Oracle Cloud Infrastructureドキュメント

アイデンティティ・ポリシー設定

データ・フローでは、SQLエンドポイントを管理できるように、リソースにアクセスするためにIAMでポリシーを設定する必要があります。

ポリシーは手動で作成できます。IAMポリシーの動作の詳細は、Identity and Access Managementを参照してください。ポリシーに追加するタグおよびタグ・ネームスペースの詳細は、タグおよびタグ・ネームスペースの管理を参照してください。

ポリシーの手動作成

IAMのテンプレートを使用してデータ・フローのポリシーを作成するかわりに、IAMのポリシー・ビルダーでポリシーを作成できます。

アイデンティティ・ドメインを使用またはアイデンティティ・ドメインを使用しないIAMのポリシーの管理のステップに従って、次のポリシーを手動で作成します:

ユーザー・ポリシー

IAMでユーザー・ポリシーを適用します。

SQLエンドポイントの管理に似たユーザーの場合:
  • アイデンティティ・サービスdataflow-sql-endpoints-adminにグループを作成し、このグループにユーザーを追加します。
  • dataflow-sql-endpoints-adminというポリシーを作成し、次のステートメントを追加します:
    ALLOW GROUP dataflow-sql-endpoints-admin TO MANAGE dataflow-sqlendpoint IN compartment <compartment-id>
ALLOW GROUP dataflow-sql-endpoints-admin TO INSPECT data-catalog-metastores IN compartment <compartment-id>
その他すべてのユーザー(SQLエンドポイントを介してSQLを接続および実行する権限のみを持つユーザー):
  • アイデンティティ・サービスdataflow-sqlendpoint-usersにグループを作成し、このグループにユーザーを追加します。
  • dataflow-sqlendpoint-usersというポリシーを作成し、SQLエンドポイントの作成後に次のステートメントを追加します:
    ALLOW GROUP dataflow-sqlendpoint-users TO USE dataflow-sqlendpoint IN compartment <compartment-id> WHERE target.dataflow-sqlendpoint.id = <sql-endpoint-ocid>
アイデンティティ・プロバイダによるフェデレーション

SAML 2.0準拠のアイデンティティ・プロバイダを使用して、データ・フローSQLクラスタへのシングル・サインオンを有効にできます。

アイデンティティ・フェデレーションSAML 2.0システム(Oracle Identity Cloud Service、Microsoft Active Directory、Okta、またはSAML 2.0をサポートする他のプロバイダなど)を使用する場合は、Oracle Cloud Infrastructure Consoleなどの多くのシステムで1つのユーザー名とパスワードを使用できます。このシングル・サインオン操作を有効にするには、テナント管理者(または同等の権限を持つ別のユーザー)がIAMでフェデレーション信頼を設定する必要があります。アイデンティティ・プロバイダに適した詳細は、次を参照してください:

フェデレーション信頼を構成したら、Oracle Cloud Infrastructure Consoleを使用して、適切なアイデンティティ・プロバイダ・ユーザー・グループを、アイデンティティ・サービスの必要なデータ・フロー・ユーザー・グループにマップします。

メタストア・ポリシー

データ・フローのSQLエンドポイントでは、テナンシ内のメタストアでユーザーまたはグループのかわりにアクションを実行する権限が必要です。

SQLエンドポイントへのアクセスは、次の2つの方法で付与できます。
  • ポリシーdataflow-sqlendpoint-metastoreを作成し、次のステートメントを追加します:
    ALLOW any-user to {CATALOG_METASTORE_EXECUTE} in tenancy where request.principal.type = 'dataflowsqlendpoint'
  • 動的グループの作成:
    ALL {resource.compartment.id = '<compartment_id>'}
    次のポリシーを追加します。
    ALLOW DYNAMIC-GROUP <dynamic-group-name> to {CATALOG_METASTORE_EXECUTE, CATALOG_METASTORE_INSPECT, CATALOG_METASTORE_READ}
in tenancy WHERE ALL {request.principal.type='dataflowsqlendpoint'}
ノート

テナンシごとに許可されるメタストアは1つのみです。
プライベート・エンドポイント・ポリシー

プライベート・エンドポイントでデータ・フローSQLエンドポイントを使用するには、ポリシーが必要です。

プライベート・エンドポイントを作成、編集または管理するには、次のポリシーが必要です。
  • virtual-network-familyの使用を許可するには:
    ALLOW GROUP dataflow-sql-endpoint-admin TO USE virtual-network-family IN compartment <compartment-name>
  • 特定のリソースへのアクセスを許可するには:
    ALLOW GROUP dataflow-sql-endpoint-admin TO MANAGE vnics IN compartment <compartment-name>
ALLOW GROUP dataflow-sql-endpoint-admin TO USE subnets IN compartment <compartment-name>
ALLOW GROUP dataflow-sql-endpoint-admin TO USE network-security-groups IN compartment <compartment-name>
  • 特定の操作へのアクセスを許可するには:
    ALLOW GROUP dataflow-sql-endpoint-admin TO MANAGE virtual-network-family IN compartment <compartment-name>
   WHERE any {request.operation='CreatePrivateEndpoint',
              request.operation='UpdatePrivateEndpoint',
              request.operation='DeletePrivateEndpoint'}

これらの例ではポリシーをdataflow-sql-endpoint-adminに付与しますが、これらのポリシーをユーザーのサブセットに付与することを選択できます。これにより、プライベート・エンドポイントで操作を実行できるユーザーが制限されます。

プライベート・エンドポイント構成をアクティブ化するか、ネットワーク構成をインターネットに戻すことができるSQLエンドポイントを作成できるSQLエンドポイントを作成できるのは、dataflow-SQL-endpoint-adminグループのユーザーのみです。適切な権限セットについては、セキュリティを参照してください。dataflow-SQL-endpoint-usersグループのユーザーは、SQLエンドポイントに接続してSQLを実行できます。
ノート

プライベート・エンドポイントは、正しく構成されている場合、VCN上のプライベート・リソースとインターネット・リソースの組合せにアクセスできます。プライベート・エンドポイントを構成する場合は、「DNSゾーン」セクションでこれらのリソースのリストを指定します。
プライベート・エンドポイントの詳細は、プライベート・ネットワークの構成を参照してください。