データ・カタログの保護
Oracle Cloud Infrastructureデータ・カタログは、業界をリードするセキュリティのベスト・プラクティスに従ってコラボレーション可能なデータ検出およびガバナンス・ソリューションを提供します。
セキュリティの推奨事項
- IAMユーザーおよびグループの最小限のアクセス権限を、
data-catalog-family
のリソース・タイプに割り当てます。 - 認可されたユーザーによる誤った削除または悪意のある削除によるデータの損失を最小限に抑えるため、
CATALOG_DELETE
権限は、IAMユーザーおよびグループの最小限のセットに与えることをお薦めします。CATALOG_DELETE
権限は、テナンシとコンパートメントの管理者にのみ付与してください。 - セキュリティの脆弱性からデータ・ソースを保護するために、読取り専用アカウントのみに資格証明を提供してください。データ・カタログには、収穫データ・アセットへの読取りアクセス権のみ必要です。
セキュリティ・ポリシーの例
データ・カタログの削除の防止
このポリシーを作成すると、グループDataCatalogUsers
はデータ・カタログに対してすべてのアクション(削除を除く)を実行できます。
Allow group DataCatalogUsers to manage data-catalog-family in tenancy
where request.permission!='CATALOG_DELETE'
ユーザーによるすべてのデータ・カタログ・インスタンスの読取りを許可
グループDataCatalogUsers
がテナンシまたは特定のコンパートメント内のすべてのデータ・カタログ・インスタンスを読み取れるようにするには、このポリシーを作成します。
Allow group DataCatalogUsers to read data-catalog-family in tenancy
Allow group DataCatalogUsers to read data-catalog-family in compartment <compartment-name>
ユーザーがデータ・カタログのデータ・アセットにアクセスできるようにします
このポリシーを作成して、グループ
DataCatalogUsers
がテナンシまたはコンパートメントのデータ・アセットを読取りまたは使用できるようにします。たとえば、ポリシーを使用すると、グループによるデータ・アセットの読取りが可能になります。Allow group DataCatalogUsers to use data-catalog-data-assets in tenancy
Allow group DataCatalogUsers to use data-catalog-data-assets in compartment <compartment-name> where target.catalog.id = '<catalog-OCID>'
ユーザーがデータ・カタログの特定のデータ・アセットにアクセスできるようにします
このポリシーを作成して、グループDataCatalogUsers
がテナンシまたはコンパートメントの特定のデータ・アセットを読取りまたは使用できるようにします。たとえば、ポリシーを使用すると、グループによる特定のデータ・アセットの読取りが可能になります。
Allow group DataCatalogUsers to read data-catalog-data-assets in tenancy where target.data.asset.key = '<data-asset-key>'
ユーザーによるデータ・カタログの用語集へのアクセスを許可
このポリシーを作成して、グループDataCatalogUsers
がテナンシまたはコンパートメントの用語集を読取りまたは使用できるようにします。たとえば、グループで用語集を読み取ることができるポリシーは次のとおりです。
Allow group DataCatalogUsers to use data-catalog-glossaries in tenancy
Allow group DataCatalogUsers to use data-catalog-glossaries in compartment <compartment-name> where target.catalog.id = '<catalog-OCID>'
ポリシーの作成の詳細は、データ・カタログ・ポリシーを参照してください。