Prérequis pour l'activation et l'utilisation de Data Safe

La console Oracle Cloud Infrastructure dépend des droits d'accès de l'utilisateur connecté pour répertorier et créer des stratégies dans la location Oracle Cloud Infrastructure. Selon les autorisations de l'utilisateur, deux scénarios s'appliquent :

• Scénario 1 – L'utilisateur est autorisé à gérer les stratégies Identity and Access Management (gestion : lecture et ajout de nouvelles stratégies). Dans ce cas, la console Oracle Cloud Infrastructure vérifie si les stratégies Data Safe pour le service Fusion Data Intelligence existent. Si les stratégies sont manquantes, la console crée automatiquement les stratégies de service. Après cela, l'utilisateur applicable peut créer l'instance Fusion Data Intelligence avec Data Safe ou inscrire une instance existante auprès de Data Safe.

• Scénario 2 – L'utilisateur est autorisé uniquement à lire les stratégies Identity and Access Management. Dans ce cas, la console Oracle Cloud Infrastructure vérifie si les stratégies Data Safe pour le service Fusion Data Intelligence existent. Si les stratégies sont déjà en place, l'utilisateur peut poursuivre la création de l'instance avec Data Safe ou inscrire l'instance existante auprès de Data Safe. Si les stratégies ne sont pas présentes, l'utilisateur concerné doit désactiver la case Activer Data Safe lors de la création de l'instance Fusion Data Intelligence pour continuer ou arrêter la création de l'instance et demander à l'administrateur de service de configurer les utilisateurs, les groupes et les stratégies Identity and Access Management.

  Bien qu'un administrateur de service puisse écrire les stratégies Identity and Access Management en fonction de ses besoins, ces exemples de stratégie peuvent être utiles lors de la création et de la gestion des instances Fusion Data Intelligence avec Data Safe :

  allow group <identity_domain_name>/FDIDataSafeUsers to read compartments in tenancy
  allow group <identity_domain_name>/FDIDataSafeUsers to read domains in tenancy
  allow group <identity_domain_name>/FDIDataSafeUsers to manage policy in tenancy

• Remarque
  
  Remplacez FDIDataSafeUsers par le groupe Identity and Access Management approprié.

Lorsque vous activez Data Safe pour la solution Autonomous Data Warehouse applicable, Fusion Data Intelligence crée plusieurs ressources Data Safe telles que targetDataBase, auditPolicy, auditProfile, auditTrial et alertPolicyAssociations, entre autres. Créez la stratégie générale suivante pour gérer les ressources Data Safe dans la location :

allow group <identity_domain_name>/FDIDataSafeUsers to manage data-safe-family in tenancy

Fusion Data Intelligence requiert l'autorisation d'effectuer les opérations liées à Data Safe sur l'instance Autonomous Data Warehouse associée. Le système vérifie que l'utilisateur connecté dispose des droits d'accès permettant de répertorier et d'ajouter des stratégies, et si l'utilisateur connecté dispose des droits d'accès et si les stratégies ne sont pas encore créées, le système crée les stratégies suivantes :

allow any-user to manage data-safe in tenancy where all {request.principal.type = 'fawservice', request.principal.compartment.id = target.compartment.id}
allow any-user to manage data-safe-assessment-family in tenancy where all {request.principal.type = 'fawservice', request.principal.compartment.id = target.compartment.id}
allow any-user to manage data-safe-alert-family in tenancy where all {request.principal.type = 'fawservice', request.principal.compartment.id = target.compartment.id}
allow any-user to manage data-safe-audit-family in tenancy where all {request.principal.type = 'fawservice', request.principal.compartment.id = target.compartment.id}
allow any-user to manage virtual-network-family in tenancy where all {request.principal.type = 'fawservice', request.principal.compartment.id = target.compartment.id}