Documentación de Oracle Cloud Infrastructure

Políticas

Para controlar quién tiene acceso a Data Science y el tipo de acceso para cada grupo de usuarios, debe crear políticas.

Para supervisar los recursos de Data Science, se le debe otorgar el acceso necesario en una política. Esto se aplica tanto si utiliza la consola como la API de REST con un SDK, una CLI u otra herramienta. La política debe otorgarle acceso a los servicios de supervisión y a los recursos que se supervisen. Si intenta realizar una acción y obtiene un mensaje indicando que no tiene permiso o que no está autorizado, confirme con un administrador el tipo de acceso que se le ha otorgado y en qué compartimento puede trabajar. Para obtener más información sobre las autorizaciones de los usuarios para la supervisión, consulte la sección Autenticación y autorización del servicio relacionado, Supervisión o Notificaciones.

Por defecto, solo los usuarios del grupo Administrators tienen acceso a todos los recursos de Data Science. Para todos los demás usuarios implicados en Data Science, debe crear nuevas políticas que les asignen los derechos adecuados a los recursos de Data Science.

Para obtener una lista completa de las políticas de OCI, consulte Referencia de políticas.

Tipos de recursos

Data Science ofrece tanto tipos de recursos individuales como agregados para escribir políticas.

Puede utilizar los tipos de recursos agregados para escribir menos políticas. Por ejemplo, en lugar de permitir que un grupo gestione data-science-projects, data-science-notebook-sessions, data-science-models y data-science-work-requests, puede tener una política que permita al grupo gestionar el tipo de recurso agregado data-science-family.

Tipo de recurso agregado

data-science-family

Tipos de recursos individuales

data-science-projects

data-science-notebook-sessions

data-science-models

data-science-modelversionsets

data-science-model-deployments

data-science-work-requests

data-science-jobs

data-science-job-runs

data-science-pipelines

data-science-pipeline-runs

data-science-private-endpoint

data-science-schedules

data-science-model-groups

data-science-model-group-version-histories

Variables soportadas

Para agregar condiciones a las políticas, puede utilizar variables generales de OCI o variables específicas del servicio.

Data Science soporta las Variables generales para todas las solicitudes para su uso con recursos, además de las siguientes variables específicas del servicio:

Variables de políticas de Data Science

Operaciones para este tipo de recurso...

Puede utilizar estas variables...

Tipo de Variable

Comentarios

data-science-notebook-sessions

target.notebook-session.id

Entidad (OCID)

No disponible para utilizar con CreateNotebookSession

target.notebook-session.createdBy

Cadena

No disponible para utilizar con CreateNotebookSession

El usuario que crea un Notebook es el único usuario que puede abrirlo y utilizarlo.

Ejemplos de diversas operaciones

allow group <data_science_hol_users> to manage data_science_projects 
in compartment <datascience_hol>
allow group <data_science_hol_users> to manage data_science_models
in compartment <datascience_hol>
allow group <data_science_hol_users> to manage data_science_work_requests
in compartment <datascience_hol>
allow group <data_science_hol_users> to inspect data_science_notebook_sessions
in compartment <datascience_hol>
allow group <data_science_hol_users> to read data_science_notebook_sessions
in compartment <datascience_hol>
allow group <data_science_hol_users> to {DATA_SCIENCE_NOTEBOOK_SESSION_CREATE} 
in compartment <datascience_hol>
allow group <data_science_hol_users> to 
{DATA_SCIENCE_NOTEBOOK_SESSION_DELETE,DATA_SCIENCE_NOTEBOOK_SESSION_UPDATE,DATA_SCIENCE_NOTEBOOK
_SESSION_OPEN,DATA_SCIENCE_NOTEBOOK_SESSION_ACTIVATE,DATA_SCIENCE_NOTEBOOK_SESSION_DEACTIVATE} 
in compartment <datascience_hol> 
where target.notebook-session.createdBy = request.user.id

Detalles de combinaciones de verbo + tipo de recurso

Hay varios verbos y tipos de recurso de OCI que puede utilizar para crear una política.

