8 权限模型
本章介绍 Oracle AI Data Platform 用于管理访问权限的权限模型。
关于权限
Oracle AI Data Platform Workbench 权限遵循相似的模型,适用于所有使用它们的对象。
您可以从其权限选项卡管理每个对象的权限。
AI Data Platform Workbench 具有两层安全性:使用 IAM 策略访问 OCI 资源以及对 Data Platform 对象的访问。用户必须先有权访问 OCI 资源,然后才能向他们授予对 AI Data Platform Workbench 对象的访问权限。AI Data Platform Workbench 用户需要有权导航到 OCI 控制台中的资源,需要具有列出区间和存储桶的 IAM 权限。要访问 AI 数据平台工作台实例,您至少需要 USE IAM 策略权限。即使您在 AI 数据平台工作台实例上具有 AI_DATA_PLATFORM_ADMIN 角色,也需要这些 IAM 策略。
AI 数据平台工作台中的权限遵循为父对象或空间授予对所含对象和空间的权限的层次结构。
创建工作区的权限
默认情况下,创建工作区的权限包含在 AI_DATA_PLATFORM_ADMIN 角色中。如果希望管理员以外的用户能够创建工作区,则需要向该用户提供 CREATE_WORKSPACE 权限。您可以从“工作区列表”屏幕将 CREATE_WORKSPACE 分配给用户。
工作空间权限
您可以为适用于其所有内容的工作区设置基于角色的操作控件。
工作区权限通过位于工作区主页顶部的“权限”选项卡进行管理。
可以向用户授予以下权限:
- USER:您可以在 root 中创建文件夹/文件,并对共享文件夹具有管理权限。
- PRIVILEGED_USER:您具有 USER 权限,还可以创建计算。
- ADMINISTRATOR:您对所有工作区对象具有 ADMIN 权限,可以更新或删除工作区和管理权限。
注意:
用户对工作区的权限还向用户授予对共享文件夹中所有对象的“管理”权限。无法删除、重命名或移动共享文件夹。可以向用户、组或角色授予权限。您可以从 AI Data Platform Workbench 用户列表中选择用户,也可以按 OCID 添加已用或角色。
创建工作区权限
您可以向用户、角色或组授予对工作区的访问权限。
- 在主页中,单击工作区。
- 在工作区旁边,单击
操作,然后单击权限。 - 单击
新建权限。 - 从下拉列表中选择权限级别和主体类型。
- 选择是按用户名还是按 OCID 添加用户。
- 对于用户名,单击搜索并输入用户名。从列表中选择用户。
- 对于 Enter OCID ,输入用户的 OCID。
- 单击创建。
工作区文件夹权限
您可以管理哪些用户、角色和组可以查看和修改工作区中的文件和文件夹。
- READ:用户可以读取/列出文件和文件夹。
- 使用:用户可以读取/写入文件夹和包含的文件,并运行允许的作业类型(.ipynb、.py、.sql、.scala 等)。
- MANAGE:用户具有读取和使用权限,可以重命名文件/文件夹和修改文件。
- ADMIN:用户可以创建、修改或删除其他用户权限。
| 操作 | READ | USE | 管理 | ADMIN |
|---|---|---|---|---|
| 列出 | 是 | 是 | 是 | 是 |
| 视图的对象 | 是 | 是 | 是 | 是 |
| 创建文件夹 | 无 | 是 | 是 | 是 |
| 创建文档 | 无 | 是 | 是 | 是 |
| 重命名文件夹 | 无 | 无 | 是 | 是 |
| 移动目录 | 无 | 无 | 是 | 是 |
| 删除目录 | 无 | 无 | 无 | 是 |
| 管理用户权限 | 无 | 无 | 无 | 是 |
默认情况下,对工作区中的文件夹授予的权限将级联到子对象,但您可以选择关闭级联。如果用户对文件夹具有 ADMIN 权限,则该用户将对所有子文件和文件夹具有 ADMIN 权限。当 ADMIN 授予对具有级联的文件夹的权限时,所有当前和将来的子资源具有相同的权限。当 ADMIN 在没有级联的情况下授予对文件夹的权限时,权限仅适用于当前对象。
File1.csv 授予 USE 对 USER2 的访问权限:
- WORKSPACE1
- F1
- F2
- File1.csv
- F3
- File2.csv
- F2
- F1
File1.csv 上对 USER2 授予 USE 权限。要使用户能够使用 File1.csv,ADMIN 还必须明确授予对文件夹 F1 和 F2 的 READ 权限,而无需级联。因此,用户看到以下文件夹结构:
- WORKSPACE1
- F1
- F2
- File1.csv
- F2
- F1
创建文件和文件夹权限
您可以为工作区中的文件和文件夹设置单个权限。
- 导航到要为其设置权限的文件或文件夹。
- 单击 操作,然后单击权限。
- 单击 创建权限。
- 从下拉菜单中选择权限级别、主体类型和用户。
- 单击保存。
计算集群权限
您可以控制哪些用户和角色有权查看、读取和管理员访问您的计算集群。
您可以从集群中的权限选项卡创建和管理用户权限。
作为管理员,您可以向至少具有用户工作区权限的任何主体授予权限。
| 操作 | 读取 | 使用 | 管理员 |
|---|---|---|---|
| 列出群集 | 是 | 是 | 是 |
| 将集群附加到记事本/作业 | 是 | 是 | 是 |
| 查看驱动程序日志,Spark UI | 是 | 是 | 是 |
| 查看集群度量 | 是 | 是 | 是 |
| 启动/重新启动集群 | 无 | 是 | 是 |
| 终止集群 | 无 | 是 | 是 |
| 编辑集群 | 无 | 无 | 是 |
| 将库附加/上载到集群 | 无 | 无 | 是 |
| 授予/撤消权限 | 无 | 无 | 是 |
创建集群权限
您可以控制哪些用户和角色可以查看和修改群集。
- 导航到工作区,然后单击计算。
- 单击集群,然后单击权限选项卡。
- 单击 新建权限。
- 从下拉列表中选择权限级别和用户类型。
- 选择是按用户名还是按 OCID 添加用户。
- 对于用户名,单击“搜索”并输入用户名。从列表中选择用户。
- 对于 Enter OCID ,输入用户的 OCID。
- 单击创建。
作业权限
作业权限控制哪些用户和角色有权访问您的作业。
您可以从职务的“权限”选项卡管理有权访问您的职务的用户和角色。
- 读取
- 使用
- 管理
- 管理员
每个权限级别都可以访问下面列出的不同操作集。
| 操作 | 读取 | 使用 | 管理 | 管理员 |
|---|---|---|---|---|
| 列出 | 是 | 是 | 是 | 是 |
| 查看详细信息 | 是 | 是 | 是 | 是 |
| 执行状态 | 是 | 是 | 是 | 是 |
| 附加/分离计算 | N | 是 | 是 | 是 |
| 运行 | N | 是 | 是 | 是 |
| 查看任务记录 | N | 是 | 是 | 是 |
| 重命名任务 | N | N | 是 | 是 |
| 编辑作业 | N | N | 是 | 是 |
| 终止工作流程 | N | N | 是 | 是 |
| 移动文件 | N | N | N | 是 |
| 删除作业 | N | N | N | 是 |
| 授予/撤消权限 | N | N | N | 是 |
创建作业权限
您可以创建权限来控制哪些用户和角色有权访问您的作业。
- 导航到要授予访问权限的作业。
- 单击权限。
- 单击 新建权限。
- 从下拉列表中选择权限级别和用户类型。
- 选择是按用户名还是按 OCID 添加用户。
- 对于用户名,单击“搜索”并输入用户名。从列表中选择用户。
- 对于 Enter OCID ,输入用户的 OCID。
- 单击创建。
记事本权限
记事本权限确定哪些用户、角色和组可以查看和修改您的记事本。
通过单击记事本右上角的操作并单击权限,可以查看记事本的权限。在权限页中,您可以查看、创建、修改或删除记事本的权限。您可以通过在搜索栏中输入用户来筛选显示的用户列表。
- 读取
- 使用
- 管理
- 管理员
每个权限级别都可以访问下面列出的不同操作集。
| 操作 | 读取 | 使用 | 管理 | 管理员 |
|---|---|---|---|---|
| 列出 | 是 | 是 | 是 | 是 |
| 查看详细信息 | 是 | 是 | 是 | 是 |
| 执行状态 | 是 | 是 | 是 | 是 |
| 附加/分离计算 | N | 是 | 是 | 是 |
| 运行工作流 | N | 是 | 是 | 是 |
| 查看记录 | N | 是 | 是 | 是 |
| 重命名笔记本 | N | N | 是 | 是 |
| 编辑记事簿 | N | N | 是 | 是 |
| 终止工作流程 | N | N | 是 | 是 |
| 移动文件 | N | N | N | 是 |
| 删除记事本 | N | N | N | 是 |
| 授予/撤消权限 | N | N | N | 是 |
主目录权限
主目录级别的权限决定了谁可以创建新的标准目录和外部目录,以及向其他人授予权限。
您可以从权限选项卡管理主目录的权限。
