao grupo
manageo recursodata-safe-family. Os exemplos a seguir mostram diferentes maneiras de fazer isso.-
Opção 1: Permitir que o grupo
Data-Safe-Adminsgerencie recursos do Oracle Data Safe em toda a tenancy.Allow group Data-Safe-Admins to manage data-safe-family in tenancy -
Opção 2: Permitir que o grupo
Data-Safe-Adminsgerencie todos os tipos de recursos do Oracle Cloud Infrastructure na tenancy (incluindo recursos do Oracle Data Safe).Allow group Data-Safe-Admins to manage all-resources in tenancy -
Opção 3: Permitir que um grupo
Data-Safe-Adminsgerencie todos os tipos de recursos do Oracle Data Safe na regiãous-phoenix-1de uma tenancy.Allow group Data-Safe-Admins to manage data-safe-family in tenancy where request.region='phx'
-
Permissão para Acessar todos os Recursos de um Recurso do Oracle Data Safe
Você pode usar um recurso da família Oracle Data Safe para conceder rapidamente a um grupo de usuários permissão em todos os recursos para um recurso específico do Oracle Data Safe. Por exemplo, para conceder a um grupo de usuários permissão para executar todas as tarefas no Mascaramento de Dados, conceda ao grupo de usuários a permissão manage no recurso data-safe-masking-family. Os recursos da família que pertencem a recursos específicos incluem data-safe-assessment-family (para Avaliação de Segurança e Avaliação do Usuário), data-safe-discovery-family (para Descoberta de Dados), data-safe-masking-family (para Mascaramento de Dados), data-safe-alert-family (para Alertas), data-safe-audit-family (para Auditoria de Atividades) e data-safe-family (para todos os recursos).
Para conceder a um grupo de usuários permissão para acessar um recurso do Oracle Data Safe, crie uma política no Oracle Cloud Infrastructure Identity and Access Management (IAM) que permita ao grupo usar os recursos list, read, use ou manage para o recurso.
Veja dois exemplos:
-
Exemplo 1: Para permitir que um grupo liste e exiba detalhes de todos os recursos de uma família específica do Oracle Data Safe em um compartimento específico, grave a instrução de política da seguinte maneira:
allow group <group-name> to read <data-safe-family-name> in compartment <compartment-name> -
Exemplo 2: Para permitir que um grupo execute toda e qualquer tarefa relacionada a um recurso do Oracle Data Safe em um compartimento específico, grave a instrução de política da seguinte maneira:
allow group <group-name> to manage <data-safe-family-name> in compartment <compartment-name>
Permissão para Acessar um Recurso Específico
Cada recurso da família do Oracle Data Safe consiste em vários recursos que pertencem a esse recurso. Na maioria dos casos, você pode conceder a um grupo de usuários a permissão inspect, read, use ou manage em qualquer um desses recursos específicos, em vez de conceder ao grupo acesso a todos os recursos da família.
-
A permissão
inspectpermite que um grupo de usuários exiba a lista de objetos de recurso. Por exemplo, se um grupo tiver a permissãoinspectno recursodata-safe-audit-policies, esse grupo poderá exibir a lista de políticas de auditoria no Centro de Segurança. No entanto, eles não podem selecionar uma política de auditoria e exibir seus detalhes. -
A permissão
readpermite que um grupo de usuários exiba a lista de objetos de recurso e exiba suas propriedades. Usando nosso exemplo anterior, o grupo de usuários pode selecionar uma política de auditoria e exibir seus detalhes. -
A permissão
useinclui a permissãoreadmais a capacidade de trabalhar com recursos existentes (as ações variam de acordo com o tipo de recurso). Inclui a capacidade de atualizar o recurso, exceto para tipos de recurso em que a operação da atualização tem o mesmo impacto efetivo que a operação da criação; nesse caso, a capacidade da atualização só está disponível com o verbo domanage, Em geral, esse verbo não inclui a capacidade de criar ou excluir esse tipo de recurso. -
A permissão
managegeralmente concede ao grupo de usuários permissão completa no recurso (listar, exibir, atualizar, criar, excluir e mover). Usando nosso exemplo anterior, se o grupo tiver a permissãomanage, ele poderá listar e exibir detalhes de políticas de auditoria, bem como atualizá-las, criá-las, excluí-las e movê-las.