Una sintaxis de política es similar a esta: 

allow <subject> to <verb> <resource_type> in <location> where <conditions>.

A continuación se describen los permisos y las operaciones de API que abarcan cada verbo para Data Science. El nivel de acceso es acumulativo a medida que se desplaza de inspect a read a use a manage. Un signo más (+) en una celda de la tabla indica un acceso incremental en comparación con la celda directamente por encima, mientras que "no extra" indica que no hay acceso incremental.

data-science-projects

Las API cubiertas para el tipo de recurso data-science-projects se muestran aquí. Las API se muestran en orden alfabético para cada permiso.

Verbos

Permisos

API totalmente cubiertas

API parcialmente cubiertas

inspect

DATA_SCIENCE_PROJECT_INSPECT

ListProjects

ListWorkRequests

No extra

read

inspect +

DATA_SCIENCE_PROJECT_READ

inspect +

GetProject

GetWorkRequest

CreateNotebookSession (también necesita manage data-science-notebook-sessions).

CreateModel (también necesita manage data-science-models).

CreateJob

CreateJobRun (también necesita create data-science-job).

use

read +

DATA_SCIENCE_PROJECT_UPDATE

read +

UpdateProject

No extra

manage

use +

DATA_SCIENCE_PROJECT_CREATE

DATA_SCIENCE_PROJECT_DELETE

DATA_SCIENCE_PROJECT_MOVE

use +

CreateProject

DeleteProject

ChangeProjectCompartment

No extra
data-science-notebook-sessions

Las API cubiertas para el tipo de recurso data-science-notebook-sessions se muestran aquí. Las API se muestran en orden alfabético para cada permiso.

Verbos

Permisos

API totalmente cubiertas

API parcialmente cubiertas

inspect

DATA_SCIENCE_NOTEBOOK_

SESSION_INSPECT

ListNotebookSessions

ListNotebookSessionShapes

ListWorkRequests

No extra

read

inspect +

DATA_SCIENCE_NOTEBOOK_

SESSION_READ

inspect +

GetNotebookSession

GetWorkRequest

ActivateNotebookSession

DeactivateNotebookSession

No extra

use

read +

DATA_SCIENCE_NOTEBOOK_SESSION_OPEN

DATA_SCIENCE_NOTEBOOK_SESSION_UPDATE

read +

OpenNotebookSession

UpdateNotebookSession

ActivateNotebookSession

DeactivateNotebookSession

No extra

manage

use+

DATA_SCIENCE_NOTEBOOK_SESSION_CREATE

DATA_SCIENCE_NOTEBOOK_SESSION_DELETE

DATA_SCIENCE_NOTEBOOK_SESSION_MOVE

DATA_SCIENCE_PRIVATE_ENDPOINT_READ

DATA_SCIENCE_PRIVATE_ENDPOINT_ATTACH

use+

CreateNotebookSession

DeleteNotebookSession

ChangeNotebookSessionCompartment

ActivateNotebookSession

CreateNotebookSession (también necesita read data-science-projects).
data-science-models

Las API cubiertas para el tipo de recurso data-science-models se muestran aquí. Las API se muestran en orden alfabético para cada permiso.

Verbos

Permisos

API totalmente cubiertas

API parcialmente cubiertas

inspect

DATA_SCIENCE_MODEL_INSPECT

ListModels

ListWorkRequests

No extra

read

inspect +

DATA_SCIENCE_MODEL_READ

inspect +

GetModel

GetModelProvenance

GetModelArtifact

GetWorkRequest

No extra

use

read +

DATA_SCIENCE_MODEL_UPDATE

read +

ActivateModel

DeactivateModel

UpdateModel

UpdateModelProvenance

 No extra

manage

use +

DATA_SCIENCE_MODEL_CREATE

DATA_SCIENCE_MODEL_DELETE

DATA_SCIENCE_MODEL_MOVE

use +

CreateModelArtifact

CreateModelProvenance

DeleteModel

ChangeModelCompartment

CreateModel (también necesita read data-science-projects)
data-science-modelversionsets

Las API cubiertas para el tipo de recurso data-science-modelversionsets se muestran aquí. Las API se muestran en orden alfabético para cada permiso.

