8 權限模型
本章描述 Oracle AI Data Platform 用於管理存取權的權限模型。
關於許可權
Oracle AI Data Platform Workbench 權限會針對所有使用它們的物件遵循類似的模型。
您可以從每個物件的權限頁籤管理每個物件的權限。
AI Data Platform Workbench 有兩層安全性 - 使用 IAM 原則存取 OCI 資源,以及存取 Data Platform 物件。使用者必須先具備 OCI 資源的存取權,才能授予他們 AI Data Platform Workbench 物件的存取權。AI Data Platform Workbench 的使用者需要存取,才能瀏覽至 OCI 主控台中的資源,以及列出區間和儲存桶的 IAM 權限。若要存取「AI 資料平台工作台」執行處理,您至少必須具備 USE IAM 原則權限。即使在「AI 資料平台工作台」執行處理上具有 AI_DATA_PLATFORM_ADMIN 角色,仍需要這些 IAM 原則。
「AI 資料平台工作台」中的權限遵循階層,其中針對父項物件或空間授予包含物件和空間之權限的權限。
建立工作區的權限
依預設,建立工作區的權限包含在 AI_DATA_PLATFORM_ADMIN 角色中。如果您希望管理員以外的使用者能夠建立工作區,您必須提供 CREATE_WORKSPACE 權限給該使用者。您可以從「工作區清單」畫面將 CREATE_WORKSPACE 指定給使用者。
工作區權限
您可以針對您擁有且套用至其所有內容的工作區,設定以角色為基礎的動作控制項。
工作區權限是從工作區首頁頂端的「權限」頁籤來管理。
使用者可以被授予下列權限:
- 使用者:您可以在 root 中建立資料夾 / 檔案,並具有共用資料夾的「管理」權限。
- PRIVILEGED_USER:您具有 USER 權限,也可以建立運算。
- ADMINISTRATOR:您擁有所有工作區物件的 ADMIN 權限,可以更新或刪除工作區和管理權限。
附註:
工作區的 USER 權限也會授予使用者共用資料夾中所有物件的 MANAGE 權限。共用資料夾無法刪除、重新命名或移動。您可以將權限授予使用者、群組或角色。您可以從「AI 資料平台工作台」使用者清單中選取使用者,或依 OCID 新增已使用或角色。
建立工作區權限
您可以將工作區的存取權授與使用者、角色或群組。
- 在「首頁」上,按一下工作區。
- 在您的工作區旁邊,按一下
動作,然後按一下權限。 - 按一下
新權限。 - 從下拉式清單中選取權限層級和主要項目類型。
- 選取要依使用者名稱或 OCID 新增使用者。
- 針對使用者名稱,按一下搜尋並輸入使用者名稱。從清單中選取該使用者。
- 在輸入 OCID 中,輸入使用者的 OCID。
- 按一下建立。
工作區資料夾權限
您可以管理哪些使用者、角色和群組可以檢視和修改工作區中的檔案和資料夾。
- READ:使用者可以讀取 / 列出檔案和資料夾。
- 使用:使用者可以讀取 / 寫入資料夾和包含的檔案,以及執行允許的工作類型 (.ipynb、.py、.sql、.scala 等)。
- 管理:使用者具有「讀取和使用」權限,可以重新命名檔案 / 資料夾及修改檔案。
- ADMIN:使用者具備所有權限,且可以建立、修改或刪除其他使用者權限。
| 操作 | READ | USE | 管理 | 管理 |
|---|---|---|---|---|
| 列出 | 是 | 是 | 是 | 是 |
| 檢視對象 | 是 | 是 | 是 | 是 |
| 建立資料夾 | 編號 | 是 | 是 | 是 |
| 建立文件 | 編號 | 是 | 是 | 是 |
| 重新命名資料夾 | 編號 | 編號 | 是 | 是 |
| 移動檔案夾 | 編號 | 編號 | 是 | 是 |
| 要刪除資料夾 | 編號 | 編號 | 編號 | 是 |
| 管理使用者權限 | 編號 | 編號 | 編號 | 是 |
