Oracle Cloud Infrastructureドキュメント

OCIデータ・フローへの公開

データ統合サービスからOracle Cloud Infrastructure Data Flowサービスに公開できるのは、データ統合の統合タスクおよびデータ・ローダー・タスクのみです。

タスクをOCIデータ・フローに公開すると、OCIオブジェクト・ストレージにJARファイルが作成され、JARファイルを指すアプリケーションがデータ・フロー・サービスに作成されます。

公開後、OCIデータ・フローでアプリケーションを実行して、コンピュート・シェイプを選択したり、データ・フロー実行をモニターおよび診断できます。タスクにパラメータが割り当てられている場合、OCIデータ・フロー・アプリケーションはデフォルトのパラメータ値を使用して作成されます。ただし、OCIデータ・フローでアプリケーションを実行する場合は、パラメータ値を入力できません。

次のページでは、タスクをOCIデータ・フローに公開する方法と、公開後に実行できる特定のタスクについて説明します:

必要な設定およびポリシー

タスクをOCIデータ・フロー・サービスに公開する前に、次のものがあることを確認してください:

  • 実行可能ファイルの公開先のオブジェクト・ストレージ・データ・アセット

  • オブジェクト・ストレージ内のJAR用のバケット

  • オブジェクト・ストレージにアクセスするための関連する権限およびIAMポリシー(OCIオブジェクト・ストレージへのアクセスを有効にするポリシーの例を参照)。

  • 関連する権限とIAMポリシー:

    allow any-user to manage dataflow-application in compartment <compartment-name> where ALL {request.principal.type = 'disworkspace', request.principal.id = '<workspace-ocid>'}
    allow any-user to manage dataflow-run in compartment <compartment-name> where ALL {request.principal.type = 'disworkspace', request.principal.id = '<workspace-ocid>'}
    allow group <group-name> to read dataflow-application in compartment <compartment-name>
    allow group <group-name> to manage dataflow-run in compartment <compartment-name>

プライベート・エンドポイント

デフォルトでは、OCIデータ・フロー・アプリケーションはパブリック・インターネット・アクセスを使用して作成されます。プライベート・エンドポイントを使用してOCIデータ・フローに公開するように選択できます。たとえば、プライベート・ネットワーク内でホストされているタスクでデータ・ソースを使用する場合は、プライベート・エンドポイントを使用してOCIデータ・フローに公開できます。

プライベート・エンドポイントを使用してOCIデータ・フローに公開するには、次のものも必要です:

  • アプリケーションで使用する、OCIデータ・フロー内の既存のプライベート・エンドポイント。プライベート・エンドポイントの作成を参照してください。

    OCIデータ・フローをプライベート・エンドポイントで使用するために必要なポリシーについては、プライベート・エンドポイント・ポリシーを参照してください。

  • プライベート・エンドポイントで有効になっているOCIデータ統合からOCIデータ・フロー・アプリケーションに公開するために必要なポリシー:

    allow any-user to read dataflow-private-endpoint in compartment <compartment-name> where ALL {request.principal.type = 'disworkspace', request.principal.id = '<workspace-ocid>'}

  • (OCIデータ統合からOCIデータ・フローに公開するときに)管理者がいないユーザーのグループがコンパートメント・レベルで既存のプライベート・エンドポイントをリストできるようにするポリシー:

    allow group <group-name> to inspect dataflow-private-endpoint in compartment <compartment-name>
  • OCIデータ・フローに公開するタスクで使用するデータ・アセットは、次のようにする必要があります:

    • データ・ソースに接続するためのパスワードを含む、OCI Vaultのシークレットを使用するように構成します。これは、OCIサービス間で資格証明を安全に渡すために必要です。OCI VaultのシークレットおよびOracle Walletを参照してください。

      OCI Vaultでシークレットを使用するために必要なポリシー:

      allow any-user to read secret-bundles in compartment <compartment-name> where ALL {request.principal.type = 'disworkspace', request.principal.id = '<workspace-ocid>'}

      次のポリシーは、管理者ではないユーザーのグループがOracle Autonomous Data WarehouseおよびOracle Autonomous Transaction Processingでシークレットを使用できるようにします:

      allow group <group-name> to read secret-bundles in compartment <compartment-name>

    • データベース・ホストの完全修飾ドメイン名(FQDN)を使用して指定します。OCIデータ・フローでは、直接IPアドレスを介した接続は許可されません。

ノート

  • このトピックで説明するポリシー・ステートメントは例にすぎません。独自の要件を満たすポリシーを作成してください。

  • リソース(オブジェクト・ストレージ・オブジェクトやバケットなど)とデータ統合ワークスペースが異なるテナンシにある場合は、クロステナンシ・ポリシーが必要です。ニーズのポリシーを特定するには、ポリシーの例およびブログのOracle Cloud Infrastructure (OCI) Data Integrationのポリシーを参照してください。

  • IAMコンポーネント(動的グループやポリシー・ステートメントなど)を追加した後は、関連付けられたタスクをすぐに実行しないでください。新しいIAMポリシーを有効にするには、約5分から10分かかります。