Criar Políticas do IAM para Usuários do Serviço Oracle Data Safe

Um administrador de tenancy pode criar políticas no Oracle Cloud Infrastructure Identity and Access Management (IAM) que concedam aos usuários acesso a recursos do Oracle Data Safe.

Para obter mais informações sobre os recursos e suas permissões, consulte Recursos do OCI para o Oracle Data Safe.

Etapas Gerais para Criar uma Política do Serviço IAM para o Oracle Data Safe

Siga estas etapas gerais para criar uma política do serviço IAM que conceda permissões a um grupo de usuários nos recursos do Oracle Data Safe.

  1. Como administrador da tenancy, no menu de navegação do Oracle Cloud Infrastructure, selecione Identidade e Segurança e, em seguida, selecione Políticas.

    A página Políticas é aberta no Oracle Cloud Infrastructure Identity and Access Management (IAM).

  2. Ao lado de Filtros aplicados, selecione o compartimento no qual você deseja armazenar a política. Você pode selecionar o compartimento root, se necessário. Uma política se aplica ao compartimento no qual ela está definida e a todos os seus subcompartimentos.

  3. Selecione Criar Política.

    A página Criar Política é aberta.

  4. Informe um nome para a sua política. Nenhum espaço é permitido. Somente letras, algarismos, hifens, pontos e sublinhados são permitidos.

  5. Informe uma breve descrição para sua apólice.

  6. Selecione outro compartimento, se necessário.

  7. Na seção Criador de Políticas, selecione Mostrar editor manual.

    Uma caixa é exibida na qual você pode inserir instruções de política.

  8. Informe uma ou mais instruções de política usando a sintaxe a seguir.

    Allow group <group-name> to <verb> <resource-type> in compartment <compartment-name>

    Para <group-name>, informe o nome do grupo do IAM ao qual a política se aplica.

    Para o <verb>, você pode usar inspect, read, use ou manage.

    Para <resource-type>, informe um recurso usado pelo Oracle Data Safe. Para obter uma lista de recursos, consulte Recursos do OCI para o Oracle Data Safe.

    Para <compartment>, informe o nome do compartimento que contém os recursos aos quais você deseja conceder permissões.

    Para especificar subcompartimentos em uma instrução de política, use a sintaxe a seguir, em que <parent-compartment> é o compartimento no compartimento root e <child-compartment> é o compartimento no <parent-compartment>. Você pode adicionar quantos compartimentos secundários forem necessários separados por dois-pontos.

    allow group <group-name> to <verb> <resource-type> in compartment <parent-compartment>:<child-compartment>
  9. Para adicionar tags, selecione Adicionar Tag e configure tags.

  10. Selecione Criar.

Criar um Grupo de Administradores do Oracle Data Safe

Um administrador de tenancy pode criar um grupo de administradores do Oracle Data Safe no Oracle Cloud Infrastructure Identity and Access Management (IAM). A finalidade desse grupo é supervisionar e gerenciar os recursos do Oracle Data Safe em uma região.

  1. Como administrador da tenancy, acesse o IAM no Oracle Cloud Infrastructure.

  2. Crie um grupo para administradores do Oracle Data Safe e usuários apropriados ao grupo.

  3. Crie uma política para o grupo do administrador do Oracle Data Safe que permita ao grupo manage o recurso data-safe-family. Os exemplos a seguir mostram diferentes maneiras de fazer isso.

    • Opção 1: Permitir que o grupo Data-Safe-Admins gerencie recursos do Oracle Data Safe em toda a tenancy.

      Allow group Data-Safe-Admins to manage data-safe-family in tenancy
    • Opção 2: Permitir que o grupo Data-Safe-Admins gerencie todos os tipos de recursos do Oracle Cloud Infrastructure na tenancy (incluindo recursos do Oracle Data Safe).

      Allow group Data-Safe-Admins to manage all-resources in tenancy
    • Opção 3: Permitir que um grupo Data-Safe-Admins gerencie todos os tipos de recursos do Oracle Data Safe na região us-phoenix-1 de uma tenancy.