Lembre-se de que todas as quatro permissões (inspecionar, ler, usar e gerenciar) podem não estar disponíveis para todos os recursos. E, às vezes, a permissão manage concede apenas um subconjunto de operações (por exemplo: listar, ler, atualizar, criar, excluir e/ou mover). Portanto, é melhor se referir ao recurso em si para entender o que é possível.
Veja três exemplos a seguir:
-
Exemplo 1: Crie uma política para um grupo de usuários que permita ao grupo listar objetos de recursos no Centro de Segurança. Por exemplo, a instrução de política a seguir permite que um grupo de usuários chamado
IT-Securityexiba a lista de perfis de auditoria no compartimento chamadoInfo-Tech.allow group IT-Security to inspect data-safe-audit-profiles in compartment Info-Tech -
Exemplo 2: Crie uma política para um grupo de usuários que permita ao grupo listar e exibir propriedades de um recurso. Por exemplo, a instrução de política a seguir permite que um grupo de usuários chamado
IT-Securityliste e exiba propriedades para perfis de auditoria no compartimento chamadoInfo-Tech.allow group IT-Security to read data-safe-audit-profiles in compartment Info-Tech -
Exemplo 3: Crie uma política para um grupo de usuários que permita ao grupo gerenciar um recurso. Por exemplo, a instrução de política a seguir permite que um grupo de usuários chamado
IT-Securitygerencie perfis de auditoria no compartimento chamadoInfo-Tech.allow group IT-Security to manage data-safe-audit-profiles in compartment Info-Tech
Permissões para Registrar um Autonomous AI Database no Oracle Data Safe
Para registrar um Autonomous AI Database no Oracle Data Safe, um grupo de usuários requer permissões no Oracle Cloud Infrastructure Identity and Access Management (IAM) para fazer o seguinte:
-
Acessar o Autonomous AI Database: O grupo de usuários requer pelo menos a permissão
useno recursoautonomous-databaseno Oracle Cloud Infrastructure, por exemplo:allow group <group-name> to use autonomous-database in compartment <compartment-name> -
Registrar um banco de dados de destino no Oracle Data Safe: O grupo de usuários requer a permissão
manageno recursotarget-databases, por exemplo:allow group <group-name> to manage target-databases in compartment <compartment-name> -
Para um Autonomous AI Database que tenha um endereço IP privado: O grupo de usuários requer pelo menos a permissão
useem um ponto final privado do Oracle Data Safe e nos recursos de rede virtual subjacentes do ponto final privado para os compartimentos relevantes. Por exemplo, as seguintes instruções permitem que um grupo crie um ponto final privado:allow group <group-name> to manage data-safe-private-endpoints in compartment <compartment-name> allow group <group-name> to manage virtual-network-family in compartment <compartment-name>Se o grupo já tiver um ponto final privado do Oracle Data Safe e quiser reutilizá-lo, substitua
manageporusenas instruções acima.
Permissões para Registrar um Banco de Dados do Oracle Cloud no Oracle Data Safe
Para registrar um Oracle Cloud Database no Oracle Data Safe, um grupo de usuários exige permissões no Oracle Cloud Infrastructure Identity and Access Management (IAM) para fazer o seguinte:
-
Acesse o Oracle Cloud Database:
allow group <group-name> to manage database-family in compartment <compartment-name> allow group <group-name> to inspect vnics in tenancy -
(Somente Exadata Cloud Service) Inspecionar clusters de máquina virtual na nuvem na tenancy:
allow group <group-name> to inspect cloud-vmclusters in tenancy -
Registre um banco de dados de destino no Oracle Data Safe:
allow group <group-name> to manage target-databases in compartment <compartment-name> -
Usar ou criar um ponto final privado do Oracle Data Safe: O grupo de usuários requer pelo menos a permissão
useem um ponto final privado do Oracle Data Safe e nos recursos de rede virtual subjacentes do ponto final privado para os compartimentos relevantes. Por exemplo, as seguintes instruções permitem que um grupo crie um ponto final privado:allow group <group-name> to manage data-safe-private-endpoints in compartment <compartment-name> allow group <group-name> to manage virtual-network-family in compartment <compartment-name>Se o grupo já tiver um ponto final privado do Oracle Data Safe e quiser reutilizá-lo, substitua
manageporusenas instruções acima.
