Oracle Cloud Infrastructureドキュメント

Data Safeの有効化および使用の前提条件

Fusion Data Intelligenceインスタンスに関連付けられたAutonomous Data WarehouseインスタンスでData Safeを有効にして使用するために、適用可能なユーザーおよびサービス権限が設定されていることを確認します。また、Autonomous Data WarehouseインスタンスでData Safeからのネットワーク・トラフィックが許可されていることも確認する必要があります。

必要な権限は次のとおりです。
  • ユーザー権限
    • 一般的なOracle Cloud Infrastructure Identity and Access Managementポリシー – ユーザーは、Oracle Cloud Infrastructureテナンシ内のポリシーをリストおよび追加できます。
    • Data Safeポリシー – ユーザーは、Data Safeリソースを表示および管理できます。
  • サービス権限- Fusion Data Intelligenceには、Fusion Data IntelligenceインスタンスのAutonomous Data WarehouseでData Safeを有効にする権限が必要です。

Oracle Cloud Infrastructure Identity and Access Managementポリシーを管理するためのユーザー権限

Oracle Cloud Infrastructure Consoleは、Oracle Cloud Infrastructureテナンシでポリシーをリストおよび作成するためのサインイン・ユーザーの権限に依存します。ユーザーの権限に応じて、次の2つのシナリオが適用されます。
  • シナリオ1– ユーザーには、Identity and Access Managementポリシーを管理する権限があります(管理- 新しいポリシーの読取りと追加の両方)。この場合、Oracle Cloud Infrastructure Consoleは、Fusion Data IntelligenceサービスのData Safeポリシーが存在するかどうかを検証します。ポリシーがない場合は、コンソールによってサービス・ポリシーが自動的に作成されます。この後、適用可能なユーザーは、Data Safeを使用してFusion Data Intelligenceインスタンスを作成するか、既存のインスタンスをData Safeに登録できます。

  • シナリオ2– ユーザーには、Identity and Access Managementポリシーを読み取る権限のみがあります。この場合、Oracle Cloud Infrastructure Consoleは、Fusion Data IntelligenceサービスのData Safeポリシーが存在するかどうかを検証します。ポリシーがすでに適用されている場合、ユーザーはData Safeを使用してインスタンスを作成するか、既存のインスタンスをData Safeに登録できます。ポリシーが存在しない場合、適用可能なユーザーは、Fusion Data Intelligenceインスタンスの作成中に「Data Safeの有効化」チェック・ボックスを無効にして、インスタンスの作成を続行または停止し、サービス管理者にIdentity and Access Managementユーザー、グループおよび書込みポリシーの構成を依頼する必要があります。

    サービス管理者は要件に従ってIdentity and Access Managementポリシーを記述できますが、次のサンプル・ポリシーは、Data Safeを使用してFusion Data Intelligenceインスタンスを作成および管理する際に役立ちます。
    allow group <identity_domain_name>/FDIDataSafeUsers to read compartments in tenancy
allow group <identity_domain_name>/FDIDataSafeUsers to read domains in tenancy
allow group <identity_domain_name>/FDIDataSafeUsers to manage policy in tenancy
  • ノート

    FDIDataSafeUsersを適切なIdentity and Access Managementグループに置き換えます。

Data Safeリソースを表示および管理するためのユーザー権限

該当するAutonomous Data Warehouseに対してData Safeを有効にすると、Fusion Data Intelligenceによって、targetDataBase、auditPolicy、auditProfile、auditTrial、alertPolicyAssociationsなどの複数のData Safeリソースが作成されます。次の広範なポリシーを作成して、テナンシのData Safeリソースを管理します:
allow group <identity_domain_name>/FDIDataSafeUsers to manage data-safe-family in tenancy
ノート

FDIDataSafeUsersを適切なIdentity and Access Managementグループに置き換えます。

ただし、サービス管理者は、該当するIdentity and Access Managementグループへの限定的なアクセスを提供できます。Autonomous DatabaseのIAMポリシーおよびOracle Data SafeユーザーのIAMポリシーの作成を参照してください。

Data Safe操作を実行するためのFusion Data Intelligenceの権限

Fusion Data Intelligenceには、関連付けられたAutonomous Data WarehouseでData Safe関連の操作を実行する権限が必要です。システムは、サインイン・ユーザーにポリシーをリストおよび追加する権限があることを検証し、サインイン・ユーザーに権限があり、ポリシーがまだ作成されていない場合は、次のポリシーを作成します。
allow any-user to manage data-safe in tenancy where all {request.principal.type = 'fawservice', request.principal.compartment.id = target.compartment.id}
allow any-user to manage data-safe-assessment-family in tenancy where all {request.principal.type = 'fawservice', request.principal.compartment.id = target.compartment.id}
allow any-user to manage data-safe-alert-family in tenancy where all {request.principal.type = 'fawservice', request.principal.compartment.id = target.compartment.id}
allow any-user to manage data-safe-audit-family in tenancy where all {request.principal.type = 'fawservice', request.principal.compartment.id = target.compartment.id}
allow any-user to manage virtual-network-family in tenancy where all {request.principal.type = 'fawservice', request.principal.compartment.id = target.compartment.id}

Fusion Data IntelligenceのData Safeポリシーは、テナンシのルート・コンパートメントのFDI_ADW_Data_Safe_Policyファイルに作成されます。Autonomous Data Warehouseでデータ・セーフ操作を実行するようにFusion Data Intelligenceを制限しないように、このポリシー・ファイルのポリシー・ステートメントを更新する際には注意が必要です。

ネットワーク・アクセス

関連付けられたAutonomous Data WarehouseインスタンスでData Safeからのネットワーク・トラフィックが許可されていることを確認します。「アクセス制御ルール(ACL)およびプライベート・エンドポイントを使用したネットワーク・アクセス権の構成」を参照してください。