Amazon-Ressourcennamen (ARNs) für den Zugriff auf AWS-Ressourcen verwenden
Sie können mit Amazon-Ressourcennamen (ARNs) auf AWS-Ressourcen mit Autonomous Database zugreifen.
- Informationen zum Verwenden von Amazon-Ressourcennamen (ARNs) für den Zugriff auf AWS-Ressourcen
Wenn Sie die rollenbasierte ARN-Authentifizierung mit Autonomous Database verwenden, können Sie sicher auf AWS-Ressourcen zugreifen, ohne Zugangsdaten basierend auf langfristigen AWS IAM-Zugriffsschlüsseln zu erstellen und zu speichern. - Voraussetzungen für das AWS-Management zur Verwendung von Amazon-Ressourcennamen (ARNs) ausführen
Erstellen Sie mit der AWS-Managementkonsole oder den APIs einen AWS-Benutzer, eine Rolle, Richtlinien und eine Vertrauensbeziehung. Sie führen diese Schritte aus, bevor Sie mitDBMS_CLOUD.CREATE_CREDENTIAL
Zugangsdaten mit einem ARN-Parameter in Autonomous Database erstellen. - Autonomous Database-Voraussetzungen für die Verwendung von Amazon-ARNs ausführen
Vor der Verwendung einer AWS-Ressource mitDBMS_CLOUD.CREATE_CREDENTIAL
und einem ARN-Parameter muss der ADMIN-Benutzer ARN in der Autonomous Database-Instanz aktivieren. - Zugangsdaten mit ARN-Parametern für den Zugriff auf AWS-Ressourcen erstellen
Nachdem die ARN-Nutzung für die Autonomous Database-Instanz aktiviert ist und die ARN vom AWS-Administrator konfiguriert wurde, können Sie in Autonomous Database ein Zugangsdatenobjekt mit ARN-Parametern erstellen. - Zugangsdaten mit ARN-Parametern für AWS-Ressourcen aktualisieren
Die ARN-Zugangsdaten, die Sie in Autonomous Database verwenden, arbeiten mit dem AWS-Tokenservice, mit dem Sie temporäre rollenbasierte Zugangsdaten für den Zugriff auf AWS-Ressourcen von Autonomous Database verwenden können.
Übergeordnetes Thema: Policys und Rollen zum Zugriff auf Ressourcen konfigurieren
Amazon-Ressourcennamen (ARNs) für den Zugriff auf AWS-Ressourcen verwenden
Wenn Sie die rollenbasierte ARN-Authentifizierung mit Autonomous Database verwenden, können Sie sicher auf AWS-Ressourcen zugreifen, ohne Zugangsdaten basierend auf langfristigen AWS IAM-Zugriffsschlüsseln zu erstellen und zu speichern.
Beispiel: Sie möchten Daten aus einem AWS-Bucket S3 in Ihre Autonomous Database laden, einen Vorgang für die Daten ausführen und die geänderten Daten dann in den Bucket S3 zurückschreiben. Sie können dies ohne ARN tun, wenn Sie AWS-Benutzerzugangsdaten für den Zugriff auf den Bucket S3 haben. Die Verwendung rollenbasierter ARNs für den Zugriff auf AWS-Ressourcen von Autonomous Database bietet jedoch die folgenden Vorteile:
- Sie können rollenbasierten Zugriff mit verschiedenen Policys für verschiedene Benutzer oder Schemas erstellen, die Zugriff auf AWS-Ressourcen von einer Autonomous Database-Instanz benötigen. Auf diese Weise können Sie eine Richtlinie festlegen, um den Zugriff auf AWS-Ressourcen nach Rolle zu begrenzen. Beispiel: Wenn Sie eine Policy festlegen, die den schreibgeschützten Zugriff nach Rolle auf einen S3-Bucket begrenzt.
-
ARN-basierte Zugangsdaten bieten eine bessere Sicherheit, da Sie keine langfristigen AWS-Benutzerzugangsdaten im Code angeben müssen, um auf AWS-Ressourcen zuzugreifen. Autonomous Database verwaltet die temporären Zugangsdaten, die aus dem AWS-Vorgang "Rolle annehmen" generiert wurden.
Schritte zum Konfigurieren der ARN-Nutzung mit Autonomous Database
Bevor Sie Zugangsdaten mit einer ARN in Autonomous Database in AWS erstellen, muss der Kontoadministrator eine Richtlinie definieren, mit der Sie auf AWS-Ressourcen zugreifen können, wie z.B. einen S3-Bucket. Standardmäßig sind ARN-Zugangsdatenservices in Autonomous Database nicht aktiviert. Der ADMIN-Benutzer aktiviert ARN-Zugangsdaten für den erforderlichen Benutzer, mit denen er ARN-Zugangsdaten in der Autonomous Database-Instanz erstellen und verwenden kann.