      Allow group Data-Safe-Admins to manage data-safe-family in tenancy where request.region='phx'

Permissão para Acessar todos os Recursos de um Recurso do Oracle Data Safe

Você pode usar um recurso da família Oracle Data Safe para conceder rapidamente a um grupo de usuários permissão em todos os recursos para um recurso específico do Oracle Data Safe. Por exemplo, para conceder a um grupo de usuários permissão para executar todas as tarefas no Mascaramento de Dados, conceda ao grupo de usuários a permissão manage no recurso data-safe-masking-family. Os recursos da família que pertencem a recursos específicos incluem data-safe-assessment-family (para Avaliação de Segurança e Avaliação do Usuário), data-safe-discovery-family (para Descoberta de Dados), data-safe-masking-family (para Mascaramento de Dados), data-safe-alert-family (para Alertas), data-safe-audit-family (para Auditoria de Atividades) e data-safe-family (para todos os recursos).

Para conceder a um grupo de usuários permissão para acessar um recurso do Oracle Data Safe, crie uma política no Oracle Cloud Infrastructure Identity and Access Management (IAM) que permita ao grupo usar os recursos list, read, use ou manage para o recurso.

Veja dois exemplos:

  • Exemplo 1: Para permitir que um grupo liste e exiba detalhes de todos os recursos de uma família específica do Oracle Data Safe em um compartimento específico, grave a instrução de política da seguinte maneira:

    allow group <group-name> to read <data-safe-family-name> in compartment <compartment-name>
  • Exemplo 2: Para permitir que um grupo execute toda e qualquer tarefa relacionada a um recurso do Oracle Data Safe em um compartimento específico, grave a instrução de política da seguinte maneira:

    allow group <group-name> to manage <data-safe-family-name> in compartment <compartment-name>

Permissão para Acessar um Recurso Específico

Cada recurso da família do Oracle Data Safe consiste em vários recursos que pertencem a esse recurso. Na maioria dos casos, você pode conceder a um grupo de usuários a permissão inspect, read, use ou manage em qualquer um desses recursos específicos, em vez de conceder ao grupo acesso a todos os recursos da família.

  • A permissão inspect permite que um grupo de usuários exiba a lista de objetos de recurso. Por exemplo, se um grupo tiver a permissão inspect no recurso data-safe-audit-policies, esse grupo poderá exibir a lista de políticas de auditoria no Centro de Segurança. No entanto, eles não podem selecionar uma política de auditoria e exibir seus detalhes.

  • A permissão read permite que um grupo de usuários exiba a lista de objetos de recurso e exiba suas propriedades. Usando nosso exemplo anterior, o grupo de usuários pode selecionar uma política de auditoria e exibir seus detalhes.

  • A permissão use inclui a permissão read mais a capacidade de trabalhar com recursos existentes (as ações variam de acordo com o tipo de recurso). Inclui a capacidade de atualizar o recurso, exceto para tipos de recurso em que a operação da atualização tem o mesmo impacto efetivo que a operação da criação; nesse caso, a capacidade da atualização só está disponível com o verbo do manage, Em geral, esse verbo não inclui a capacidade de criar ou excluir esse tipo de recurso.

  • A permissão manage geralmente concede ao grupo de usuários permissão completa no recurso (listar, exibir, atualizar, criar, excluir e mover). Usando nosso exemplo anterior, se o grupo tiver a permissão manage, ele poderá listar e exibir detalhes de políticas de auditoria, bem como atualizá-las, criá-las, excluí-las e movê-las.

Lembre-se de que todas as quatro permissões (inspecionar, ler, usar e gerenciar) podem não estar disponíveis para todos os recursos. E, às vezes, a permissão manage concede apenas um subconjunto de operações (por exemplo: listar, ler, atualizar, criar, excluir e/ou mover). Portanto, é melhor se referir ao recurso em si para entender o que é possível.