工作區中資料夾所授予的權限預設會連鎖使用子項物件,但您可以選擇關閉連鎖功能。如果使用者擁有資料夾的 ADMIN 權限,該使用者將擁有所有子項檔案和資料夾的 ADMIN 權限。當 ADMIN 授予具有重疊顯示功能之資料夾的權限時,所有目前和未來的子項資源都具有相同的權限。當 ADMIN 授與未連鎖資料夾的權限時,權限只適用於目前的物件。
File1.csv:
- WORKSPACE1
- F1
- F2
- File1.csv
- F3
- File2.csv
- F2
- F1
File1.csv 的 USER2 權限授予 USER2。若要讓使用者能夠使用 File1.csv,ADMIN 也必須明確授予資料夾 F1 和 F2 的 READ 權限,而不需要連鎖。因此,使用者可以看到此資料夾結構:
- WORKSPACE1
- F1
- F2
- File1.csv
- F2
- F1
建立檔案與資料夾權限
您可以為工作區中的檔案和資料夾設定個別權限。
- 瀏覽至您要設定權限的檔案或資料夾。
- 按一下 動作,然後按一下權限。
- 按一下 建立權限。
- 從下拉式功能表中選取權限層級、主要項目類型和使用者。
- 按一下「儲存」。
運算叢集權限
您可以控制哪些使用者和角色擁有運算叢集的檢視、讀取和管理員存取權。
您可以從叢集中的權限頁籤建立及管理使用者權限。
身為管理員,您可以將權限授予至少具有「使用者」工作區權限的任何主要項目。
| 操作 | 讀取 | 使用 | 管理員 |
|---|---|---|---|
| 列出群集 | 是 | 是 | 是 |
| 將叢集連附至記事本 / 工作 | 是 | 是 | 是 |
| 檢視驅動程式日誌,Spark UI | 是 | 是 | 是 |
| 檢視叢集度量 | 是 | 是 | 是 |
| 啟動 / 重新啟動叢集 | 編號 | 是 | 是 |
| 終止叢集 | 編號 | 是 | 是 |
| 編輯叢集 | 編號 | 編號 | 是 |
| 將程式庫連附 / 上傳至叢集 | 編號 | 編號 | 是 |
| 授權 / 撤銷權限 | 編號 | 編號 | 是 |
建立叢集權限
您可以控制哪些使用者和角色可以查看及修改叢集。
- 瀏覽至您的工作區,然後按一下運算。
- 按一下您的叢集,然後按一下權限頁籤。
- 按一下 新權限。
- 從下拉式清單中選取權限層次和使用者類型。
- 選取要依使用者名稱或 OCID 新增使用者。
- 針對使用者名稱,按一下「搜尋」並輸入使用者名稱。從清單中選取該使用者。
- 在輸入 OCID 中,輸入使用者的 OCID。
- 按一下建立。
工作權限
工作權限控制哪些使用者和角色可存取您的工作。
您可以從工作中的「權限」頁標,管理可存取您工作的使用者與角色。
- 讀取
- 使用
- 管理
- 管理員
每個權限層級均可存取不同的作業集,如下所述。
| 操作 | 讀取 | 使用 | 管理 | 管理員 |
|---|---|---|---|---|
| 列出 | Y | Y | Y | Y |
| 檢視詳細資訊 | Y | Y | Y | Y |
| 執行狀態 | Y | Y | Y | Y |
| 連附 / 切離運算 | N 項 | Y | Y | Y |
| 執行 | N 項 | Y | Y | Y |
| 檢視任務日誌 | N 項 | Y | Y | Y |
| 重新命名職務 | N 項 | N 項 | Y | Y |
| 編輯工作 | N 項 | N 項 | Y | Y |
| 終止工作流程 | N 項 | N 項 | Y | Y |
| 移動檔案 | N 項 | N 項 | N 項 | Y |
| 刪除工作 | N 項 | N 項 | N 項 | Y |
| 授權 / 撤銷權限 | N 項 | N 項 | N 項 | Y |
建立工作權限
您可以建立權限來控制哪些使用者和角色可以存取您的工作。
- 瀏覽至您要授予存取權的工作。
- 按一下許可權。
- 按一下 新權限。
- 從下拉式清單中選取權限層次和使用者類型。
- 選取要依使用者名稱或 OCID 新增使用者。
- 針對使用者名稱,按一下「搜尋」並輸入使用者名稱。從清單中選取該使用者。
- 在輸入 OCID 中,輸入使用者的 OCID。
- 按一下建立。
記事本權限
記事本權限決定哪些使用者、角色及群組可以檢視及修改您的記事本。
