データ・カタログの保護
Oracle Cloud Infrastructure Data Catalogは、業界をリードするセキュリティのベスト・プラクティスに従って、コラボレーション可能なデータ検出およびガバナンス・ソリューションを提供します。
セキュリティの推奨事項
- IAMユーザーおよびグループの最小限のアクセス権限を、
data-catalog-family
のリソース・タイプに割り当てます。 - 認可されたユーザーによる誤った削除または悪意のある削除によるデータの損失を最小限に抑えるため、
CATALOG_DELETE
権限は、IAMユーザーおよびグループの最小限のセットに与えることをお薦めします。CATALOG_DELETE
権限は、テナンシとコンパートメントの管理者にのみ付与してください。 - セキュリティの脆弱性からデータ・ソースを保護するために、読取り専用アカウントのみに資格証明を提供してください。データ・カタログには、収集データ・アセットへの読取りアクセス権のみ必要です。
セキュリティ・ポリシーの例 🔗
データ・カタログの削除の防止
このポリシーを作成すると、グループDataCatalogUsers
はデータ・カタログに対してすべてのアクション(削除を除く)を実行できます。
Allow group DataCatalogUsers to manage data-catalog-family in tenancy
where request.permission!='CATALOG_DELETE'
ユーザーによるすべてのデータ・カタログ・インスタンスの読取りを許可 🔗
このポリシーを作成して、グループDataCatalogUsers
がテナンシまたは特定のコンパートメント内のすべてのデータ・カタログ・インスタンスを読み取ることを許可します。
Allow group DataCatalogUsers to read data-catalog-family in tenancy
Allow group DataCatalogUsers to read data-catalog-family in compartment <compartment-name>
ユーザーがデータ・カタログのデータ・アセットにアクセスできるようにします 🔗
このポリシーを作成して、グループ
DataCatalogUsers
がテナンシまたはコンパートメント内のデータ・アセットの読取りまたは使用を許可します。たとえば、グループによるデータ・アセットの読取りを許可するポリシーは次のとおりです。Allow group DataCatalogUsers to use data-catalog-data-assets in tenancy
Allow group DataCatalogUsers to use data-catalog-data-assets in compartment <compartment-name> where target.catalog.id = '<catalog-OCID>'
ユーザーがデータ・カタログの特定のデータ・アセットにアクセスできるようにします 🔗
このポリシーを作成して、グループDataCatalogUsers
がテナンシまたはコンパートメント内の特定のデータ・アセットの読取りまたは使用を許可します。たとえば、特定のデータ・アセットの読取りをグループに許可するポリシーは次のとおりです:
Allow group DataCatalogUsers to read data-catalog-data-assets in tenancy where target.data.asset.key = '<data-asset-key>'
ユーザーがデータ・カタログの用語集にアクセスできるようにします 🔗
このポリシーを作成して、グループDataCatalogUsers
がテナンシまたはコンパートメント内の用語集の読取りまたは使用を許可します。たとえば、グループで用語集を読み取ることができるポリシーは次のとおりです。
Allow group DataCatalogUsers to use data-catalog-glossaries in tenancy
Allow group DataCatalogUsers to use data-catalog-glossaries in compartment <compartment-name> where target.catalog.id = '<catalog-OCID>'
ポリシーの作成の詳細は、データ・カタログ・ポリシーを参照してください。