Verbos

Permisos

API totalmente cubiertas

API parcialmente cubiertas

inspect

DATA_SCIENCE_MODELVERSIONSET_INSPECT

ListModelVersionSets

No extra

read

inspect +

DATA_SCIENCE_MODELVERSIONSET_READ

inspect +

GetModelVersionSet

No extra

use

read +

DATA_SCIENCE_MODELVERSIONSET_UPDATE

read +

UpdateModelVersionSet

 No extra

manage

use +

DATA_SCIENCE_MODELVERSIONSET_CREATE

DATA_SCIENCE_MODELVERSIONSET_DELETE

DATA_SCIENCE_MODELVERSIONSET_MOVE

use +

DeleteModelVersionSet

ChangeModelVersionSetCompartment

CreateModelVersionSet (también necesita read data-science-projects)
data-science-model-deployments

A continuación se muestran las API cubiertas para el tipo de recurso data-science-model-deployments. Las API se muestran en orden alfabético para cada permiso.

Verbos

Permisos

API totalmente cubiertas

API parcialmente cubiertas

inspect

DATA_SCIENCE_MODEL_DEPLOYMENT_INSPECT

ListModelDeployment

ListWorkRequests

ListModelDeploymentShapes

No extra

read

inspect +

DATA_SCIENCE_MODEL_DEPLOYMENT_READ

inspect +

GetModelDeployment

GetWorkRequest

No extra

use

read +

DATA_SCIENCE_MODEL_DEPLOYMENT_UPDATE

DATA_SCIENCE_MODEL_DEPLOYMENT_PREDICT

read +

ActivateModelDeployment

DeactivateModelDeployment

UpdateModelDeployment

PredictModelDeployment

No extra

manage

use +

DATA_SCIENCE_MODEL_DEPLOYMENT_CREATE

DATA_SCIENCE_MODEL_DEPLOYMENT_DELETE

DATA_SCIENCE_MODEL_DEPLOYMENT_MOVE

DATA_SCIENCE_PRIVATE_ENDPOINT_READ

DATA_SCIENCE_PRIVATE_ENDPOINT_ATTACH

use +

CreateModelDeployment

DeleteModelDeployment

ChangeModelDeploymentCompartment

No extra
data-science-work-requests

Las API cubiertas para el tipo de recurso data-science-work-requests se muestran aquí. Las API se muestran en orden alfabético para cada permiso.

Verbos

Permisos

API totalmente cubiertas

API parcialmente cubiertas

inspect

DATA_SCIENCE_WORK_REQUEST

_INSPECT

ListWorkRequests

No extra

read

inspect +

DATA_SCIENCE_WORK_REQUEST_READ

inspect +

ListWorkRequestErrors

ListWorkRequestLogs

GetWorkRequest

No extra

manage

read +

DATA_SCIENCE_WORK_REQUEST_DELETE

read +

CancelWorkRequest

No extra
data-science-jobs

A continuación se muestran las API cubiertas para el tipo de recurso data-science-jobs. Las API se muestran en orden alfabético para cada permiso.

Verbos

Permisos

API totalmente cubiertas

API parcialmente cubiertas

inspect

DATA_SCIENCE_JOB_INSPECT

ListJobs

ListJobShapes

ListWorkRequests

CreateJobRun

read

inspect +

DATA_SCIENCE_JOB_READ

inspect +

GetWorkRequest

CreateJobRun (también necesita read data-science-job y create data-science-job-run).

use

read +

DATA_SCIENCE_JOB_UPDATE

read +

UpdateJob

CreateJobRun (también necesita DATA_SCIENCE_JOB_READ).

manage

use +

DATA_SCIENCE_JOB_CREATE

DATA_SCIENCE_JOB_DELETE

DATA_SCIENCE_JOB_MOVE

use +

DeleteJob

ChangeJobCompartment

CreateJob
data-science-job-runs

A continuación se muestran las API cubiertas para el tipo de recurso data-science-job-runs. Las API se muestran en orden alfabético para cada permiso.