In AWS ist die Rolle ARN die Kennung für den bereitgestellten Zugriff und kann auf der AWS-Konsole angezeigt werden. Wenn der AWS-Administrator die Rolle, die Richtlinien und die Vertrauensbeziehung für das AWS-Konto konfiguriert, muss er für zusätzliche Sicherheit auch eine externe ID in der Vertrauensbeziehung der Rolle konfigurieren.
Die externe ID bietet zusätzlichen Schutz für die Übernahme von Rollen. Der AWS-Administrator konfiguriert die externe ID auf Basis der Autonomous Database-Instanz als eine der folgenden Optionen:
-
Die Compartment-OCID
-
Datenbank-OCID
-
Die Mandanten-OCID
In AWS kann die Rolle nur von vertrauenswürdigen Benutzern angenommen werden, die durch die in der Anforderungs-URL enthaltene externe ID identifiziert werden, wobei die angegebene externe ID in der Anforderung mit der in der Vertrauensbeziehung der Rolle konfigurierten externen ID übereinstimmt.
Das Festlegen der externen ID ist aus Sicherheitsgründen erforderlich.
Die folgende Abbildung zeigt die Konfigurationsschritte:

Beschreibung der Abbildung adb_arn_config_steps.eps
Schritte zur Verwendung von ARNs mit DBMS_CLOUD
Jede AWS-Ressource hat ihre eigene Identität, und die Ressource authentifiziert sich mit der Autonomous Database-Instanz mit einem DBMS_CLOUD
-Zugangsdaten, das Sie mit Parametern erstellen, die den ARN identifizieren. Autonomous Database erstellt und sichert die Hauptzugangsdaten, die Sie für den Zugriff auf AWS-Ressourcen verwenden.
So erstellen Sie Zugangsdaten mit ARN-Parametern für den Zugriff auf AWS-Ressourcen:
-
Erforderliche Schritte im AWS-Account ausführen: Erstellen Sie in Ihrem AWS-Account über die AWS Management Console oder über die CLI die Rollen und Richtlinien für den ARN, den Sie mit Autonomous Database verwenden, und aktualisieren Sie die Vertrauensbeziehung für die Rolle. Die Oracle-Benutzer-ARN wird konfiguriert, wenn die Vertrauensbeziehung für die Rolle aktualisiert wird.
Weitere Informationen finden Sie unter AWS-Management-Voraussetzungsprüfungen für die Verwendung von Amazon-Ressourcennamen (ARNs) ausführen.
-
Erforderliche Schritte in Autonomous Database ausführen: In Autonomous Database müssen Sie den ADMIN-Benutzer oder einen anderen Benutzer aktivieren, um Zugangsdaten mit ARN-Parametern für den Zugriff auf AWS-Ressourcen zu verwenden.
Weitere Informationen finden Sie unter Autonomous Database-Voraussetzungsprüfungen für die Verwendung von Amazon-ARNs ausführen.
-
Erstellen Sie Zugangsdaten mit
DBMS_CLOUD.CREATE_CREDENTIAL
, und geben Sie die Parameter an, die eine AWS-Rolle identifizieren. Mit dem Zugangsdatenobjekt kann Autonomous Database auf AWS-Ressourcen zugreifen, wie in den Richtlinien angegeben, die für die Rolle im AWS-Account definiert sind.Weitere Informationen zu diesen Schritten finden Sie unter Zugangsdaten mit ARN-Parametern für den Zugriff auf AWS-Ressourcen erstellen.
-
Verwenden Sie das Zugangsdatenobjekt, das Sie im vorherigen Schritt erstellt haben, mit einer
DBMS_CLOUD
-Prozedur oder -Funktion, die einen Zugangsdatenparameter wieDBMS_CLOUD.COPY_DATA
oderDBMS_CLOUD.LIST_OBJECTS
verwendet.
Übergeordnetes Thema: Mit Amazon-Ressourcennamen (ARNs) auf AWS-Ressourcen zugreifen
AWS-Management-Voraussetzungsprüfungen für die Verwendung von Amazon-Ressourcennamen (ARNs) ausführen
Erstellen Sie mit der AWS Management Console oder mithilfe der APIs einen AWS-Benutzer, eine Rolle, Richtlinien und eine Vertrauensbeziehung. Sie führen diese Schritte aus, bevor Sie mit DBMS_CLOUD.CREATE_CREDENTIAL
Zugangsdaten mit einem ARN-Parameter in Autonomous Database erstellen.
Um einen ARN für den Zugriff auf AWS-Ressourcen zu verwenden, definiert der AWS-Administrator die Richtlinien und einen Principal, mit dem Sie auf AWS-Ressourcen zugreifen können. Beispiel: Bei Verwendung von Autonomous Database möchten Sie aus einem S3-Bucket auf Daten zugreifen, einige Vorgänge für die Daten ausführen und die geänderten Daten dann in den S3-Bucket zurückschreiben.
