ドキュメント理解ポリシーについて

API権限を含むDocument Understandingのリソース・ポリシーについて説明します。

ドキュメント理解にアクセスできるユーザーおよび各ユーザー・グループのアクセスのタイプを管理するには、ポリシーを作成する必要があります。デフォルトでは、管理者グループのユーザーのみがすべてのDocument Understandingリソースにアクセスできます。サービスを使用する他のすべてのユーザーについて、Document Understandingリソースに対する適切な権限を割り当てるポリシーを作成する必要があります。Oracle Cloud Infrastructureポリシーの完全なリストは、アイデンティティ・ドメインのあるIAMまたはアイデンティティ・ドメインのないIAMのポリシー・リファレンスを参照してください。

重要

ルート・コンパートメント・レベル(テナンシ・レベル)ですべてのポリシーを作成します。テナンシ・コンソールで、「アイデンティティとセキュリティ」をクリックします。「ポリシー」をクリックし、ルート・コンパートメントを選択します。

Document Understanding APIへのアクセス権をユーザーに付与するポリシー

Document Understandingユーザーに必要なルート・コンパートメント・レベルのポリシー。

MANAGE権限を付与するポリシーの適用

Document Understanding APIに権限を付与するポリシーで十分です。
allow group <group_in_tenancy> to manage ai-service-document-family in tenancy

オブジェクト・ストレージの入力イメージ・ファイルにアクセスするポリシー

同じテナンシまたはクロステナンシのDocument Understandingからオブジェクト・ストレージのイメージ・ファイルにアクセスするために必要なポリシー。

同一テナンシのオブジェクト・ストレージ・アクセス

入力イメージがテナンシのオブジェクト・ストレージで見つかった場合は、テナンシにグループを作成して、そこでオブジェクト・ストレージにアクセスできるユーザーを認可します。ルート・コンパートメント・レベルでテナンシに次のポリシーを追加して、オブジェクト・ストレージUSE権限をグループに付与します:
allow group <group_in_tenancy> to manage object-family in tenancy

オブジェクト・ストレージへのクロステナンシ・アクセス

入力イメージがtenancy_Bオブジェクト・ストレージにあり、ユーザー・グループがtenancy_Aにある場合は、テナンシAのユーザー・グループに対してENDORSE READポリシーを定義します。
define tenancy <tenancy_B> as <tenancy_B_ocid>
endorse group <group_in_tenancy_A> to read object in tenancy <tenancy_B>
tenancy_Aのユーザー・グループのADMIT READポリシーをtenancy_Bに定義します。
define tenancy <tenancy_A> as <tenancy_A_ocid>
define group <group_in_tenancy_A> as <group_in_tenancy_A_ocid>
admit group <group_in_tenancy_A> of tenancy <tenancy_A> to read object in tenancy

結果をオブジェクト・ストレージに格納するポリシー

Document Understandingからのオブジェクト・ストレージに結果を格納するために必要なポリシー。

ルート・コンパートメント・レベルでテナンシに次のポリシーを追加します

このポリシーは、ドキュメントを処理しているグループにオブジェクト・ストレージへのアクセス権を付与します:
allow group <group_in_tenancy> to manage object-family in compartment <output_bucket_located_object_storage_compartment>