Verbos

Permisos

API totalmente cubiertas

API parcialmente cubiertas

inspect

DATA_SCIENCE_JOB_RUN_INSPECT

ListJobRuns

No extra

read

inspect +

DATA_SCIENCE_JOB_RUN_READ

inspect +

GetJobRun

No extra

use

read +

DATA_SCIENCE_JOB_RUN_UPDATE

read +

UpdateJobRun

CancelJobRun (también necesita DATA_SCIENCE_JOB_RUN_READ).

manage

use +

DATA_SCIENCE_JOB_RUN_CREATE

DATA_SCIENCE_JOB_RUN_DELETE

DATA_SCIENCE_JOB_RUN_MOVE

use +

CreateJobRun

DeleteJobRun

ChangeJobRunCompartment

CreateJob
data-science-pipelines

Aquí se muestran las API cubiertas para el tipo de recurso data-science-pipelines. Las API se muestran en orden alfabético para cada permiso.

Verbos

Permisos

API totalmente cubiertas

API parcialmente cubiertas

inspect

DATA_SCIENCE_PIPELINE_INSPECT

ListPipelines

No extra

read

inspect +

DATA_SCIENCE_PIPELINE_READ

inspect +

GetPipeline

CreatePipelineRun (también necesita read data-science-projects, read data-science-pipeline y create data-science-pipeline-run).

use

read +

DATA_SCIENCE_PIPELINE_UPDATE

read +

UpdatePipeline

CreatePipelineRun, GetPipeline (también necesita DATA_SCIENCE_PROJECT_READ y DATA_SCIENCE_PIPELINE_READ).

manage

use +

DATA_SCIENCE_PIPELINE_CREATE

DATA_SCIENCE_PIPELINE_DELETE

DATA_SCIENCE_PIPELINE_MOVE

use +

CreatePipeline

DeletePipeline

ChangePipelineCompartment

CreatePipeline

(También necesita read data-science-projects).
data-science-pipelineruns

Aquí se muestran las API cubiertas para el tipo de recurso data-science-pipelineruns. Las API se muestran en orden alfabético para cada permiso.

Verbos

Permisos

API totalmente cubiertas

API parcialmente cubiertas

inspect

DATA_SCIENCE_PIPELINE_RUN_INSPECT

ListPipelineRuns

No extra

read

inspect +

DATA_SCIENCE_PIPELINE_RUN_READ

inspect +

GetPipelineRun

No extra

use

read +

DATA_SCIENCE_PIPELINE_RUN_UPDATE

read +

UpdatePipelineRun

CancelPipelineRun (también necesita DATA_SCIENCE_PIPELINE_RUN_READ).

manage

use +

DATA_SCIENCE_PIPELINE_RUN_CREATE

DATA_SCIENCE_PIPELINE_RUN_DELETE

DATA_SCIENCE_PIPELINE_RUN_MOVE

use +

CreatePipelineRun

DeletePipelineRun

ChangePipelineRunCompartment

CreatePipeline
data-science-private-endpoint

Las API cubiertas para el tipo de recurso data-science-private-endpoint se muestran aquí. Las API se muestran en orden alfabético para cada permiso.