Veja três exemplos a seguir:

  • Exemplo 1: Crie uma política para um grupo de usuários que permita ao grupo listar objetos de recursos no Centro de Segurança. Por exemplo, a instrução de política a seguir permite que um grupo de usuários chamado IT-Security exiba a lista de perfis de auditoria no compartimento chamado Info-Tech.

    allow group IT-Security to inspect data-safe-audit-profiles in compartment Info-Tech
  • Exemplo 2: Crie uma política para um grupo de usuários que permita ao grupo listar e exibir propriedades de um recurso. Por exemplo, a instrução de política a seguir permite que um grupo de usuários chamado IT-Security liste e exiba propriedades para perfis de auditoria no compartimento chamado Info-Tech.

    allow group IT-Security to read data-safe-audit-profiles in compartment Info-Tech
  • Exemplo 3: Crie uma política para um grupo de usuários que permita ao grupo gerenciar um recurso. Por exemplo, a instrução de política a seguir permite que um grupo de usuários chamado IT-Security gerencie perfis de auditoria no compartimento chamado Info-Tech.

    allow group IT-Security to manage data-safe-audit-profiles in compartment Info-Tech

Permissões para Registrar um Autonomous AI Database no Oracle Data Safe

Para registrar um Autonomous AI Database no Oracle Data Safe, um grupo de usuários requer permissões no Oracle Cloud Infrastructure Identity and Access Management (IAM) para fazer o seguinte:

  • Acessar o Autonomous AI Database: O grupo de usuários requer pelo menos a permissão use no recurso autonomous-database no Oracle Cloud Infrastructure, por exemplo:

    allow group <group-name> to use autonomous-database in compartment <compartment-name>
  • Registrar um banco de dados de destino no Oracle Data Safe: O grupo de usuários requer a permissão manage no recurso target-databases, por exemplo:

    allow group <group-name> to manage target-databases in compartment <compartment-name>
  • Para um Autonomous AI Database que tenha um endereço IP privado: O grupo de usuários requer pelo menos a permissão use em um ponto final privado do Oracle Data Safe e nos recursos de rede virtual subjacentes do ponto final privado para os compartimentos relevantes. Por exemplo, as seguintes instruções permitem que um grupo crie um ponto final privado:

    allow group <group-name> to manage data-safe-private-endpoints in compartment <compartment-name>
    allow group <group-name> to manage virtual-network-family in compartment <compartment-name>

    Se o grupo já tiver um ponto final privado do Oracle Data Safe e quiser reutilizá-lo, substitua manage por use nas instruções acima.

Permissões para Registrar um Banco de Dados do Oracle Cloud no Oracle Data Safe

Para registrar um Oracle Cloud Database no Oracle Data Safe, um grupo de usuários exige permissões no Oracle Cloud Infrastructure Identity and Access Management (IAM) para fazer o seguinte:

  • Acesse o Oracle Cloud Database:

    allow group <group-name> to manage database-family in compartment <compartment-name>
    allow group <group-name> to inspect vnics in tenancy
  • (Somente Exadata Cloud Service) Inspecionar clusters de máquina virtual na nuvem na tenancy:

    allow group <group-name> to inspect cloud-vmclusters in tenancy
  • Registre um banco de dados de destino no Oracle Data Safe:

    allow group <group-name> to manage target-databases in compartment <compartment-name>
  • Usar ou criar um ponto final privado do Oracle Data Safe: O grupo de usuários requer pelo menos a permissão use em um ponto final privado do Oracle Data Safe e nos recursos de rede virtual subjacentes do ponto final privado para os compartimentos relevantes. Por exemplo, as seguintes instruções permitem que um grupo crie um ponto final privado:

    allow group <group-name> to manage data-safe-private-endpoints in compartment <compartment-name>
    allow group <group-name> to manage virtual-network-family in compartment <compartment-name>

    Se o grupo já tiver um ponto final privado do Oracle Data Safe e quiser reutilizá-lo, substitua manage por use nas instruções acima.

