Oracle AI Data Platform Workbench 的 IAM 政策

Oracle AI Data Platform Workbench 是在 OCI 中管理，需要提供的 IAM 原則。

若要建立新的 AI 資料平台工作台執行處理，使用者至少必須啟用 IAM 原則中的 MANAGE：

allow group <aidpAdminIdentityDomain>/<aidpAdminGroup> to manage ai-data-platforms in compartment id <aidpCompartmentId>

Oracle AI Data Platform Workbench 可讓使用者使用兩個不同的原則組合，其中一個原則可以選擇設定執行處理。

選項 1：租用戶層級原則 (廣域範圍)

您可以使用此選項，在租用戶 (根) 層次定義原則，讓您的 Oracle AI Data Platform Workbench 能夠廣泛地存取區間。

• 盡可能減少每次新增工作負載、資料來源或區間時，都需要編寫新的 IAM 原則。
• 最簡單的入職體驗；初始設定後需要最少的變更。
• 使用者的權限範圍更廣。
• 可能無法滿足受規範環境中的最低權限需求。

1. 允許 Oracle AI Data Platform Workbench 服務檢視 OCI IAM 資源，以設定以角色為基礎的 AI Data Platform 管理資源存取控制：

   allow any-user TO {AUTHENTICATION_INSPECT, DOMAIN_INSPECT, DOMAIN_READ, DYNAMIC_GROUP_INSPECT, GROUP_INSPECT, GROUP_MEMBERSHIP_INSPECT, USER_INSPECT, USER_READ} IN TENANCY where all {request.principal.type='aidataplatform'}

2. 允許 Oracle AI Data Platform Workbench 服務建立 OCI 日誌群組，並提供日誌給使用者：

   allow any-user to manage log-groups in compartment id <aidpCompartmentId> where ALL { request.principal.type='aidataplatform' }
   allow any-user to read log-content in compartment id <aidpCompartmentId> where ALL { request.principal.type='aidataplatform' }

3. 允許 Oracle AI Data Platform Workbench 服務為使用者提供指標：

   allow any-user to use metrics in compartment id <aidpCompartmentId> where ALL {request.principal.type='aidataplatform', target.metrics.namespace='oracle_aidataplatform'}

4. 允許 Oracle AI Data Platform Workbench 服務建立及管理主要目錄中工作區和受管理資料的 OCI 物件存放區儲存桶：

   allow any-user to manage buckets in tenancy where all { request.principal.type='aidataplatform', any {request.permission = 'BUCKET_CREATE', request.permission = 'BUCKET_INSPECT', request.permission = 'BUCKET_READ', request.permission = 'BUCKET_UPDATE'}}

5. 允許 Oracle AI Data Platform Workbench 服務針對每個 AI Data Platform Workbench 執行處理層次，以限制存取的工作區和主要目錄來管理 / 管理資料：

   allow any-user to {TAG_NAMESPACE_USE} in tenancy where all {request.principal.type = 'aidataplatform'}
   allow any-user to manage buckets in tenancy where all { request.principal.id=target.resource.tag.orcl-aidp.governingAidpId, any {request.permission = 'BUCKET_DELETE', request.permission = 'PAR_MANAGE', request.permission = 'RETENTION_RULE_LOCK', request.permission = 'RETENTION_RULE_MANAGE'} }
   allow any-user to read objectstorage-namespaces in tenancy where all { request.principal.type='aidataplatform', any {request.permission = 'OBJECTSTORAGE_NAMESPACE_READ'}}
   allow any-user to manage objects in tenancy where all { request.principal.id=target.bucket.system-tag.orcl-aidp.governingAidpId  }

6. 允許 Oracle AI Data Platform Workbench 服務設定運算叢集存取專用網路中的資料 (選擇性)：

   allow any-user to manage vnics in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform'}
   allow any-user to use subnets in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform'}
   allow any-user to use network-security-groups in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform'}

7. 可讓物件儲存服務自動將生命週期動作 (例如永久刪除或存檔) 套用至您的 Oracle AI Data Platform Workbench 工作區資料，減少手動維護工作，並且支援遵守資料保留最佳做法 (選擇性)：

   allow service objectstorage-<<region_identifier>> to manage object-family in compartment id <<aidp-compartment-ocid>>

選項 2：區間層級原則 (微點範圍)

使用此選項時，您的原則是在區間層級定義，也就是建立 AI 資料平台執行處理的區間。

• 提供更嚴格的安全界限；預設會限制 AI 資料平台工作台存取單一區間。
• 當工作流程需要跨其他區間時，您可以以增量方式新增區間原則。
• 需要您在需要 AI Data Platform Workbench 存取其他區間時，進行手動 IAM 更新。
• 擴充時需要更多的作業負荷。