Verbos

Permisos

API totalmente cubiertas

API parcialmente cubiertas

inspect

DATA_SCIENCE_PRIVATE_ENDPOINT_INSPECT

ListDataSciencePrivateEndpoint

No extra

read

inspect +

DATA_SCIENCE_PRIVATE_ENDPOINT_READ

inspect +

GetDataSciencePrivateEndpoint

CreateNotebookSession

ActivateNotebookSession

DeactivateNotebookSession

CreateModelDeployment

ActivateModelDeployment

DeactivateModelDeployment

use

read +

DATA_SCIENCE_PRIVATE_ENDPOINT_ATTACH

DATA_SCIENCE_PRIVATE_ENDPOINT_DETACH

read +

UpdateDataSciencePrivateEndpoint

No extra

manage

use +

DATA_SCIENCE_PRIVATE_ENDPOINT_CREATE

DATA_SCIENCE_PRIVATE_ENDPOINT_UPDATE

DATA_SCIENCE_PRIVATE_ENDPOINT_DELETE

DATA_SCIENCE_PRIVATE_ENDPOINT_MOVE

use +

CreateDataSciencePrivateEndpoint

DeleteDataSciencePrivateEndpoint

ChangePrivateEndpointCompartment

AttachPrivateEndpoint

DetachPrivateEndpoint

CreatePrivateEndpoint

CreateNotebookSession

ActivateNotebookSession

DeactivateNotebookSession

CreateModelDeployment

ActivateModelDeployment

DeactivateModelDeployment

data-science-schedule

Aquí se muestran las API cubiertas para el tipo de recurso data-science-schedule. Las API se muestran en orden alfabético para cada permiso.

Verbos

Permisos

API totalmente cubiertas

API parcialmente cubiertas

inspect

DATA_SCIENCE_SCHEDULE_INSPECT

ListSchedule

ListWorkRequests

No extra

read

inspect +

DATA_SCIENCE_SCHEDULE_READ

inspect +

GetSchedule

GetWorkRequest

CreateNotebookSession (también necesita manage data-science-notebook-sessions).

CreateModel (también necesita manage data-science-models).

CreateJob

CreateJobRun (también necesita create data-science-job).

use

read +

DATA_SCIENCE_SCHEDULE_USE

read +

UseSchedule

No extra

manage

use +

DATA_SCIENCE_SCHEDULE_UPDATE

DATA_SCIENCE_SCHEDULE_CREATE

DATA_SCIENCE_SCHEDULE_DELETE

DATA_SCIENCE_SCHEDULE_MOVE

use +

UpdateSchedule

CreateSchedule

DeleteSchedule

ChangeScheduleCompartment

No extra
data-science-model-groups

Las API cubiertas para el tipo de recurso data-science-model-groups se muestran aquí. Las API se muestran en orden alfabético para cada permiso.

Verbos

Permisos

API totalmente cubiertas

API parcialmente cubiertas

inspect

DATA_SCIENCE_MODEL_GROUP_INSPECT

ListModelGroups

No extra

read

inspect +

DATA_SCIENCE_MODEL_GROUP_READ

inspect +

GetModelGroup

GetModelGroupArtifact

No extra

use

read +

DATA_SCIENCE_MODEL_GROUP_UPDATE

read +

ActivateModelGroup

DeactivateModelGroup

UpdateModelGroup

 No extra

manage

use +

DATA_SCIENCE_MODEL_GROUP_CREATE

DATA_SCIENCE_MODEL_GROUP_DELETE

DATA_SCIENCE_MODEL_GROUP_MOVE

use +

CreateModelGroupArtifact

DeleteModelVersionSet

ChangeModelGroupCompartment

CreateModelGroup (también necesita read data-science-projects y use data-science-model-group-version-histories al asociar un modelo a un juego de versiones de grupo de modelos .)
data-science-model-group-version-histories

Las API cubiertas para el tipo de recurso data-science-model-group-version-histories se muestran aquí. Las API se muestran en orden alfabético para cada permiso.

Verbos

Permisos

API totalmente cubiertas

API parcialmente cubiertas

inspect

DATA_SCIENCE_MODEL_GROUP_VERSION_HISTORY__INSPECT

ListModelGroupVersionHistories

No extra

read

inspect +

DATA_SCIENCE_MODEL_GROUP_VERSION_HISTORY_READ

inspect +

GetModelGroupVersionHistory

No extra

use

read +

DATA_SCIENCE_MODEL_GROUP_VERSION_HISTORY_UPDATE

read +

UpdateModelGroupVersionHistory

 No extra

manage

use +

DATA_SCIENCE_MODEL_GROUP_VERSION_HISTORY_CREATE

DATA_SCIENCE_MODEL_GROUP_VERSION_HISTORY_DELETE

DATA_SCIENCE_MODEL_GROUP_VERSION_HISTORY_MOVE

use +

DeleteModelGroupVersionHistory

ChangeModelGroupVersionHistory

CreateModelGroupVersionHistory (también necesita read data-science-projects)

