10 角色
本章介绍如何使用 Oracle AI Data Platform Workbench 基于角色的访问控制 (role-based access control,RBAC) 来管理用户角色和访问权限。
关于角色
Oracle AI Data Platform Workbench 允许您使用基于角色的访问控制 (Role Based Access Control,RBAC) 管理用户和权限。
您可以通过角色界面管理 RBAC,在其中可以创建新角色、修改现有角色或删除未使用的角色。预配角色后,可以按单个用户、组或其他角色分配成员。您可以查看和修改已创建的任何角色的已分配成员。您可以从“权限”选项卡中检查分配给角色的权限。
- AI_DATA_PLATFORM_ADMIN 会自动分配给创建数据平台的用户。此用户对所有数据平台对象具有管理员权限,可以向其他用户、组或 AI 数据平台工作台角色授予或撤消权限。要创建 Oracle AI Data Platform Workbench 实例,您需要 MANAGE AI Data Platform IAM 权限。
- AUDITOR 用户可以在 AI 数据平台工作台中查看对象的整个审计跟踪。在创建 AI 数据平台工作台实例时,AI_DATA_PLATFORM_ADMIN 会自动成为 AUDITOR 角色的成员。添加到 AI_DATA_PLATFORM_ADMIN 角色的任何用户也会添加到 AUDITOR 角色。
注意:
AI 数据平台工作台实例只能具有一个 AI_DATA_PLATFORM_ADMIN 系统角色。如果 AI_DATA_PLATFORM_ADMIN 角色需要传递给其他用户,则具有 MANAGE AI Data Platform IAM 权限的用户可以通过登录到 OCI 并查看 AI Data Platform Workbench 实例的详细信息,将其重新分配给其他用户。RBAC 权限向下传递到包含的对象。在主目录级别授予的权限会向下级联到所有包含的对象。
将 Active Directory 组映射到 IAM 组
要将 Active Directory (AD) 组映射到 Oracle Cloud Infrastructure (OCI) Identity and Access Management (IAM) 组,需要在 AD 和 OCI 租户之间建立联盟。
要将 AD 组映射到 IAM 组,请参见 Federating with Microsoft Active Directory 。
此过程涉及在 OCI 中的 AD 组与对应 IAM 组之间创建映射,从而允许 AD 组中的用户以适当权限访问 OCI 资源。联合后,您的 AD 组在 OCI 中可见,您可以按照在控制台中管理身份提供者下的为身份提供者添加组映射中的步骤添加组映射。
添加组映射后,可以在 AI 数据平台中为 IAM 组分配权限。
将成员分配给角色
您可以将用户、组或其他角色分配给您创建的角色。
- 导航到角色,然后单击要向其添加成员的角色。
- 单击成员,然后单击
添加成员。 - 从“原则类型”中,选择用户、组或角色。
- 对于用户,可以按名称搜索单个用户,也可以提供该用户的 OCID。
- 要按名称分配用户,请选择区间和域,然后从列表中选择该用户。在搜索栏中输入用户名以缩小结果范围。
- 要按 OCID 分配用户,请在提供的字段中输入其 OCID。
- 对于组,可以搜索组名称或提供组的 OCID。
- 要按名称分配组,请选择区间和域,然后从列表中选择该组。在搜索栏中输入组名称以缩小结果范围。
- 要按 OCID 分配组,请在提供的字段中输入其 OCID。
- 对于角色,您可以从提供的列表中选择角色。
- 对于用户,可以按名称搜索单个用户,也可以提供该用户的 OCID。
- 单击创建。