Oracle Cloud Infrastructure - Dokumentation

Voraussetzungen zum Aktivieren und Verwenden von Data Safe

Stellen Sie sicher, dass die entsprechenden Benutzer- und Serviceberechtigungen vorhanden sind, um Data Safe in der Autonomous Data Warehouse-Instanz zu aktivieren und zu verwenden, die mit der Fusion Data Intelligence-Instanz verknüpft ist. Außerdem müssen Sie sicherstellen, dass die Autonomous Data Warehouse-Instanz Netzwerktraffic von Data Safe zulässt.

Die erforderlichen Berechtigungen sind:
  • Benutzerberechtigungen
    • Allgemeine Oracle Cloud Infrastructure Identity and Access Management-Policys - Ermöglicht dem Benutzer das Auflisten und Hinzufügen von Policys innerhalb des Oracle Cloud Infrastructure-Mandanten.
    • Data Safe-Policys - Ermöglicht dem Benutzer das Anzeigen und Verwalten der Data Safe-Ressourcen.
  • Serviceberechtigungen - Fusion Data Intelligence erfordert die Berechtigung, um Data Safe in Autonomous Data Warehouse der Fusion Data Intelligence-Instanz zu aktivieren.

Benutzerberechtigungen zum Verwalten von Oracle Cloud Infrastructure Identity and Access Management-Policys

Die Oracle Cloud Infrastructure-Konsole basiert auf der Berechtigung des angemeldeten Benutzers, Policys im Oracle Cloud Infrastructure-Mandanten aufzulisten und zu erstellen. Je nach den Berechtigungen des Benutzers gelten zwei Szenarios:
  • Szenario 1 – Der Benutzer ist berechtigt, die Identity and Access Management-Policys zu verwalten (Verwaltung - Lesen und Hinzufügen neuer Policys). In dieser Situation prüft die Oracle Cloud Infrastructure-Konsole, ob die Data Safe-Policys für den Fusion Data Intelligence-Service vorhanden sind. Wenn die Policys fehlen, erstellt die Konsole automatisch die Service-Policys. Danach kann der entsprechende Benutzer die Fusion Data Intelligence-Instanz bei Data Safe erstellen oder eine vorhandene Instanz bei Data Safe registrieren.

  • Szenario 2 – Der Benutzer hat nur die Berechtigung, die Identity and Access Management-Policys zu lesen. In dieser Situation prüft die Oracle Cloud Infrastructure-Konsole, ob die Data Safe-Policys für den Fusion Data Intelligence-Service vorhanden sind. Wenn die Policys bereits vorhanden sind, kann der Benutzer mit dem Erstellen der Instanz bei Data Safe fortfahren oder die vorhandene Instanz bei Data Safe registrieren. Wenn die Policys nicht vorhanden sind, muss der entsprechende Benutzer das Kontrollkästchen "Data Safe aktivieren" bei der Erstellung der Fusion Data Intelligence-Instanz deaktivieren, um mit der Erstellung der Instanz fortzufahren oder sie zu stoppen, und den Serviceadministrator bitten, die Identity and Access Management-Benutzer, -Gruppen und -Schreib-Policys zu konfigurieren.

    Während ein Serviceadministrator die Identity and Access Management-Policys gemäß ihrer Anforderung schreiben kann, können diese Beispiel-Policys beim Erstellen und Verwalten der Fusion Data Intelligence-Instanzen mit Data Safe nützlich sein:
    allow group <identity_domain_name>/FDIDataSafeUsers to read compartments in tenancy
allow group <identity_domain_name>/FDIDataSafeUsers to read domains in tenancy
allow group <identity_domain_name>/FDIDataSafeUsers to manage policy in tenancy
  • Hinweis

    Ersetzen Sie FDIDataSafeUsers durch die entsprechende Identity and Access Management-Gruppe.

Benutzerberechtigungen zum Anzeigen und Verwalten von Data Safe-Ressourcen

Wenn Sie Data Safe für das entsprechende Autonomous Data Warehouse aktivieren, erstellt Fusion Data Intelligence mehrere Data Safe-Ressourcen wie targetDataBase, auditPolicy, auditProfile, auditTrial und alertPolicyAssociations. Erstellen Sie die folgende umfassende Policy zur Verwaltung der Data Safe-Ressourcen im Mandanten:
allow group <identity_domain_name>/FDIDataSafeUsers to manage data-safe-family in tenancy
Hinweis

Ersetzen Sie FDIDataSafeUsers durch die entsprechende Identity and Access Management-Gruppe.

Als Serviceadministrator können Sie jedoch eingeschränkten Zugriff auf die entsprechenden Identity and Access Management-Gruppen gewähren. Siehe IAM-Policys für Autonomous Database und IAM-Policys für Oracle Data Safe-Benutzer erstellen.

Berechtigung für Fusion Data Intelligence zum Ausführen von Data Safe-Vorgängen

Fusion Data Intelligence erfordert die Berechtigung, die Data Safe-bezogenen Vorgänge in dem zugehörigen Autonomous Data Warehouse auszuführen. Das System prüft, ob der angemeldete Benutzer über die Berechtigungen zum Auflisten und Hinzufügen von Policys verfügt. Wenn der angemeldete Benutzer über die Berechtigungen verfügt und die Policys noch nicht erstellt wurden, erstellt das System diese Policys:
allow any-user to manage data-safe in tenancy where all {request.principal.type = 'fawservice', request.principal.compartment.id = target.compartment.id}
allow any-user to manage data-safe-assessment-family in tenancy where all {request.principal.type = 'fawservice', request.principal.compartment.id = target.compartment.id}
allow any-user to manage data-safe-alert-family in tenancy where all {request.principal.type = 'fawservice', request.principal.compartment.id = target.compartment.id}
allow any-user to manage data-safe-audit-family in tenancy where all {request.principal.type = 'fawservice', request.principal.compartment.id = target.compartment.id}
allow any-user to manage virtual-network-family in tenancy where all {request.principal.type = 'fawservice', request.principal.compartment.id = target.compartment.id}

Das System erstellt die Data Safe-Policys für Fusion Data Intelligence in der Datei FDI_ADW_Data_Safe_Policy im Root Compartment des Mandanten. Sie müssen beim Aktualisieren von Policy-Anweisungen dieser Policy-Datei Vorsicht walten lassen, um zu vermeiden, dass Fusion Data Intelligence auf datensichere Vorgänge in Autonomous Data Warehouse beschränkt wird.

Netzwerkzugriff

Prüfen Sie, ob die zugehörige Autonomous Data Warehouse-Instanz Netzwerktraffic von Data Safe zulässt. Siehe Netzwerkzugriff mit Zugriffskontrollregeln (ACLs) und privaten Endpunkten verwalten.