按一下記事本右上角的動作,然後按一下權限,即可檢視記事本的權限。您可以從權限頁面,檢視、建立、修改或刪除記事本的權限。您可以在搜尋列中輸入使用者,以篩選顯示的使用者清單。
- 讀取
- 使用
- 管理
- 管理員
每個權限層級均可存取不同的作業集,如下所述。
| 操作 | 讀取 | 使用 | 管理 | 管理員 |
|---|---|---|---|---|
| 列出 | Y | Y | Y | Y |
| 檢視詳細資訊 | Y | Y | Y | Y |
| 執行狀態 | Y | Y | Y | Y |
| 連附 / 切離運算 | N 項 | Y | Y | Y |
| 執行工作流程 | N 項 | Y | Y | Y |
| 檢視記錄 | N 項 | Y | Y | Y |
| 重新命名筆記本 | N 項 | N 項 | Y | Y |
| 編輯記事簿 | N 項 | N 項 | Y | Y |
| 終止工作流程 | N 項 | N 項 | Y | Y |
| 移動檔案 | N 項 | N 項 | N 項 | Y |
| 刪除記事本 | N 項 | N 項 | N 項 | Y |
| 授權 / 撤銷權限 | N 項 | N 項 | N 項 | Y |
建立記事本權限
您可以為自己擁有的筆記型電腦設定個別的權限。
- 導覽至您要設定權限的記事本。
- 按一下動作,然後按一下權限。
- 按一下 建立權限。
- 從下拉式功能表中選取權限層級、主要項目類型和使用者。
- 按一下「儲存」。
主目錄權限
主目錄層級的權限決定誰可以建立新標準與外部目錄,並將權限授予其他人。
您可以從權限頁籤管理主目錄的權限。
- CREATE_CATALOG:使用者可以建立標準與外部型錄。
- ADMIN:使用者可以檢視所有目錄、建立、編輯或刪除目錄及其子項物件,以及授予或撤銷權限。
主目錄權限繼承
「主要目錄」的 ADMIN 權限會授予「主要目錄」中所有子項物件的 ADMIN 權限。當具備 CREATE_CATALOG 權限的使用者建立目錄時,系統會自動為新建立的目錄及其所有子項物件提供 ADMIN 權限。
建立主要目錄權限
您可以設定權限來管理可建立、編輯及刪除型錄的人員,以及將權限授予其他人。
- 在「首頁」上,按一下主目錄。
- 按一下權限頁籤。
- 按一下 新權限。
- 從下拉式清單中選取權限層次和使用者類型。
- 選取要依使用者名稱或 OCID 新增使用者。
- 針對使用者名稱,按一下「搜尋」並輸入使用者名稱。從清單中選取該使用者。
- 在輸入 OCID 中,輸入使用者的 OCID。
- 按一下建立。
標準目錄權限
您可以管理標準型錄的權限,以決定哪些使用者、角色及群組可以檢視及修改您的型錄。
您可以從目錄的權限頁籤設定標準目錄的權限。您可以在搜尋列中輸入名稱,以篩選可存取您目錄的使用者和角色清單。
在型錄層次設定的權限會重複套用至型錄的任何下階。綱要層次設定的權限會套用至綱要的任何子項物件。
- SELECT:使用者可以讀取 / 列出目錄、綱要和磁碟區。使用者可以對檢視表與表格執行選取查詢。
- 管理:使用者擁有「標準」目錄層次的所有「選取」權限,可以更改綱要、表格以及檢視,以及寫入磁碟區。使用者也可以插入、更新及刪除表格中的資料。
- CREATE_SCHEMA:使用者擁有「標準」目錄層次的所有「管理」權限,可以在目錄中建立新綱要。
- ADMIN :使用者擁有「標準」目錄層次的所有 Create_Schema 權限,可以刪除綱要以及管理其他使用者權限
| 操作 | SELECT | 管理 | CREATE_SCHEMA | 管理 |
|---|---|---|---|---|
| 閱讀 / 清單 | 是 | 是 | 是 | 是 |
| 執行查詢 | 是 | 是 | 是 | 是 |
| 編輯綱要 / 表格 / 磁碟區 / 視觀表 | 編號 | 是 | 是 | 是 |
| 建立綱要 | 編號 | 編號 | 是 | 是 |
| 刪除綱要 | 編號 | 編號 | 編號 | 是 |
| 管理權限 | 編號 | 編號 | 編號 | 是 |
主目錄權限繼承
- SELECT
