データ・カタログの保護

Oracle Cloud Infrastructure Data Catalogは、業界をリードするセキュリティのベスト・プラクティスに従って、コラボレーション可能なデータ検出およびガバナンス・ソリューションを提供します。

セキュリティの推奨事項

IAMユーザーおよびグループの最小限のアクセス権限を、data-catalog-familyのリソース・タイプに割り当てます。
認可されたユーザーによる誤った削除または悪意のある削除によるデータの損失を最小限に抑えるため、CATALOG_DELETE権限は、IAMユーザーおよびグループの最小限のセットに与えることをお薦めします。CATALOG_DELETE権限は、テナンシとコンパートメントの管理者にのみ付与してください。
セキュリティの脆弱性からデータ・ソースを保護するために、読取り専用アカウントのみに資格証明を提供してください。データ・カタログには、収集データ・アセットへの読取りアクセス権のみ必要です。

このポリシーを作成すると、グループDataCatalogUsersはデータ・カタログに対してすべてのアクション(削除を除く)を実行できます。

Allow group DataCatalogUsers to manage data-catalog-family in tenancy
 where request.permission!='CATALOG_DELETE'

このポリシーを作成して、グループDataCatalogUsersがテナンシまたは特定のコンパートメント内のすべてのデータ・カタログ・インスタンスを読み取ることを許可します。

Allow group DataCatalogUsers to read data-catalog-family in tenancy

Allow group DataCatalogUsers to read data-catalog-family in compartment <compartment-name>

このポリシーを作成して、グループDataCatalogUsersがテナンシまたはコンパートメント内のデータ・アセットの読取りまたは使用を許可します。たとえば、グループによるデータ・アセットの読取りを許可するポリシーは次のとおりです。

Allow group DataCatalogUsers to use data-catalog-data-assets in tenancy

Allow group DataCatalogUsers to use data-catalog-data-assets in compartment <compartment-name> where target.catalog.id = '<catalog-OCID>'

このポリシーを作成して、グループDataCatalogUsersがテナンシまたはコンパートメント内の特定のデータ・アセットの読取りまたは使用を許可します。たとえば、特定のデータ・アセットの読取りをグループに許可するポリシーは次のとおりです:

Allow group DataCatalogUsers to read data-catalog-data-assets in tenancy where target.data.asset.key = '<data-asset-key>'

このポリシーを作成して、グループDataCatalogUsersがテナンシまたはコンパートメント内の用語集の読取りまたは使用を許可します。たとえば、グループで用語集を読み取ることができるポリシーは次のとおりです。

Allow group DataCatalogUsers to use data-catalog-glossaries in tenancy

Allow group DataCatalogUsers to use data-catalog-glossaries in compartment <compartment-name> where target.catalog.id = '<catalog-OCID>'

ポリシーの作成の詳細は、データ・カタログ・ポリシーを参照してください。