Oracle Cloud Infrastructureドキュメント

Data Safeの有効化および使用の前提条件

Oracle Fusion Data Intelligenceインスタンスに関連付けられたOracle Autonomous AI LakehouseインスタンスでData Safeを有効にして使用するために、適用可能なユーザーおよびサービス権限があることを確認します。また、Oracle Autonomous AI LakehouseインスタンスがData Safeからのネットワーク・トラフィックを許可していることも確認する必要があります。

必要な権限は次のとおりです。
  • ユーザー権限
    • 一般的なOracle Cloud Infrastructure Identity and Access Managementポリシー – ユーザーは、Oracle Cloud Infrastructureテナンシ内のポリシーをリストおよび追加できます。
    • Data Safeポリシー – ユーザーは、Data Safeリソースを表示および管理できます。
  • サービス権限- Oracle Fusion Data Intelligenceでは、Oracle Fusion Data IntelligenceインスタンスのAutonomous AI LakehouseでData Safeを有効にする権限が必要です。

Oracle Cloud Infrastructure Identity and Access Managementポリシーを管理するためのユーザー権限

Oracle Cloud Infrastructure Consoleは、Oracle Cloud Infrastructureテナンシでポリシーをリストおよび作成するためのサインイン・ユーザーの権限に依存します。ユーザーの権限に応じて、次の2つのシナリオが適用されます。
  • シナリオ1– ユーザーにはIdentity and Access Managementポリシーを管理する権限があります(管理- 新しいポリシーの読取りと追加の両方)。この状況では、Oracle Cloud Infrastructure Consoleは、Oracle Fusion Data IntelligenceサービスのData Safeポリシーが存在するかどうかを確認します。ポリシーがない場合は、コンソールによってサービス・ポリシーが自動的に作成されます。その後、該当するユーザーは、Data Safeを使用してOracle Fusion Data Intelligenceインスタンスを作成するか、既存のインスタンスをData Safeに登録できます。

  • シナリオ2 - ユーザーにはIdentity and Access Managementポリシーを読み取る権限のみがあります。この状況では、Oracle Cloud Infrastructure Consoleは、Oracle Fusion Data IntelligenceサービスのData Safeポリシーが存在するかどうかを確認します。ポリシーがすでに適用されている場合、ユーザーはData Safeでインスタンスの作成を続行するか、既存のインスタンスをData Safeに登録できます。ポリシーが存在しない場合、該当するユーザーは、Oracle Fusion Data Intelligenceインスタンスの作成中に「Data Safeの有効化」チェック・ボックスを無効にして、インスタンスの作成を続行または停止し、Identity and Access Managementユーザー、グループおよび書込みポリシーの構成をサービス管理者に依頼する必要があります。

    サービス管理者は要件に従ってIdentity and Access Managementポリシーを記述できますが、次のサンプル・ポリシーは、Data Safeを使用してOracle Fusion Data Intelligenceインスタンスを作成および管理する際に便利です。
    allow group <identity_domain_name>/FDIDataSafeUsers to read compartments in tenancy
allow group <identity_domain_name>/FDIDataSafeUsers to read domains in tenancy
allow group <identity_domain_name>/FDIDataSafeUsers to manage policy in tenancy
  • ノート

    FDIDataSafeUsersを適切なIdentity and Access Managementグループに置き換えます。

Data Safeリソースを表示および管理するためのユーザー権限

該当するAutonomous AI Lakehouseに対してData Safeを有効にすると、Fusion Data Intelligenceによって、targetDataBase、auditPolicy、auditProfile、auditTrial、alertPolicyAssociationsなどの複数のData Safeリソースが作成されます。次の広範なポリシーを作成して、テナンシのData Safeリソースを管理します:
allow group <identity_domain_name>/FDIDataSafeUsers to manage data-safe-family in tenancy
ノート

FDIDataSafeUsersを適切なIdentity and Access Managementグループに置き換えます。

ただし、サービス管理者は、該当するIdentity and Access Managementグループへの限定的なアクセスを提供できます。Autonomous DatabaseのIAMポリシーおよびOracle Data SafeユーザーのIAMポリシーの作成を参照してください。

Data Safe操作を実行するためのFusion Data Intelligenceの権限

Fusion Data Intelligenceでは、関連するAutonomous AI LakehouseでData Safe関連の操作を実行する権限が必要です。サインイン済ユーザーにポリシーをリストおよび追加する権限があることが検証され、サインイン済ユーザーに権限があり、ポリシーがまだ作成されていない場合は、次のポリシーが作成されます。
allow any-user to manage data-safe in tenancy where all {request.principal.type = 'fawservice', request.principal.compartment.id = target.compartment.id}
allow any-user to manage data-safe-assessment-family in tenancy where all {request.principal.type = 'fawservice', request.principal.compartment.id = target.compartment.id}
allow any-user to manage data-safe-alert-family in tenancy where all {request.principal.type = 'fawservice', request.principal.compartment.id = target.compartment.id}
allow any-user to manage data-safe-audit-family in tenancy where all {request.principal.type = 'fawservice', request.principal.compartment.id = target.compartment.id}
allow any-user to manage virtual-network-family in tenancy where all {request.principal.type = 'fawservice', request.principal.compartment.id = target.compartment.id}

Fusion Data IntelligenceのData Safeポリシーは、テナンシのルート・コンパートメントにあるFDI_ADW_Data_Safe_Policyファイルに作成されます。Autonomous AI Lakehouseでデータ・セーフ操作を実行するようにFusion Data Intelligenceを制限しないように、このポリシー・ファイルのポリシー・ステートメントを更新する場合は注意が必要です。

ネットワーク・アクセス

関連付けられたAutonomous AI Lakehouseインスタンスで、Data Safeからのネットワーク・トラフィックが許可されていることを確認します。アクセス制御ルール(ACL)およびプライベート・エンドポイントを使用したネットワーク・アクセス制御の構成を参照してください。