- CREATE_CATALOG:用户可以创建标准目录和外部目录。
- ADMIN:用户可以查看所有目录,创建、编辑或删除目录及其子对象,以及授予或撤消权限。
主目录权限继承
主目录的 ADMIN 权限授予主目录中所有子对象的 ADMIN 权限。具有 CREATE_CATALOG 权限的用户创建目录时,会自动为其授予新创建的目录及其所有子对象的 ADMIN 权限。
标准目录权限
您可以管理标准目录的权限,以确定哪些用户、角色和组可以查看和修改目录。
您可以从目录的权限选项卡设置标准目录的权限。通过在搜索栏中输入名称,可以筛选有权访问目录的用户和角色的列表。
在目录级别设置的权限会向下级联到目录的任何子级。在方案级别设置的权限将应用于方案的任何子对象。
- SELECT:用户可以读取/列出目录、方案和卷。用户可以对视图和表运行 SELECT 查询。
- MANAGE:用户在标准目录级别具有所有 Select 权限,可以更改方案、表和视图以及写入卷。用户还可以插入、更新和删除表中的数据。
- CREATE_SCHEMA:用户在标准目录级别具有所有“管理”权限,可以在目录中创建新方案。
- ADMIN :用户在标准目录级别具有所有 Create_Schema 权限,可以删除方案以及管理其他用户权限
| 操作 | SELECT | 管理 | CREATE_SCHEMA | ADMIN |
|---|---|---|---|---|
| 读/列表 | 是 | 是 | 是 | 是 |
| 运行查询 | 是 | 是 | 是 | 是 |
| 编辑方案/表/卷/视图 | 无 | 是 | 是 | 是 |
| 创建方案 | 无 | 无 | 是 | 是 |
| 删除方案 | 无 | 无 | 无 | 是 |
| 管理权限 | 无 | 无 | 无 | 是 |
主目录权限继承
- SELECT
- 管理
- CREATE_SCHEMA
- ADMIN
外部目录权限
您可以管理外部目录的权限,以确定哪些用户、角色和组可以查看和修改目录。
- 任何 IAM 用户主体或 IAM 组。按以下顺序加载用户:
- 所选域中至少打开了一次 AI 数据平台实例的所有用户
- 所选域中的所有剩余用户(按字母顺序排列)
- ADMIN 用户可以查看的角色。
外部目录权限授予以下操作:
| 操作 | 管理 | ADMIN |
|---|---|---|
|
读取/列出和执行 DML 操作 * DDL (即将提供) |
是 | 是 |
| 编辑目录名称 | 无 | 是 |
| 编辑目录属性(密码等) | 无 | 是 |
| 放置目录 | 无 | 是 |
| 管理权限 | 无 | 是 |
| * 外部目录权限仅限于用于连接到外部源的用户的权限。如果用于创建外部目录的外部源的用户具有只读权限,则外部目录的 MANAGE 权限也仅限于只读权限。 | ||
主目录权限继承
- 管理
- ADMIN
创建目录权限
您可以授予查看和修改目录、方案、表和卷的权限。
- 在主页中,单击主目录。
- 导航到要为其创建新权限的目录,然后单击权限选项卡。
- 单击 新建权限。
- 从下拉列表中选择权限级别和用户类型。
- 选择是按用户名还是按 OCID 添加用户。
- 对于用户名,单击“搜索”并输入用户名。从列表中选择用户。
- 对于 Enter OCID ,输入用户的 OCID。
- 单击创建。
模式权限
方案权限确定哪些用户、角色和组可以查看和修改您的方案及其子对象。
您可以从方案权限选项卡控制可以访问方案的用户和角色。
在方案级别设置的权限适用于方案的任何子对象。
- SELECT:用户可以读取/列出方案中的表、视图和卷。用户可以对视图和表运行 SELECT 查询。
- 写入:用户具有 Select 权限,可以更改表中的表或数据、写入卷和更改视图。
- CREATE_MODEL:用户可以在方案中创建模型。
- CREATE_TABLE:用户可以在方案中创建表。
- CREATE_VIEW:用户可以在方案中创建视图。
- CREATE_VOLUME :用户可以在方案中创建卷。
- ADMIN:用户具有“选择”、“写入”和所有“创建”权限,可以创建、修改或删除其他用户权限。
| 操作 | SELECT | 书面 | CREATE_MODEL | 创建 _ 表 | CREATE_VIEW | CREATE_VOLUME | ADMIN |
|---|---|---|---|---|---|---|---|
| 读/列表 | 是 | 是 | 是 | 是 | 是 | 是 | 是 |
| 运行查询/读取卷 | 是 | 是 | 是 | 是 | 是 | 是 | 是 |