Permissões para Registrar um Oracle Database Local no Oracle Data Safe

Para registrar um Oracle Database On-premises no Oracle Data Safe, um grupo de usuários exige permissões no Oracle Cloud Infrastructure Identity and Access Management (IAM) para fazer o seguinte:

  • Registre um banco de dados de destino no Oracle Data Safe:

    allow group <group-name> to manage target-databases in compartment <compartment-name>
  • (Opção 1) Usar ou criar um ponto final privado do Oracle Data Safe: Se o seu banco de dados de destino tiver um endereço IP privado, você poderá estabelecer conexão com ele usando um ponto final privado do Oracle Data Safe. O grupo de usuários requer pelo menos a permissão use em um ponto final privado do Oracle Data Safe e nos recursos de rede virtual subjacentes do ponto final privado para os compartimentos relevantes. Por exemplo, as seguintes instruções permitem que um grupo crie um ponto final privado:

    allow group <group-name> to manage data-safe-private-endpoints in compartment <compartment-name>
    allow group <group-name> to manage virtual-network-family in compartment <compartment-name>

    Se o grupo já tiver um ponto final privado do Oracle Data Safe e quiser reutilizá-lo, substitua manage por use nas instruções acima.

  • (Opção 2) Usar ou criar um conector local do Oracle Data Safe: Se o seu banco de dados de destino tiver um endereço IP privado, você poderá estabelecer conexão com ele usando um conector local do Oracle Data Safe. Inclua permissão para acessar ou criar um conector local, por exemplo:

    allow group <group-name> to manage onprem-connectors in compartment <compartment-name>

Permissões para Registrar um Oracle Database em uma Instância do Serviço Compute no Oracle Data Safe

Para registrar um Oracle Database em uma instância de computação no Oracle Cloud Infrastructure com o Oracle Data Safe, um grupo de usuários requer permissões no Oracle Cloud Infrastructure Identity and Access Management (IAM) para fazer o seguinte:

  • Registre um banco de dados de destino no Oracle Data Safe:

    allow group <group-name> to manage target-databases in compartment <compartment-name>
  • Acesse informações sobre a instância de computação do banco de dados de destino:

    Allow group <group-name> to read instance-family in compartment <compartment-name>
  • (Opção 1) Usar ou criar um ponto final privado do Oracle Data Safe: O grupo de usuários requer pelo menos a permissão use em um ponto final privado do Oracle Data Safe e nos recursos de rede virtual subjacentes do ponto final privado para os compartimentos relevantes. Por exemplo, as seguintes instruções permitem que um grupo crie um ponto final privado:

    allow group <group-name> to manage data-safe-private-endpoints in compartment <compartment-name>
    allow group <group-name> to manage virtual-network-family in compartment <compartment-name>

    Se o grupo já tiver um ponto final privado do Oracle Data Safe e quiser reutilizá-lo, substitua manage por use nas instruções acima.

  • (Opção 2) Usar ou criar um conector local do Oracle Data Safe: Inclua permissão para usar ou criar um conector local do Oracle Data Safe, por exemplo:

    allow group <group-name> to manage onprem-connectors in compartment <compartment-name>

Permissões para Registrar um Banco de Dados Oracle Cloud@Customer no Oracle Data Safe

Para registrar um banco de dados Oracle Cloud@Customer (Oracle Exadata Database Service on Cloud@Customer ou Oracle Autonomous AI Database on Exadata Cloud@Customer) no Oracle Data Safe, um grupo de usuários requer permissões no Oracle Cloud Infrastructure Identity and Access Management (IAM) para fazer o seguinte:

  • Registre um banco de dados de destino no Oracle Data Safe:

    allow group <group-name> to manage target-databases in compartment <compartment-name>
  • (Oracle Exadata Database Service on Cloud@Customer) Registre ou atualize o banco de dados de destino:

    allow group <group-name> to inspect exadata-infrastructures in compartment <compartment-name>
    allow group <group-name> to inspect vmcluster-network in compartment <compartment-name>
  • (Oracle Autonomous AI Database on Exadata Cloud@Customer) Registre ou atualize o banco de dados de destino:

    allow group <group-name> to read autonomous-databases in compartment <compartment-name>
    allow group <group-name> to inspect autonomous-container-databases in compartment <compartment-name>
    allow group <group-name> to inspect autonomous-vmclusters in compartment <compartment-name>
    allow group <group-name> to inspect exadata-infrastructures in compartment <compartment-name>
    allow group <group-name> to inspect vmcluster-network in compartment <compartment-name>
  • (Opção 1) Usar ou criar um ponto final privado do Oracle Data Safe: O grupo de usuários requer pelo menos a permissão use em um ponto final privado do Oracle Data Safe e nos recursos de rede virtual subjacentes do ponto final privado para os compartimentos relevantes. Por exemplo, as seguintes instruções permitem que um grupo crie um ponto final privado:

    allow group <group-name> to manage data-safe-private-endpoints in compartment <compartment-name>
    allow group <group-name> to manage virtual-network-family in compartment <compartment-name>

    Se o grupo já tiver um ponto final privado do Oracle Data Safe e quiser reutilizá-lo, substitua manage por use nas instruções acima.

  • (Opção 2) Usar ou criar um conector local do Oracle Data Safe: Inclua permissão para usar ou criar um conector local do Oracle Data Safe, por exemplo:

    allow group <group-name> to manage onprem-connectors in compartment <compartment-name>

Permissões para Registrar um Amazon RDS para o Oracle Database no Oracle Data Safe

Para registrar um Amazon RDS for Oracle Database no Oracle Data Safe, um grupo de usuários exige permissões no Oracle Cloud Infrastructure Identity and Access Management (IAM) para fazer o seguinte:

  • Registre um banco de dados de destino no Oracle Data Safe:

    allow group <group-name> to manage target-databases in compartment <compartment-name>
  • (Opção 1) Usar ou criar um ponto final privado do Oracle Data Safe: Se o seu banco de dados tiver um endereço IP privado, você poderá estabelecer conexão com ele usando um ponto final privado do Oracle Data Safe. O grupo de usuários requer pelo menos a permissão use em um ponto final privado do Oracle Data Safe e nos recursos de rede virtual subjacentes do ponto final privado para os compartimentos relevantes. Por exemplo, as seguintes instruções permitem que um grupo crie um ponto final privado:

    allow group <group-name> to manage data-safe-private-endpoints in compartment <compartment-name>
    allow group <group-name> to manage virtual-network-family in compartment <compartment-name>

    Se o grupo já tiver um ponto final privado do Oracle Data Safe e quiser reutilizá-lo, substitua manage por use nas instruções acima.

  • (Opção 2) Usar ou criar um conector local do Oracle Data Safe: Se o seu banco de dados tiver um endereço IP privado, você poderá estabelecer conexão com ele usando um conector local do Oracle Data Safe. Inclua permissão para acessar ou criar um conector local, por exemplo:

    allow group <group-name> to manage onprem-connectors in compartment <compartment-name>

Permissões para Registrar um Banco de Dados de Destino no Oracle Data Safe

Para registrar um banco de dados de destino no Oracle Data Safe, um grupo de usuários requer a permissão manage no recurso target-databases no Oracle Cloud Infrastructure Identity and Access Management (IAM).

Exemplo: Registrar um banco de dados de destino no Oracle Data Safe

allow group <group-name> to manage target-databases in compartment <compartment-name>

Permissões de um Ponto Final Privado do Oracle Data Safe

Para usar ou criar um ponto final privado do Oracle Data Safe, um grupo de usuários requer permissões nos recursos data-safe-private-endpoints e virtual-network-family no Oracle Cloud Infrastructure Identity and Access Management (IAM).

Se o seu banco de dados de destino tiver um endereço IP privado, você poderá estabelecer conexão com ele usando um ponto final privado do Oracle Data Safe. O grupo de usuários requer pelo menos a permissão use em um ponto final privado do Oracle Data Safe e nos recursos de rede virtual subjacentes do ponto final privado para os compartimentos relevantes.