Ejemplos de políticas

Nota

Las API cubren el agregado data-science-family de Data Science y los tipos de recursos individuales. Por ejemplo, allow group <group_name> to manage data-science-family in compartment <compartment_name> es lo mismo que escribir las siguientes cuatro políticas:

allow group <group_name>> to manage <data_science_projects> in compartment 
<compartment_name>
allow group <group_name> to manage data-science-notebook-sessions in compartment 
<compartment_name>
allow group <group_name> to manage data-science-models in compartment 
<compartment_name>
allow group <group_name> to manage data-science-work-requests in compartment 
<compartment_name>
Nota

Para obtener una guía paso a paso sobre la configuración de políticas, consulte: 4. Creación de políticas en el tutorial Configuración manual de un arrendamiento de Data Science.

Ejemplo: vista de lista

Permite a un grupo ver simplemente la lista de todos los modelos de Data Science en un compartimento específico:

allow group <group_name> to inspect data-science-models in compartment 
<compartment_name>

El verbo read para data-science-models cubre los mismos permisos y operaciones de API que el verbo inspect con el permiso DATA_SCIENCE_MODEL_READ y las operaciones de API que abraca, como GetModel y GetModelArtifact.

Ejemplo: todas las operaciones

Permite a un grupo realizar todas las operaciones que se muestran para DATA_SCIENCE_MODEL_READ en un compartimento especificado:

allow group <group_name> to read data-science-models in compartment 
<compartment_name>

El verbo manage para data-science-models incluye las mismas operaciones de permisos y API que el verbo read, además de las API para los permisos DATA_SCIENCE_MODEL_CREATE, DATA_SCIENCE_MODEL_MOVE, DATA_SCIENCE_MODEL_UPDATE y DATA_SCIENCE_MODEL_DELETE. Por ejemplo, un usuario puede suprimir un modelo solo con el permiso de gestión o el permiso DATA_SCIENCE_MODEL_DELETE específico. Con el permiso read para data-science-models, un usuario no puede suprimir los modelos.

Ejemplos: gestionar todos los recursos

Permite a un grupo gestionar todos los recursos para el uso de Data Science:

allow group <group_name> to manage <data_science_family> in compartment 
<compartment_name>

Permite a un grupo gestionar todos los recursos de Data Science, excepto la supresión de proyectos de Data Science:

allow group <group_name> to manage <data_science_family> in compartment 
<compartment_name> where request.permission !='DATA_SCIENCE_PROJECT_DELETE'

Las API cubiertas para el tipo de recurso data-science-projects se muestran aquí. Las API se muestran en orden alfabético para cada permiso.

Ejemplos de políticas

Hemos identificado las siguientes sentencias de política que probablemente adoptará en un arrendamiento para despliegues de modelos:

Permite a un grupo de usuarios, <group-name>, realizar todas las operaciones de creación, lectura, actualización y supresión (CRUD) en los modelos almacenados en el catálogo de modelos. Cualquier usuario que desee desplegar un modelo a través de un despliegue de modelo también debe acceder al modelo que desee desplegar. 
allow group <group-name> to manage data-science-models 
in compartment <compartment-name>
Permite a un grupo de usuarios, <group-name>, realizar todas las operaciones del CRUD, incluida la llamada al punto final de inferencia, en recursos del despliegue del modelo en un compartimento concreto. Puede cambiar el verbo manage para limitar lo que pueden hacer los usuarios. 
allow group <group-name> to manage data-science-model-deployments 
in compartment <compartment-name>
Permite que un grupo dinámico de recursos (como sesiones del bloc de nota) realice todas las operaciones CRUD, incluida la llamada al punto final de inferencia, en recursos del despliegue de modelo en un compartimento concreto. El verbo manage se puede cambiar para limitar lo que pueden hacer los recursos. 
allow dynamic-group <dynamic-group-name> to manage  data-science-model-deployments 
in compartment <compartment-name>
O bien, puede autorizar a los recursos a hacer lo mismo. Solo el grupo dinámico de recursos del grupo dinámico especificado puede llamar al punto final del modelo para los recursos de despliegue de modelo creados en un compartimento específico. 
allow dynamic-group <dynamic-group-name-2> to {DATA_SCIENCE_MODEL_DEPLOYMENT_PREDICT} 
in compartment <compartment-name>
(Opcional) Permite que un despliegue de modelo acceda a los entornos conda publicados almacenados en un cubo de Object Storage. Esto es necesario si desea utilizar entornos conda publicados para capturar las dependencias de terceros de un modelo. 
allow any-user to read objects in compartment <compartment-name>
where ALL { request.principal.type='datasciencemodeldeployment', 
target.bucket.name=<published-conda-envs-bucket-name> }
(Opcional) Permite que un despliegue de modelo emita logs al servicio Logging. Necesita esta política si está utilizando Logging en un despliegue de modelo. Esta declaración es permisiva. Por ejemplo, puede restringir el permiso para utilizar el contenido de log en un compartimento específico.
allow any-user to use log-content in tenancy 
where ALL {request.principal.type = 'datasciencemodeldeployment'}
(Opcional) Permite que un despliegue de modelo acceda a un cubo de Object Storage que reside en un arrendamiento. Por ejemplo, un modelo desplegado que lea archivos (un archivo CSV de consulta) de un cubo de Object Storage que gestione. 
allow any-user to read objects in compartment <compartment-name> 
where ALL { request.principal.type='datasciencemodeldeployment', target.bucket.name=<bucket-name> }

Ejemplos de puestos y ejecuciones de trabajos

(Opcional) Puede integrar el registro para los trabajos. Cuando está activado, el recurso de ejecución de trabajo requiere permisos para emitir logs en el servicio Logging. Debe crear un grupo dinámico de ejecuciones de trabajos con:

all { resource.type='datasciencejobrun', resource.compartment.id='<job-run-compartment-ocid>' }

A continuación, permita que este grupo dinámico escriba en los logs del servicio Logging:

allow dynamic-group <job-runs-dynamic-group> to use log-content in compartment <your-compartment-name>

Por último, el usuario que inicia las ejecuciones de trabajos también debe tener acceso para utilizar grupos de logs y logs:

Nota

Si utiliza un grupo dinámico de principal de instancia para crear e iniciar ejecuciones de trabajos, debe aplicar políticas de grupo al grupo dinámico. En concreto, el principal de instancia debe tener definida la política to manage log-groups.

allow group <group-name> to manage log-groups in compartment <compartment-name>
allow group <group-name> to use log-content in compartment <compartment-name>

(Opcional) No se necesitan políticas adicionales para ejecutar trabajos con un entorno conda de Data Science. Para ejecutar trabajos con un entorno conda personalizado publicado, el recurso de ejecución de trabajo necesita permisos para descargar el entorno conda desde Object Storage de su arrendamiento. Debe permitir que el grupo dinámico de ejecuciones de trabajos acceda a los objetos del compartimento con:

allow dynamic-group <job-runs-dynamic-group> to read objects in compartment <compartment-name> where target.bucket.name='<bucket-name>'

Para extraer la imagen de contenedor de OCIR, agregue la siguiente política:

allow dynamic-group <your-dynamic-group> to read repos in compartment <compartment-name>

Si el repositorio está en el compartimento raíz, debe permitir la lectura para el arrendamiento con:

allow dynamic-group <your-dynamic-group> to read repos in tenancy where all {target.repo.name=<repository-name>}

Ejemplos para pipelines

Data Science utiliza otros servicios de OCI para ejecutar pipelines, principalmente trabajos. Para funcionar correctamente, los pipelines necesitan permisos para utilizar esos recursos en su arrendamiento o compartimento. Debe crear grupos dinámicos y políticas para utilizar pipelines de Data Science.