| 编辑表/卷/视图 | 无 | 是 | 是 | 是 | 是 | 是 | 是 |
| 创建模型 | 无 | 无 | 是 | 无 | 无 | 无 | 是 |
| 创建表 | 无 | 无 | 无 | 是 | 无 | 无 | 是 |
| 创建视图 | 无 | 无 | 无 | 无 | 是 | 无 | 是 |
| 创建卷 | 无 | 无 | 无 | 无 | 无 | 是 | 是 |
| 删除方案 | 无 | 无 | 无 | 无 | 无 | 无 | 是 |
| 管理权限 | 无 | 无 | 无 | 无 | 无 | 无 | 是 |
模式权限继承
| 模式权限 | 目录级别权限 | ||
|---|---|---|---|
| SELECT | SELECT | 管理 | ADMIN |
| 书面 | X | ||
| CREATE_VIEW | X | X | |
| CREATE_VOLUME | X | X | |
| 创建 _ 表 | X | X | |
| ADMIN | X | X | |
创建方案权限
您可以控制哪些用户和角色有权访问您拥有的方案。
- 在主页中,单击主目录。
- 导航到您的方案,然后单击权限选项卡。
- 单击 新建权限。
- 从下拉列表中选择权限级别和用户类型。
- 选择是按用户名还是按 OCID 添加用户。
- 对于用户名,单击“搜索”并输入用户名。从列表中选择用户。
- 对于 Enter OCID ,输入用户的 OCID。
- 单击创建。
表权限
表权限决定哪些用户、角色和组可以查看和修改您的表。
- SELECT:用户可以读取/列出表。用户可以对表运行 SELECT 查询。
- INSERT:用户可以读取/列出表并写入表。
- 更新:用户可以读取/列出表,并且可以对表数据运行更新。
- 删除:用户可以读取/列出表,也可以从表中删除数据。
- ALTER:用户可以读取/列出表,也可以修改表名或说明。
- ADMIN:用户具有所有权限,可以创建、修改或删除其他用户权限。
| 操作 | SELECT | INSERT | UPDATE | DELETE | ALTER | ADMIN |
|---|---|---|---|---|---|---|
| 列表表格 | 是 | 是 | 是 | 是 | 是 | 是 |
| 读取表数据 | 是 | 无 | 无 | 无 | 无 | 是 |
| 将数据写入表中 | 无 | 是 | 无 | 无 | 无 | 是 |
| 更新表中的数据 | 无 | 无 | 是 | 无 | 无 | 是 |
| 从表中删除数据 | 无 | 无 | 无 | 是 | 无 | 是 |
| 更改表元数据 | 无 | 无 | 无 | 无 | 是 | 是 |
| 删除表 | 无 | 无 | 无 | 无 | 无 | 是 |
| 管理用户权限 | 无 | 无 | 无 | 无 | 无 | 是 |
表权限继承
| 表权限 | 模式级别权限 | ||
|---|---|---|---|
| SELECT | SELECT | 管理 | ADMIN |
| INSERT | X | ||
| UPDATE | X | ||
| DELETE | X | ||
| ALTER | X | ||
| ADMIN | X | X | |
创建表权限
您可以控制哪些用户和角色有权访问您拥有的表。
- 在主页中,单击主目录。
- 导航到您的表,然后单击权限选项卡。
- 单击 新建权限。
- 从下拉列表中选择权限级别和用户类型。
- 选择是按用户名还是按 OCID 添加用户。
- 对于用户名,单击“搜索”并输入用户名。从列表中选择用户。
- 对于 Enter OCID ,输入用户的 OCID。
- 单击创建。
卷权限
卷权限确定哪些用户、角色和组可以查看和修改卷。
- READ:用户可以列出文件夹/文件以及从卷读取文件。
- 写入:用户可以列出文件夹/文件、读取文件、创建文件夹和文件以及写入卷中的文件。
- ADMIN:用户将对卷具有 READ/WRITE 权限,可以删除/创建卷,还可以授予/撤消对卷的权限。
| 操作 | READ | 书面 | ADMIN |
|---|---|---|---|
| 列出卷 | 是 | 是 | 是 |
| 读取卷数据 | 是 | 是 | 是 |
| 将数据写入卷 | 无 | 是 | 是 |
| 从卷中删除数据 | 无 | 是 | 是 |
| 创建文件夹 | 无 | 是 | 是 |
| 删除卷 | 无 | 无 | 是 |
| 创建卷 | 无 | 无 | 是 |
| 管理用户权限 | 无 | 无 | 是 |