Exemplo: As seguintes instruções permitem que um grupo crie um ponto final privado

allow group <group-name> to manage data-safe-private-endpoints in compartment <compartment-name>
allow group <group-name> to manage virtual-network-family in compartment <compartment-name>

Se o grupo já tiver um ponto final privado do Oracle Data Safe e quiser reutilizá-lo, substitua manage por use nas instruções acima.

Permissões para um Conector do Oracle Data Safe On-Premises

Para usar ou criar um conector local do Oracle Data Safe, um grupo de usuários requer permissões no recurso onprem-connectors no Oracle Cloud Infrastructure Identity and Access Management (IAM).

Se o seu banco de dados de destino tiver um endereço IP privado, você poderá estabelecer conexão com ele usando um conector local do Oracle Data Safe.

Exemplo: Incluir permissão para acessar ou criar um conector on-premises

allow group <group-name> to manage onprem-connectors in compartment <compartment-name>

Permissão para Executar Avaliações e Exibir Dados de Auditoria e Alerta

Se um grupo de usuários precisar apenas executar avaliações e exibir dados de auditoria e alerta, você poderá criar uma política com as instruções a seguir. Com essa política, o grupo de usuários não pode alterar políticas de mascaramento, mascarar dados confidenciais, descobrir dados confidenciais ou registrar bancos de dados de destino.

allow group <user-group> to manage data-safe-assessment-family in compartment <compartment name>
Allow group <user-group> to read data-safe-report-definitions in compartment <compartment-name>
Allow group <user-group> to read data-safe-reports in compartment <compartment-name>
Allow group <user-group> to read data-safe-alerts in compartment <compartment-name>

Permissões para Descobrir Dados Confidenciais

Um administrador da tenancy pode conceder permissões em recursos específicos do Data Discovery em compartimentos especificados no Oracle Cloud Infrastructure Identity and Access Management para permitir que um grupo de usuários execute determinadas tarefas.

Exemplo 1: Executar jobs de descoberta de dados (criar modelos de dados confidenciais)

allow group <user-group> to manage data-safe-sensitive-data-models in compartment <compartment-name>
allow group <group-name> to read target-databases in compartment <compartment-name>

Exemplo 2: Execute jobs de descoberta de dados incrementais em bancos de dados de destino

allow group <user-group> to manage data-safe-discovery-jobs in compartment <compartment-name>
allow group <user-group> to read data-safe-sensitive-data-models in compartment <compartment-name>
allow group <user-group> to read data-safe-work-requests in compartment <compartment-name>

Exemplo 3: Criar tipos confidenciais

allow group <user-group> to manage data-safe-sensitive-types in compartment <compartment-name>

Exemplo 4: Executar todas as tarefas na Descoberta de Dados

allow group <user-group> to manage data-safe-discovery-family in compartment <compartment-name>

Permissão para Mascarar Dados Confidenciais

Um administrador da tenancy pode conceder permissões em recursos específicos de Mascaramento de Dados em compartimentos especificados no Oracle Cloud Infrastructure Identity and Access Management para permitir que um grupo de usuários execute determinadas tarefas.

Exemplo 1: Mascarar dados confidenciais em bancos de dados de destino em um compartimento especificado usando uma política de mascaramento pré-criada

allow group <user-group> to manage data-safe-masking-policies in compartment <compartment-name>
allow group <user-group> to manage data-safe-masking-reports in compartment <compartment-name>
allow group <user-group> to read data-safe-work-requests in compartment <compartment-name>
allow group <user-group> to read target-databases in compartment <compartment-name>

Exemplo 2: Criar e gerenciar políticas de mascaramento em um compartimento especificado

allow group <user-group> to manage data-safe-masking-policies in compartment <compartment-name>

Exemplo 3: Criar e gerenciar formatos de mascaramento de biblioteca em um compartimento especificado

allow group <user-group> to manage data-safe-library-masking-formats in compartment <compartment-name>