Je nach vorhandener AWS-Konfiguration und der von Ihnen verwendeten externen ID müssen Sie keine neue Rolle und Policy für jede Autonomous Database-Instanz erstellen. Wenn Sie bereits eine AWS-Rolle mit der erforderlichen Policy für den Zugriff auf eine Ressource haben, z.B. für den Zugriff auf den Cloud-Speicher S3, können Sie die Vertrauensbeziehung so ändern, dass die Details in Schritt 3 enthalten sind. Wenn Sie bereits eine Rolle mit der erforderlichen Vertrauensbeziehung haben, können Sie mit dieser Rolle auf alle Datenbanken in einem OCI-Compartment oder -Mandanten zugreifen, wenn Sie eine externe ID verwenden, mit der die Compartment-OCID oder Mandanten-OCID angegeben wird.
Über die AWS Management Console oder mithilfe der APIs führt ein AWS-Administrator die folgenden Schritte aus:
Nachdem die ARN-Rollenkonfiguration abgeschlossen ist, können Sie ARN auf der Instanz aktivieren. Weitere Informationen finden Sie unter Autonomous Database-Voraussetzungsprüfungen für die Verwendung von Amazon-ARNs ausführen.
Übergeordnetes Thema: Mit Amazon-Ressourcennamen (ARNs) auf AWS-Ressourcen zugreifen
Autonomous Database-Voraussetzungsprüfungen für die Verwendung von Amazon-ARNs ausführen
Bevor der ADMIN-Benutzer eine AWS-Ressource mit DBMS_CLOUD.CREATE_CREDENTIAL
und einem ARN-Parameter verwendet, muss er ARN in der Autonomous Database-Instanz aktivieren.
Standardmäßig sind ARN-Zugangsdatenservices in Autonomous Database nicht aktiviert. Der ADMIN-Benutzer führt die Prozedur DBMS_CLOUD_ADMIN.ENABLE_PRINCIPAL_AUTH
aus, mit der der ADMIN-Benutzer oder andere Benutzer Zugangsdaten mit ARN-Parametern erstellen können.
Nachdem Sie ARN in der Autonomous Database-Instanz aktiviert haben, indem Sie DBMS_CLOUD_ADMIN.ENABLE_PRINCIPAL_AUTH
ausführen, können die Zugangsdaten AWS$ARN
mit jeder DBMS_CLOUD
-API verwendet werden, die Zugangsdaten als Eingabe akzeptiert. Mit Ausnahme der Zugangsdaten AWS$ARN
können Sie auch zusätzliche Zugangsdaten mit ARN-Parametern für den Zugriff auf AWS-Ressourcen erstellen. Weitere Informationen finden Sie unter Zugangsdaten mit ARN-Parameters für den Zugriff auf AWS-Ressourcen erstellen.
Übergeordnetes Thema: Mit Amazon-Ressourcennamen (ARNs) auf AWS-Ressourcen zugreifen
Zugangsdaten mit ARN-Parametern für den Zugriff auf AWS-Ressourcen erstellen
Nachdem die ARN-Verwendung für die Autonomous Database-Instanz aktiviert wurde und die ARN vom AWS-Administrator konfiguriert wurde, können Sie in Autonomous Database ein Zugangsdatenobjekt mit ARN-Parametern erstellen.
Autonomous Database erstellt und sichert die Principal-Zugangsdaten, mit denen Sie auf die Amazon-Ressourcen zugreifen, wenn Sie das Zugangsdatenobjekt mit DBMS_CLOUD
-Prozeduren und -Funktionen bereitstellen.
Um Amazon-Ressourcen mit Autonomous Database zu verwenden, gehen Sie wie folgt vor:
Übergeordnetes Thema: Mit Amazon-Ressourcennamen (ARNs) auf AWS-Ressourcen zugreifen
Zugangsdaten mit ARN-Parametern für AWS-Ressourcen aktualisieren
Die ARN-Zugangsdaten, die Sie in Autonomous Database verwenden, arbeiten mit dem AWS-Tokenservice, mit dem Sie temporäre rollenbasierte Zugangsdaten für den Zugriff auf AWS-Ressourcen von Autonomous Database verwenden können.
Wenn ein AWS-Administrator die Richtlinien, Rollen oder die Vertrauensbeziehung entzieht, müssen Sie entweder die Zugangsdaten aktualisieren oder neue Zugangsdaten erstellen, um auf die AWS-Ressourcen zuzugreifen.
Führen Sie die folgenden Schritte durch, um Zugangsdaten zu aktualisieren:
Weitere Informationen finden Sie unter Prozedur UPDATE_CREDENTIAL und Prozedur CREATE_CREDENTIAL.
Übergeordnetes Thema: Mit Amazon-Ressourcennamen (ARNs) auf AWS-Ressourcen zugreifen