ドキュメント理解ポリシーについて
API権限を含むDocument Understandingのリソース・ポリシーについて説明します。
ドキュメント理解にアクセスできるユーザーおよび各ユーザー・グループのアクセスのタイプを管理するには、ポリシーを作成する必要があります。デフォルトでは、管理者グループのユーザーのみがすべてのDocument Understandingリソースにアクセスできます。サービスを使用する他のすべてのユーザーについて、Document Understandingリソースに対する適切な権限を割り当てるポリシーを作成する必要があります。Oracle Cloud Infrastructureポリシーの完全なリストは、アイデンティティ・ドメインのあるIAMまたはアイデンティティ・ドメインのないIAMのポリシー・リファレンスを参照してください。
重要
ルート・コンパートメント・レベル(テナンシ・レベル)ですべてのポリシーを作成します。テナンシ・コンソールで、「アイデンティティとセキュリティ」をクリックします。「ポリシー」をクリックし、ルート・コンパートメントを選択します。
ルート・コンパートメント・レベル(テナンシ・レベル)ですべてのポリシーを作成します。テナンシ・コンソールで、「アイデンティティとセキュリティ」をクリックします。「ポリシー」をクリックし、ルート・コンパートメントを選択します。
Document Understanding APIへのアクセス権をユーザーに付与するポリシー
Document Understandingユーザーに必要なルート・コンパートメント・レベルのポリシー。
MANAGE権限を付与するポリシーの適用
Document Understanding APIに権限を付与するポリシーで十分です。
allow group <group_in_tenancy> to manage ai-service-document-family in tenancy
オブジェクト・ストレージの入力イメージ・ファイルにアクセスするポリシー
同じテナンシまたはクロステナンシのDocument Understandingからオブジェクト・ストレージのイメージ・ファイルにアクセスするために必要なポリシー。
同一テナンシのオブジェクト・ストレージ・アクセス
入力イメージがテナンシのオブジェクト・ストレージで見つかった場合は、テナンシにグループを作成して、そこでオブジェクト・ストレージにアクセスできるユーザーを認可します。ルート・コンパートメント・レベルでテナンシに次のポリシーを追加して、オブジェクト・ストレージUSE権限をグループに付与します:
allow group <group_in_tenancy> to manage object-family in tenancy
オブジェクト・ストレージへのクロステナンシ・アクセス
入力イメージがtenancy_Bオブジェクト・ストレージにあり、ユーザー・グループがtenancy_Aにある場合は、テナンシAのユーザー・グループに対してENDORSE READポリシーを定義します。
tenancy_Aのユーザー・グループのADMIT READポリシーをtenancy_Bに定義します。
define tenancy <tenancy_B> as <tenancy_B_ocid>
endorse group <group_in_tenancy_A> to read object in tenancy <tenancy_B>
define tenancy <tenancy_A> as <tenancy_A_ocid>
define group <group_in_tenancy_A> as <group_in_tenancy_A_ocid>
admit group <group_in_tenancy_A> of tenancy <tenancy_A> to read object in tenancy
結果をオブジェクト・ストレージに格納するポリシー
Document Understandingからのオブジェクト・ストレージに結果を格納するために必要なポリシー。
ルート・コンパートメント・レベルでテナンシに次のポリシーを追加します
このポリシーは、ドキュメントを処理しているグループにオブジェクト・ストレージへのアクセス権を付与します:
allow group <group_in_tenancy> to manage object-family in compartment <output_bucket_located_object_storage_compartment>