- 管理
- CREATE_SCHEMA
- 管理
外部目錄權限
您可以管理外部目錄的權限,以決定哪些使用者、角色及群組可以檢視及修改您的目錄。
- 任何 IAM 使用者主體或 IAM 群組。使用者的載入順序如下:
- 所選網域中至少開啟一次 AI 資料平台執行處理的所有使用者
- 所選網域中所有剩餘的使用者 (依字母順序)
- ADMIN 使用者可檢視的角色。
外部目錄權限授與下列動作:
| 操作 | 管理 | 管理 |
|---|---|---|
|
讀取 / 列出及執行 DML 作業 * DDL (近期提供) |
是 | 是 |
| 編輯目錄名稱 | 編號 | 是 |
| 編輯目錄特性 (密碼等) | 編號 | 是 |
| 刪除型錄 | 編號 | 是 |
| 管理權限 | 編號 | 是 |
| * 外部目錄權限僅限於用來連線至外部來源之使用者的權限。如果用來建立外部目錄之外部來源的使用者具有唯讀權限,則外部目錄的「管理」權限也會限制為唯讀權限。 | ||
主目錄權限繼承
- 管理
- 管理
建立目錄權限
您可以授與檢視及修改目錄、綱要、表格以及磁碟區的權限。
- 在「首頁」上,按一下主目錄。
- 瀏覽至您要建立新權限的目錄,然後按一下權限頁籤。
- 按一下 新權限。
- 從下拉式清單中選取權限層次和使用者類型。
- 選取要依使用者名稱或 OCID 新增使用者。
- 針對使用者名稱,按一下「搜尋」並輸入使用者名稱。從清單中選取該使用者。
- 在輸入 OCID 中,輸入使用者的 OCID。
- 按一下建立。
綱要權限
綱要權限決定哪些使用者、角色以及群組可以檢視及修改您的綱要及其子項物件。
您可以從綱要權限頁籤控制可以存取綱要的使用者和角色。
綱要層次設定的權限會套用至綱要的任何子項物件。
- SELECT:使用者可以讀取 / 列出綱要中的表格、視觀表和磁碟區。使用者可以對檢視表與表格執行選取查詢。
- WRITE:使用者具有「選取」權限,可以更改表格中的表格或資料、寫入磁碟區以及更改檢視。
- CREATE_MODEL:使用者可以在綱要中建立模型。
- CREATE_TABLE:使用者可以在綱要中建立表格。
- CREATE_VIEW:使用者可以在綱要中建立視觀表。
- CREATE_VOLUME:使用者可以在綱要中建立磁碟區。
- ADMIN:使用者具有「選取」、「寫入」和所有「建立」權限,可以建立、修改或刪除其他使用者權限。
| 操作 | SELECT | WRITE | 建立 _ 模型 | CREATE_TABLE | 建立檢視 | 建立數量 | 管理 |
|---|---|---|---|---|---|---|---|
| 閱讀 / 清單 | 是 | 是 | 是 | 是 | 是 | 是 | 是 |
| 執行查詢 / 讀取磁碟區 | 是 | 是 | 是 | 是 | 是 | 是 | 是 |
| 編輯表格 / 磁碟區 / 視觀表 | 編號 | 是 | 是 | 是 | 是 | 是 | 是 |
| 建立模型 | 編號 | 編號 | 是 | 編號 | 編號 | 編號 | 是 |
| 建立表格 | 編號 | 編號 | 編號 | 是 | 編號 | 編號 | 是 |
| 建立檢視 | 編號 | 編號 | 編號 | 編號 | 是 | 編號 | 是 |
| 建立磁碟區 | 編號 | 編號 | 編號 | 編號 | 編號 | 是 | 是 |
| 刪除綱要 | 編號 | 編號 | 編號 | 編號 | 編號 | 編號 | 是 |
| 管理權限 | 編號 | 編號 | 編號 | 編號 | 編號 | 編號 | 是 |
綱要權限繼承
| 綱要權限 | 目錄層級權限 | ||
|---|---|---|---|
| SELECT | SELECT | 管理 | 管理 |
| WRITE | X | ||
| 建立檢視 | X | X | |
| 建立數量 | X | X | |
| CREATE_TABLE | X | X | |
| 管理 | X | X | |
建立綱要權限
您可以控制哪些使用者和角色可以存取您擁有的綱要。
- 在首頁中,按一下主目錄。
- 瀏覽至您的綱要,然後按一下權限頁籤。