Permissões para Registrar um Oracle Database Local no Oracle Data Safe
Para registrar um Oracle Database On-premises no Oracle Data Safe, um grupo de usuários exige permissões no Oracle Cloud Infrastructure Identity and Access Management (IAM) para fazer o seguinte:
-
Registre um banco de dados de destino no Oracle Data Safe:
allow group <group-name> to manage target-databases in compartment <compartment-name> -
(Opção 1) Usar ou criar um ponto final privado do Oracle Data Safe: Se o seu banco de dados de destino tiver um endereço IP privado, você poderá estabelecer conexão com ele usando um ponto final privado do Oracle Data Safe. O grupo de usuários requer pelo menos a permissão
useem um ponto final privado do Oracle Data Safe e nos recursos de rede virtual subjacentes do ponto final privado para os compartimentos relevantes. Por exemplo, as seguintes instruções permitem que um grupo crie um ponto final privado:allow group <group-name> to manage data-safe-private-endpoints in compartment <compartment-name> allow group <group-name> to manage virtual-network-family in compartment <compartment-name>Se o grupo já tiver um ponto final privado do Oracle Data Safe e quiser reutilizá-lo, substitua
manageporusenas instruções acima. -
(Opção 2) Usar ou criar um conector local do Oracle Data Safe: Se o seu banco de dados de destino tiver um endereço IP privado, você poderá estabelecer conexão com ele usando um conector local do Oracle Data Safe. Inclua permissão para acessar ou criar um conector local, por exemplo:
allow group <group-name> to manage onprem-connectors in compartment <compartment-name>
Permissões para Registrar um Oracle Database em uma Instância do Serviço Compute no Oracle Data Safe
Para registrar um Oracle Database em uma instância de computação no Oracle Cloud Infrastructure com o Oracle Data Safe, um grupo de usuários requer permissões no Oracle Cloud Infrastructure Identity and Access Management (IAM) para fazer o seguinte:
-
Registre um banco de dados de destino no Oracle Data Safe:
allow group <group-name> to manage target-databases in compartment <compartment-name> -
Acesse informações sobre a instância de computação do banco de dados de destino:
Allow group <group-name> to read instance-family in compartment <compartment-name> -
(Opção 1) Usar ou criar um ponto final privado do Oracle Data Safe: O grupo de usuários requer pelo menos a permissão
useem um ponto final privado do Oracle Data Safe e nos recursos de rede virtual subjacentes do ponto final privado para os compartimentos relevantes. Por exemplo, as seguintes instruções permitem que um grupo crie um ponto final privado:allow group <group-name> to manage data-safe-private-endpoints in compartment <compartment-name> allow group <group-name> to manage virtual-network-family in compartment <compartment-name>Se o grupo já tiver um ponto final privado do Oracle Data Safe e quiser reutilizá-lo, substitua
manageporusenas instruções acima. -
(Opção 2) Usar ou criar um conector local do Oracle Data Safe: Inclua permissão para usar ou criar um conector local do Oracle Data Safe, por exemplo:
allow group <group-name> to manage onprem-connectors in compartment <compartment-name>
Permissões para Registrar um Banco de Dados Oracle Cloud@Customer no Oracle Data Safe
Para registrar um banco de dados Oracle Cloud@Customer (Oracle Exadata Database Service on Cloud@Customer ou Oracle Autonomous AI Database on Exadata Cloud@Customer) no Oracle Data Safe, um grupo de usuários requer permissões no Oracle Cloud Infrastructure Identity and Access Management (IAM) para fazer o seguinte:
-
Registre um banco de dados de destino no Oracle Data Safe:
allow group <group-name> to manage target-databases in compartment <compartment-name> -
(Oracle Exadata Database Service on Cloud@Customer) Registre ou atualize o banco de dados de destino:
allow group <group-name> to inspect exadata-infrastructures in compartment <compartment-name> allow group <group-name> to inspect vmcluster-network in compartment <compartment-name> -
(Oracle Autonomous AI Database on Exadata Cloud@Customer) Registre ou atualize o banco de dados de destino:
allow group <group-name> to read autonomous-databases in compartment <compartment-name> allow group <group-name> to inspect autonomous-container-databases in compartment <compartment-name> allow group <group-name> to inspect autonomous-vmclusters in compartment <compartment-name> allow group <group-name> to inspect exadata-infrastructures in compartment <compartment-name> allow group <group-name> to inspect vmcluster-network in compartment <compartment-name> -
(Opção 1) Usar ou criar um ponto final privado do Oracle Data Safe: O grupo de usuários requer pelo menos a permissão
useem um ponto final privado do Oracle Data Safe e nos recursos de rede virtual subjacentes do ponto final privado para os compartimentos relevantes. Por exemplo, as seguintes instruções permitem que um grupo crie um ponto final privado:allow group <group-name> to manage data-safe-private-endpoints in compartment <compartment-name> allow group <group-name> to manage virtual-network-family in compartment <compartment-name>Se o grupo já tiver um ponto final privado do Oracle Data Safe e quiser reutilizá-lo, substitua
manageporusenas instruções acima. -
(Opção 2) Usar ou criar um conector local do Oracle Data Safe: Inclua permissão para usar ou criar um conector local do Oracle Data Safe, por exemplo:
allow group <group-name> to manage onprem-connectors in compartment <compartment-name>
Permissões para Registrar um Amazon RDS para o Oracle Database no Oracle Data Safe
Para registrar um Amazon RDS for Oracle Database no Oracle Data Safe, um grupo de usuários exige permissões no Oracle Cloud Infrastructure Identity and Access Management (IAM) para fazer o seguinte:
-
Registre um banco de dados de destino no Oracle Data Safe:
allow group <group-name> to manage target-databases in compartment <compartment-name> -
(Opção 1) Usar ou criar um ponto final privado do Oracle Data Safe: Se o seu banco de dados tiver um endereço IP privado, você poderá estabelecer conexão com ele usando um ponto final privado do Oracle Data Safe. O grupo de usuários requer pelo menos a permissão
useem um ponto final privado do Oracle Data Safe e nos recursos de rede virtual subjacentes do ponto final privado para os compartimentos relevantes. Por exemplo, as seguintes instruções permitem que um grupo crie um ponto final privado:allow group <group-name> to manage data-safe-private-endpoints in compartment <compartment-name> allow group <group-name> to manage virtual-network-family in compartment <compartment-name>Se o grupo já tiver um ponto final privado do Oracle Data Safe e quiser reutilizá-lo, substitua
manageporusenas instruções acima. -
(Opção 2) Usar ou criar um conector local do Oracle Data Safe: Se o seu banco de dados tiver um endereço IP privado, você poderá estabelecer conexão com ele usando um conector local do Oracle Data Safe. Inclua permissão para acessar ou criar um conector local, por exemplo:
allow group <group-name> to manage onprem-connectors in compartment <compartment-name>
Permissões para Registrar um Banco de Dados de Destino no Oracle Data Safe
Para registrar um banco de dados de destino no Oracle Data Safe, um grupo de usuários requer a permissão manage no recurso target-databases no Oracle Cloud Infrastructure Identity and Access Management (IAM).
Exemplo: Registrar um banco de dados de destino no Oracle Data Safe
allow group <group-name> to manage target-databases in compartment <compartment-name>Permissões de um Ponto Final Privado do Oracle Data Safe
Para usar ou criar um ponto final privado do Oracle Data Safe, um grupo de usuários requer permissões nos recursos data-safe-private-endpoints e virtual-network-family no Oracle Cloud Infrastructure Identity and Access Management (IAM).
