Oracle Cloud Infrastructureドキュメント

データ・ソースの設定

収集するデータ・ソースをデータ・カタログに登録します。データ・ソースをデータ・アセットとして登録します。

データ・アセットは、サポートされている様々なデータ・ソースから作成されます。データ・アセットを設定および管理するには、次を参照してください:

データ統合データ・アセットに必要なIAMポリシー

OCIデータ統合データ・アセットを作成する前に、次のポリシーを設定して、データ統合データ・アセットを作成、収集し、その系統を表示します。

前提条件として、特定のデータ・カタログOCIDを含む動的グループをグループのリソースとして作成します。

Any {resource.id = '<catalog_ocid>'}

  • データ・カタログ・インスタンスがデータ統合ワークスペースを読み取り、系統メタデータを収集できるようにするには、次のポリシーを設定します。

    Allow dynamic-group <dynamic-group-name> to read dis-workspaces in compartment <DIS Workspace Compartment>
    Allow dynamic-group <dynamic-group-name> to read dis-workspaces-lineage in compartment <DIS Workspace Compartment>
    ノート

    次のサービス・プリンシパルベースのポリシーを使用している場合は、2024年2月28日までに前の段落で説明したポリシーに変更する必要があります:
    Allow dynamic-group <dynamic-group-name> to use dis-workspaces in compartment <DIS Workspace Compartment>
    Allow service datacatalog to {DIS_WORKSPACE_LINEAGE_INSPECT, DIS_WORKSPACE_OBJECT_INSPECT} in compartment <DIS Workspace Compartment Name>

  • 系統を表示するには、CATALOG_DATA_ASSET_READ権限が必要です。

    Allow <any-user> to read data-catalog-data-assets in compartment <compartment name> where target.catalog.id='<Data Catalog OCID>'

データ・フロー・データ・アセットに必要なIAMポリシー

別のテナンシでOCIデータ・フローのデータ・アセットをカタログに作成する前に、次のポリシーを設定します。

データ・カタログ・テナンシで、次のように設定します。

admit any-user of tenancy <Data Flow Tenancy> to manage data-catalog-data-assets in tenancy where all {request.principal.type = 'dataflowrun'}

データ・フロー・テナンシで、次のように設定します。

endorse any-user to manage data-catalog-data-assets in tenancy <Data Catalog Tenancy> where all {request.principal.type = 'dataflowrun'}

データ・フロー・アプリケーションとデータ・カタログが同じテナンシにある場合は、次のポリシーを設定します: 

allow any-user to manage data-catalog-data-assets in tenancy where all {request.principal.type = 'dataflowrun'}

メタストアに必要なIAMポリシー

メタストア・データ・アセットを作成する前に、必要なデータ・オブジェクトにアクセスできるようにポリシーを作成します。

前提条件として、特定のデータ・カタログOCIDをグループのリソースとして含む動的グループを作成します
Any {resource.id = ‘<catalog_ocid>’ }
テナンシ内のすべてのメタストアへのアクセスを許可

このポリシーを作成して、ポリシーが作成されたテナンシ内の任意のコンパートメントにある任意のメタストア・インスタンスへのアクセスを許可します。 

allow DYNAMIC-GROUP <group_name> to USE data-catalog-metastores in tenancy
コンパートメント内のすべてのメタストアへのアクセスを許可
次のポリシーを作成して、動的グループがコンパートメント内のすべてのメタストアにアクセスするようにします:
allow DYNAMIC-GROUP <group_name> to USE data-catalog-metastores in compartment <compartment name>
特定のメタストア・インスタンスへのアクセスを許可
次のポリシーを作成して、動的グループが特定のメタストアにアクセスするようにします:
allow DYNAMIC-GROUP <group_name> to USE data-catalog-metastores in tenancy where target.metastore.id='<metastore ocid>'

MySQLデータ・アセットに必要なIAMポリシー

OCI MySQLデータベース・サービスをデータ・ソースとして使用して、MySQLデータ・アセットを作成できます。この項では、AdministratorsというグループがMySQLデータベース・サービスを使用するために必要なポリシーについて学習します。

このポリシーを作成して、Administratorsグループのメンバーに、テナンシ内のすべてのコンパートメントの内容のリスト表示と読取りを許可します:
Allow group Administrators to {COMPARTMENT_INSPECT} in tenancy
このポリシーを作成して、Administratorsグループのメンバーに、サブネットの読取り、アタッチおよびデタッチ、およびテナンシ内の仮想クラウド・ネットワーク(VCN)の読取りを許可します:
Allow group Administrators to {VCN_READ, SUBNET_READ, SUBNET_ATTACH, SUBNET_DETACH} in tenancy
ノート