- 按一下 新權限。
- 從下拉式清單中選取權限層次和使用者類型。
- 選取要依使用者名稱或 OCID 新增使用者。
- 針對使用者名稱,按一下「搜尋」並輸入使用者名稱。從清單中選取該使用者。
- 在輸入 OCID 中,輸入使用者的 OCID。
- 按一下建立。
表格權限
表格權限決定哪些使用者、角色及群組可以檢視及修改您的表格。
- 選取:使用者可以讀取 / 列出表格。使用者可以在表格上執行選取查詢。
- 插入:使用者可以讀取 / 列出表格並寫入表格。
- UPDATE:使用者可以讀取 / 列出表格,並執行表格資料的更新。
- 刪除:使用者可以讀取 / 列出表格,也可以從表格中刪除資料。
- ALTER:使用者可以讀取 / 列出表格,以及修改表格名稱或描述。
- ADMIN:使用者具有所有權限,可以建立、修改或刪除其他使用者權限。
| 操作 | SELECT | INSERT | UPDATE | DELETE | ALTER | 管理 |
|---|---|---|---|---|---|---|
| 「清單」表 | 是 | 是 | 是 | 是 | 是 | 是 |
| 讀取表格資料 | 是 | 編號 | 編號 | 編號 | 編號 | 是 |
| 將資料寫入表格 | 編號 | 是 | 編號 | 編號 | 編號 | 是 |
| 更新表格中的資料 | 編號 | 編號 | 是 | 編號 | 編號 | 是 |
| 從表格刪除資料 | 編號 | 編號 | 編號 | 是 | 編號 | 是 |
| 更改表格描述資料 | 編號 | 編號 | 編號 | 編號 | 是 | 是 |
| 刪除表格 | 編號 | 編號 | 編號 | 編號 | 編號 | 是 |
| 管理使用者權限 | 編號 | 編號 | 編號 | 編號 | 編號 | 是 |
表格權限繼承
| 表格權限 | 綱要層次權限 | ||
|---|---|---|---|
| SELECT | SELECT | 管理 | 管理 |
| INSERT | X | ||
| UPDATE | X | ||
| DELETE | X | ||
| ALTER | X | ||
| 管理 | X | X | |
建立表格權限
您可以控制哪些使用者和角色可存取您所擁有的表格。
- 在首頁中,按一下主目錄。
- 瀏覽至您的表格,然後按一下權限頁籤。
- 按一下 新權限。
- 從下拉式清單中選取權限層次和使用者類型。
- 選取要依使用者名稱或 OCID 新增使用者。
- 針對使用者名稱,按一下「搜尋」並輸入使用者名稱。從清單中選取該使用者。
- 在輸入 OCID 中,輸入使用者的 OCID。
- 按一下建立。
磁碟區權限
磁碟區權限決定了哪些使用者、角色以及群組可以檢視及修改磁碟區。
- 讀取:使用者可以列出資料夾 / 檔案,以及從磁碟區讀取檔案。
- WRITE:使用者可以列出磁碟區中的資料夾 / 檔案、讀取檔案、建立資料夾和檔案,以及寫入檔案。
- ADMIN:使用者將具備磁碟區的讀取 / 寫入權限、刪除 / 建立磁碟區,以及授予 / 撤銷磁碟區的權限。
| 操作 | READ | WRITE | 管理 |
|---|---|---|---|
| 列出磁碟區 | 是 | 是 | 是 |
| 讀取磁碟區資料 | 是 | 是 | 是 |
| 將資料寫入磁碟區 | 編號 | 是 | 是 |
| 刪除磁碟區的資料 | 編號 | 是 | 是 |
| 建立資料夾 | 編號 | 是 | 是 |
| 刪除磁碟區 | 編號 | 編號 | 是 |
| 建立磁碟區 | 編號 | 編號 | 是 |
| 管理使用者權限 | 編號 | 編號 | 是 |
建立磁碟區權限
您可以控制哪些使用者和角色可以存取您擁有的磁碟區。
- 在首頁中,按一下主目錄。
- 瀏覽至您的磁碟區,然後按一下權限頁籤。
- 按一下 新權限。
- 從下拉式清單中選取權限層次和使用者類型。
- 選取要依使用者名稱或 OCID 新增使用者。
- 針對使用者名稱,按一下「搜尋」並輸入使用者名稱。從清單中選取該使用者。
- 在輸入 OCID 中,輸入使用者的 OCID。
- 按一下建立。