Cree un nuevo grupo dinámico o actualice un grupo dinámico existente para agregar las siguientes filas:

Para permitir que las ejecuciones de pipeline accedan a servicios de OCI como Logging, Networking, Object Storage, etc.:

all {resource.type='datasciencepipelinerun',resource.compartment.id='ocid1.compartment.oc1..<>'}

Si el pipeline incluye al menos un trabajo como paso, debe permitir que la ejecución del trabajo acceda a los recursos:

all {resource.type='datasciencejobrun',resource.compartment.id='ocid1.compartment.oc1..<>'}

Al trabajar desde sesiones de bloc de notas mediante la autenticación de entidad de recurso, deberá permitir que el bloc de notas acceda a los recursos:

all {resource.type='datasciencenotebooksession',resource.compartment.id='ocid1.compartment.oc1..<>'}

Ahora, agregue las políticas relevantes para permitir que el grupo dinámico acceda a los recursos de un compartimento o arrendamiento. A continuación se muestran algunas políticas de ejemplo útiles para el grupo dinámico:

(Opcional) Permita gestionar todos los recursos de Data Science, como blocs de notas, trabajos, pipelines, etc.:

allow dynamic-group <YOUR_DYNAMIC_GROUP_NAME> to manage data-science-family in compartment <YOUR_COMPARTMENT_NAME>

(Opcional) Permita utilizar redes, incluido el uso de OCI Object Storage y File Storage Service:

allow dynamic-group <YOUR_DYNAMIC_GROUP_NAME> to use virtual-network-family in compartment <YOUR_COMPARTMENT_NAME>

(Opcional) Permitir gestionar Object Storage:

allow dynamic-group <YOUR_DYNAMIC_GROUP_NAME> to manage objects in compartment <YOUR_COMPARTMENT_NAME>

(Opcional) Permita iniciar sesión en los logs del servicio Logging:

allow dynamic-group <YOUR_DYNAMIC_GROUP_NAME> to use log-content in compartment <YOUR_COMPARTMENT_NAME>
(Opcional) Permita leer repositorios:
allow dynamic-group <YOUR_DYNAMIC_GROUP_NAME> to read repos in compartment <YOUR COMPARTMENT NAME>
(Opcional) Permita utilizar cubos de Object Storage como montajes de almacenamiento:
allow dynamic-group <YOUR_DYNAMIC_GROUP_NAME> to use object-family in compartment <YOUR_COMPARTMENT_NAME>
allow service datascience to use object-family in compartment <YOUR_COMPARTMENT_NAME>
(Opcional) Permita utilizar File Storage como montajes de almacenamiento:
allow dynamic-group <YOUR_DYNAMIC_GROUP_NAME> use file-systems in compartment <YOUR_COMPARTMENT_NAME>
allow dynamic-group <YOUR_DYNAMIC_GROUP_NAME> use mount-targets in compartment <YOUR_COMPARTMENT_NAME>
allow service datascience to use file-systems in compartment <YOUR_COMPARTMENT_NAME>
allow service datascience to use mount-targets in compartment <YOUR_COMPARTMENT_NAME>
(Opcional) Si utiliza aplicaciones de Data Flow como pasos en pipelines: 
allow dynamic-group <YOUR_DYNAMIC_GROUP_NAME> manage dataflow-run in compartment <YOUR_COMPARTMENT_NAME>
allow dynamic-group <YOUR_DYNAMIC_GROUP_NAME> read dataflow-application in compartment <YOUR_COMPARTMENT_NAME>
allow dynamic-group <YOUR_DYNAMIC_GROUP_NAME> read object-family in compartment <YOUR_COMPARTMENT_NAME>
Asegúrese de que a los usuarios que trabajan con pipelines se les otorgan los privilegios adecuados. La siguiente política asume que los usuarios pertenecen al grupo datascienceusers.
allow group datascienceusers to inspect compartments in tenancy
allow group datascienceusers in tenancy where all {target.rule.type='managed', target.event.source in ('dataflow')}
allow group datascienceusers to read dataflow-application in compartment <YOUR_COMPARTMENT_NAME>