Se o seu banco de dados de destino tiver um endereço IP privado, você poderá estabelecer conexão com ele usando um ponto final privado do Oracle Data Safe. O grupo de usuários requer pelo menos a permissão use em um ponto final privado do Oracle Data Safe e nos recursos de rede virtual subjacentes do ponto final privado para os compartimentos relevantes.
Exemplo: As seguintes instruções permitem que um grupo crie um ponto final privado
allow group <group-name> to manage data-safe-private-endpoints in compartment <compartment-name>
allow group <group-name> to manage virtual-network-family in compartment <compartment-name>Se o grupo já tiver um ponto final privado do Oracle Data Safe e quiser reutilizá-lo, substitua manage por use nas instruções acima.
Permissões para um Conector do Oracle Data Safe On-Premises
Para usar ou criar um conector local do Oracle Data Safe, um grupo de usuários requer permissões no recurso onprem-connectors no Oracle Cloud Infrastructure Identity and Access Management (IAM).
Se o seu banco de dados de destino tiver um endereço IP privado, você poderá estabelecer conexão com ele usando um conector local do Oracle Data Safe.
Exemplo: Incluir permissão para acessar ou criar um conector on-premises
allow group <group-name> to manage onprem-connectors in compartment <compartment-name>Permissão para Executar Avaliações e Exibir Dados de Auditoria e Alerta
Se um grupo de usuários precisar apenas executar avaliações e exibir dados de auditoria e alerta, você poderá criar uma política com as instruções a seguir. Com essa política, o grupo de usuários não pode alterar políticas de mascaramento, mascarar dados confidenciais, descobrir dados confidenciais ou registrar bancos de dados de destino.
allow group <user-group> to manage data-safe-assessment-family in compartment <compartment name>
Allow group <user-group> to read data-safe-report-definitions in compartment <compartment-name>
Allow group <user-group> to read data-safe-reports in compartment <compartment-name>
Allow group <user-group> to read data-safe-alerts in compartment <compartment-name>Permissões para Descobrir Dados Confidenciais
Um administrador da tenancy pode conceder permissões em recursos específicos do Data Discovery em compartimentos especificados no Oracle Cloud Infrastructure Identity and Access Management para permitir que um grupo de usuários execute determinadas tarefas.
Exemplo 1: Executar jobs de descoberta de dados (criar modelos de dados confidenciais)
allow group <user-group> to manage data-safe-sensitive-data-models in compartment <compartment-name>
allow group <group-name> to read target-databases in compartment <compartment-name>Exemplo 2: Execute jobs de descoberta de dados incrementais em bancos de dados de destino
allow group <user-group> to manage data-safe-discovery-jobs in compartment <compartment-name>
allow group <user-group> to read data-safe-sensitive-data-models in compartment <compartment-name>
allow group <user-group> to read data-safe-work-requests in compartment <compartment-name>Exemplo 3: Criar tipos confidenciais
allow group <user-group> to manage data-safe-sensitive-types in compartment <compartment-name>Exemplo 4: Executar todas as tarefas na Descoberta de Dados
allow group <user-group> to manage data-safe-discovery-family in compartment <compartment-name>Permissão para Mascarar Dados Confidenciais
Um administrador da tenancy pode conceder permissões em recursos específicos de Mascaramento de Dados em compartimentos especificados no Oracle Cloud Infrastructure Identity and Access Management para permitir que um grupo de usuários execute determinadas tarefas.
Exemplo 1: Mascarar dados confidenciais em bancos de dados de destino em um compartimento especificado usando uma política de mascaramento pré-criada
allow group <user-group> to manage data-safe-masking-policies in compartment <compartment-name>
allow group <user-group> to manage data-safe-masking-reports in compartment <compartment-name>
allow group <user-group> to read data-safe-work-requests in compartment <compartment-name>
allow group <user-group> to read target-databases in compartment <compartment-name>Exemplo 2: Criar e gerenciar políticas de mascaramento em um compartimento especificado
allow group <user-group> to manage data-safe-masking-policies in compartment <compartment-name>Exemplo 3: Criar e gerenciar formatos de mascaramento de biblioteca em um compartimento especificado
allow group <user-group> to manage data-safe-library-masking-formats in compartment <compartment-name>