Oracle Cloud Infrastructure - Dokumentation

Identitäts-Policy einrichten

Für Data Flow müssen Policys in IAM festgelegt werden, um auf Ressourcen zuzugreifen und SQL-Endpunkte verwalten zu können.

Sie können die Policys manuell erstellen. Weitere Informationen zur Funktionsweise von IAM-Policys finden Sie unter Identity and Access Management. Weitere Informationen zu Tags und Tag-Namespaces, die zu Ihren Policys hinzugefügt werden sollen, finden Sie unter Tags und Tag-Namespaces verwalten.

Policys manuell erstellen

Sie können die Policys für Data Flow statt mit den Vorlagen in IAM auch selbst in IAM Policy Builder erstellen.

Führen Sie die Schritte zum Verwalten von Policys in IAM mit Identitätsdomains oder ohne Identitätsdomains aus, um die folgenden Policys manuell zu erstellen:

Benutzer-Policys

Wenden Sie Benutzer-Policys in IAM an.

Für administrative Benutzer der SQL-Endpunkte:
  • Erstellen Sie eine Gruppe in Ihrem Identity Service mit dem Namen dataflow-sql-endpoints-admin, und fügen Sie dieser Gruppe Benutzer hinzu.
  • Erstellen Sie eine Policy mit dem Namen dataflow-sql-endpoints-admin, und hinzufügen Sie die folgenden Anweisungen:
    ALLOW GROUP dataflow-sql-endpoints-admin TO MANAGE dataflow-sqlendpoint IN compartment <compartment-id>
ALLOW GROUP dataflow-sql-endpoints-admin TO INSPECT data-catalog-metastores IN compartment <compartment-id>
Für alle anderen Benutzer, die nur zum Verbinden und Ausführen von SQL über SQL-Endpunkte autorisiert sind:
  • Erstellen Sie eine Gruppe in Ihrem Identity Service mit dem Namen dataflow-sqlendpoint-users, und fügen Sie dieser Gruppe Benutzer hinzu.
  • Erstellen Sie eine Policy mit dem Namen dataflow-sqlendpoint-users, und fügen Sie die folgende Anweisung hinzu, nachdem Sie einen SQL-Endpunkt erstellt haben:
    ALLOW GROUP dataflow-sqlendpoint-users TO USE dataflow-sqlendpoint IN compartment <compartment-id> WHERE target.dataflow-sqlendpoint.id = <sql-endpoint-ocid>
Föderation mit einem Identitätsprovider

Sie können Single Sign-On für Data Flow-SQL-Cluster mit einem SAML 2.0-konformen Identitätsprovider aktivieren.

Wenn Sie Identity Federation SAML 2.0-Systeme wie Oracle Identity Cloud Service, Microsoft Active Directory, Okta oder einen anderen Provider verwenden, der SAML 2.0 unterstützt, können Sie einen Benutzernamen und ein Kennwort auf vielen Systemen verwenden, einschließlich der Oracle Cloud Infrastructure-Konsole. Um diese Single Sign-On-Erfahrung zu aktivieren, muss der Mandantenadministrator (oder ein anderer Benutzer mit gleichen Berechtigungen) die Federation Trust in IAM einrichten. Weitere Informationen zu den Anforderungen des Identitätsproviders finden Sie unter:

Wenn Sie die Föderationsverknüpfung konfiguriert haben, ordnen Sie in der Oracle Cloud Infrastructure-Konsole die entsprechende Identitätsprovider-Benutzergruppe der erforderlichen Data Flow-Benutzergruppe im Identity Service zu.

Metastore-Policy

Data Flow-SQL-Endpunkte benötigen eine Berechtigung, um Aktionen im Namen des Benutzers oder der Gruppe im Metastore im Mandanten auszuführen.

Sie haben zwei Möglichkeiten, SQL-Endpunkte aufzurufen:
  • Erstellen Sie eine Policy, dataflow-sqlendpoint-metastore, und fügen Sie die folgende Anweisung hinzu:
    ALLOW any-user to {CATALOG_METASTORE_EXECUTE} in tenancy where request.principal.type = 'dataflowsqlendpoint'
  • Dynamische Gruppe erstellen:
    ALL {resource.compartment.id = '<compartment_id>'}
    und fügen Sie die folgende Policy hinzu:
    ALLOW DYNAMIC-GROUP <dynamic-group-name> to {CATALOG_METASTORE_EXECUTE, CATALOG_METASTORE_INSPECT, CATALOG_METASTORE_READ}
in tenancy WHERE ALL {request.principal.type='dataflowsqlendpoint'}
Hinweis

Pro Mandant ist nur ein Metastore zulässig.
Policys für private Endpunkte

Sie benötigen Policys, um Data Flow-SQL-Endpunkte mit privaten Endpunkten zu verwenden.

Um private Endpunkte zu erstellen, zu bearbeiten oder zu verwalten, benötigen Sie die folgenden Policys.
  • So lassen Sie die Verwendung von virtual-network-family zu:
    ALLOW GROUP dataflow-sql-endpoint-admin TO USE virtual-network-family IN compartment <compartment-name>
  • So gewähren Sie Zugriff auf spezifischere Ressourcen:
    ALLOW GROUP dataflow-sql-endpoint-admin TO MANAGE vnics IN compartment <compartment-name>
ALLOW GROUP dataflow-sql-endpoint-admin TO USE subnets IN compartment <compartment-name>
ALLOW GROUP dataflow-sql-endpoint-admin TO USE network-security-groups IN compartment <compartment-name>
  • So gewähren Sie Zugriff auf bestimmte Vorgänge:
    ALLOW GROUP dataflow-sql-endpoint-admin TO MANAGE virtual-network-family IN compartment <compartment-name>
   WHERE any {request.operation='CreatePrivateEndpoint',
              request.operation='UpdatePrivateEndpoint',
              request.operation='DeletePrivateEndpoint'}

Obwohl diese Beispiele die Policys dataflow-sql-endpoint-admin erteilen, können Sie auswählen, dass Sie diese Policys einer Teilmenge von Benutzern erteilen möchten. Auf diese Weise werden die Benutzer eingeschränkt, die Vorgänge an privaten Endpunkten ausführen können.

Nur Benutzer in der Gruppe dataflow-sql-endpoint-admin können SQL-Endpunkte erstellen, die entweder eine private Endpunktkonfiguration aktivieren oder die Netzwerkkonfiguration wieder auf das Internet wechseln können. Die richtigen Berechtigungen finden Sie unter Sicherheit. Ein Benutzer in der Gruppe dataflow-sql-endpoint-users kann sich bei einem SQL-Endpunkt anmelden und SQL ausführen.
Hinweis

Wenn sie richtig konfiguriert sind, können private Endpunkte auf eine Mischung aus privaten Ressourcen im VCN und Internetressourcen zugreifen. Geben Sie eine Liste dieser Ressourcen im Abschnitt "DNS-Zonen" an, wenn Sie einen privaten Endpunkt konfigurieren.
Weitere Informationen zu privaten Endpunkten finden Sie unter Privates Netzwerk konfigurieren.