1. 允許 Oracle AI Data Platform Workbench 服務檢視 OCI IAM 資源，以設定以角色為基礎的 AI Data Platform 管理資源存取控制：

   allow any-user TO {AUTHENTICATION_INSPECT, DOMAIN_INSPECT, DOMAIN_READ, DYNAMIC_GROUP_INSPECT, GROUP_INSPECT, GROUP_MEMBERSHIP_INSPECT, USER_INSPECT, USER_READ} IN TENANCY where all {request.principal.type='aidataplatform'}

2. 允許 Oracle AI Data Platform Workbench 服務建立 OCI 日誌群組，並提供日誌給使用者：

   allow any-user to manage log-groups in compartment id <aidpCompartmentId> where ALL { request.principal.type='aidataplatform' }
   allow any-user to read log-content in compartment id <aidpCompartmentId> where ALL { request.principal.type='aidataplatform' }

3. 允許 Oracle AI Data Platform Workbench 服務為使用者提供指標：

   allow any-user to use metrics in compartment id <aidpCompartmentId> where ALL {request.principal.type='aidataplatform', target.metrics.namespace='oracle_aidataplatform'}

4. 允許 Oracle AI Data Platform Workbench 服務建立及管理主要目錄中工作區和受管理資料的 OCI 物件存放區儲存桶：

   allow any-user to manage buckets in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform', any {request.permission = 'BUCKET_CREATE', request.permission = 'BUCKET_INSPECT', request.permission = 'BUCKET_READ', request.permission = 'BUCKET_UPDATE'}}

5. 允許 Oracle AI Data Platform Workbench 服務針對每個 AI Data Platform Workbench 執行處理層次，以限制存取的工作區和主要目錄來管理 / 管理資料：

   allow any-user to {TAG_NAMESPACE_USE} in tenancy where all {request.principal.type = 'aidataplatform'}
   allow any-user to manage buckets in compartment id <aidpCompartmentId> where all { request.principal.id=target.resource.tag.orcl-aidp.governingAidpId, any {request.permission = 'BUCKET_DELETE', request.permission = 'PAR_MANAGE', request.permission = 'RETENTION_RULE_LOCK', request.permission = 'RETENTION_RULE_MANAGE'} }
   allow any-user to read objectstorage-namespaces in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform', any {request.permission = 'OBJECTSTORAGE_NAMESPACE_READ'}}
   allow any-user to manage objects in compartment id <aidpCompartmentId> where all { request.principal.id=target.bucket.system-tag.orcl-aidp.governingAidpId  }

6. 允許 Oracle AI Data Platform Workbench 服務設定運算叢集存取專用網路中的資料 (選擇性)：

   allow any-user to manage vnics in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform'}
   allow any-user to use subnets in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform'}
   allow any-user to use network-security-groups in compartment id <aidpCompartmentId> where all { request.principal.type='aidataplatform'}

7. 允許物件儲存服務自動將生命週期動作 (例如永久刪除或封存) 套用至您的 Oracle AI Data Platform Workbench 工作區資料，以減少手動維護工作，並支援遵守資料保留最佳做法 (選擇性)：

   allow service objectstorage-<<region_identifier>> to manage object-family in compartment id <<aidp-compartment-ocid>>

外部表格的其他原則

如果您的 AI Data Platform Workbench 執行處理需要存取儲存在不同區間中的資料，則必須為該外部區間授予其他原則。這些原則可讓 AI Data Platform Workbench 檢查、讀取及管理外部區間中的儲存桶和物件，以在 AI Data Platform Workbench 工作區內使用。

allow any-user to manage buckets in compartment id <external-data-CompartmentId> where all { request.principal.type='aidataplatform', any {request.permission = 'BUCKET_INSPECT', request.permission = 'BUCKET_READ', request.permission = 'BUCKET_UPDATE'}} 
allow any-user to manage buckets in compartment id <external-data-CompartmentId> where all { request.principal.id=target.resource.tag.orcl-aidp.governingAidpId, any {request.permission = 'PAR_MANAGE', request.permission = 'RETENTION_RULE_LOCK', request.permission = 'RETENTION_RULE_MANAGE'} } 
allow any-user to manage objects in compartment id <external-data-CompartmentId> where all { request.principal.id=target.bucket.system-tag.orcl-aidp.governingAidpId } 
allow service objectstorage-<<region_identifier>> to manage object-family in compartment id <external-data-CompartmentId>

附註：

如果您使用自訂識別網域 (非預設)，則必須在 IAM 原則中的群組名稱前面加上網域名稱。舉例而言：

allow group <aidpAdminIdentityDomain>/<aidpAdminGroup> to manage ai-data-platforms in compartment id <aidpCompartmentId>

如需有關 IAM 原則的詳細資訊，請參閱 IAM 原則總覽。

若要查看並登入「AI 資料平台工作台」，您必須由該「AI 資料平台工作台」的管理員授予存取權。