DBシステムをVCNにアタッチするには、これらのリソース・タイプにアクセスする必要があります。
このポリシーを作成して、Administratorsグループのメンバーに、テナンシ内のMySQLデータベース・サービスのすべての要素へのアクセスを許可します:
Allow group Administrators to manage mysql-family in tenancy
このポリシーを作成して、MySQLデータベースからデータを収集します:
allow group <your-group-name> to use mysql-instances in tenancy

Oracle Object Storageデータ・アセットに必要なIAMポリシー

Oracle Object Storageデータ・アセットを作成する前に、必要なデータ・オブジェクトへのアクセスを有効にするポリシーを作成します。これらのポリシーを作成した後、オブジェクト・ストレージのデータ・アセットを収集すると、データ・カタログ・インスタンスがアクセスできるデータ・エンティティのみがリストされます。表示されたリストから、収集するデータ・オブジェクトを選択できます。

少なくとも、個々のすべてのリソース・タイプobjectstorage-namespacesbucketsおよびobjectsに対する、またはオブジェクト・ストレージ集計リソース・タイプobject-familyに対するREAD権限が必要です。手順は、Oracle Object Storageからの収集のチュートリアルを参照してください。

オブジェクト・ストレージ内のデータ・カタログ・アクセス・オブジェクトを許可するリソース・プリンシパル・ポリシーを作成します。前提条件として、特定のデータ・カタログOCIDをグループのリソースとして含む動的グループを作成します

例:

Any {resource.id = 'ocid.datacatalog.oc1..<unique_ID>'}
同じテナンシに必要なIAMポリシー

データ・カタログ・インスタンスとオブジェクト・ストレージが同じテナンシにある場合は、次のポリシーを使用します:

  • このポリシーは、root_compartmentに対してのみ作成し、テナンシ内の任意のバケット、任意のコンパートメントにある任意のオブジェクトへのアクセスを許可します。このポリシーのスコープはテナンシ全体であるため、子コンパートメントはルートまたは親コンパートメントにアクセスできません。
    allow dynamic-group <dynamic-group-name> to read object-family in tenancy

同じテナンシ内の特定のバケットおよびコンパートメントにアクセスするには、ポリシーの例を参照してください。

異なるテナンシに必要なIAMポリシー

データ・カタログ・インスタンスとオブジェクト・ストレージが異なるテナントにある場合は、前提条件として次のポリシーを作成します。

カタログ・テナンシ:

  • オブジェクト・ストレージOCIDを識別するテナンシtenancy-name1を定義してから、動的グループdynamic-group-name1を承認して<tenancy-name1>object-familyを管理します。
    Define tenancy <tenancy-name1> as <object-storage-tenancy-OCID>
Endorse dynamic-group <dynamic-group-name1> to manage object-family in tenancy <tenancy-name1>

オブジェクト・ストレージ・テナントで:

  • カタログ・テナンシOCIDを持つテナンシtenancy-name2を定義します。カタログ・テナンシで作成されたdynamic-group-name1のOCIDを使用してdynamic-group-name2を定義してから、dynamic-group-name2を許可してオブジェクト・ストレージ・テナンシのobject-familyを管理します。
    Define tenancy <tenancy-name2> as <catalog-tenancy-OCID>
Define dynamic-group <dynamic-group-name2> as <dynamic-group-name1-OCID>
Admit dynamic-group <dynamic-group-name2> of tenancy <tenancy-name2> to manage object-family in tenancy

異なるテナンシの特定のバケットおよびコンパートメントにアクセスするには、ポリシーの例を参照してください。

OCI Vaultを使用するために必要なIAMポリシー

Oracle Cloud Infrastructure Vaultを使用するには、データ・カタログ・サービスをグループのリソースとして含む動的グループを作成します。 

Any {resource.type='datacatalog' }
次のポリシーを作成して、動的グループがシークレットを読み取れるようにします:
Allow dynamic-group <dynamic group name> to read secret-family in tenancy
Oracle WalletをOCI Vaultのシークレットとともに使用するには、次のようにする必要があります:
  • ウォレットをダウンロードするときに、ウォレット・パスワードを指定します。
  • ダウンロードしたウォレットzipから.p12ファイルを削除します。
  • 任意のbase64エンコーダを使用して、変更したウォレットzipをbase64にエンコードします。
  • base64でエンコードしたデータをボールトのシークレットにコピーします。
  • データベース・パスワードにシークレットを作成します。