Azure-Service-Principal für den Zugriff auf Azure-Ressourcen verwenden
Sie können einen Azure-Service-Principal mit Autonomous Database verwenden, um auf Azure-Ressourcen zuzugreifen, ohne Ihre eigenen Zugangsdatenobjekte in der Datenbank erstellen und speichern zu müssen.
- Azure-Service-Principal aktivieren
Aktivieren Sie die Azure-Service-Principal-Authentifizierung, damit Autonomous Database auf Azure-Services zugreifen kann, ohne langfristige Zugangsdaten bereitzustellen. - Azure-Anwendungszustimmung bereitstellen und Rollen zuweisen
Um von Autonomous Database mit der Azure-Service-Principal-Authentifizierung auf Azure-Ressourcen zuzugreifen, müssen Sie der Azure-Anwendung zustimmen und Rollen zuweisen, um den Zugriff auf Ihre Azure-Ressourcen zu ermöglichen. - Azure Service Principal mit DBMS_CLOUD verwenden
Wenn SieDBMS_CLOUD
-Aufrufe für den Zugriff auf Azure-Ressourcen ausführen und den Zugangsdatennamen alsAZURE$PA
angeben, wird die Authentifizierung auf Azure-Seite mit dem Azure-Service-Principal ausgeführt. - Azure-Service-Principal deaktivieren
Um den Zugriff auf Azure-Ressourcen aus Autonomous Database mit dem Azure-Service-Principal zu deaktivieren, verwenden SieDBMS_CLOUD_ADMIN.DISABLE_PRINCIPAL_AUTH
. - Hinweise zum Azure-Service-Principal
Hinweise zum Azure-Service-Principal.
Übergeordnetes Thema: Policys und Rollen zum Zugriff auf Ressourcen konfigurieren
Azure-Service-Principal aktivieren
Aktivieren Sie die Principal-Authentifizierung des Azure-Service, damit Autonomous Database auf Azure-Services zugreifen kann, ohne langfristige Zugangsdaten bereitzustellen.
Um die Autonomous Database mit der Azure-Service-Principal-Authentifizierung zu verwenden, benötigen Sie einen Microsoft Azure-Account. Weitere Informationen finden Sie unter Microsoft Azure.
So aktivieren Sie die Principal-Authentifizierung des Azure-Service in Autonomous Database:
Weitere Informationen finden Sie unter Prozedur ENABLE_PRINCIPAL_AUTH.
Übergeordnetes Thema: Azure-Service-Principal für den Zugriff auf Azure-Ressourcen nutzen
Azure-Anwendungszustimmung erteilen und Rollen zuweisen
Um auf Azure-Ressourcen von Autonomous Database mit Azure-Service-Principal-Authentifizierung zuzugreifen, müssen Sie der Azure-Anwendung zustimmen und Rollen zuweisen, um den Zugriff auf Ihre Azure-Ressourcen zu ermöglichen.
Um die Azure-Anwendungszustimmung zu erteilen und Rollen zuzuweisen, führen Sie die folgenden Schritte aus:
In diesem Beispiel werden Schritte zum Erteilen von Rollen für den Zugriff auf Azure Blob Storage gezeigt. Wenn Sie Zugriff für andere Azure-Services bereitstellen möchten, müssen Sie entsprechende Schritte für die zusätzlichen Azure-Services ausführen, damit die Azure-Anwendung (der Service-Principal) auf den Azure-Service zugreifen kann.
Übergeordnetes Thema: Azure-Service-Principal für den Zugriff auf Azure-Ressourcen nutzen
Azure-Service-Principal mit DBMS_CLOUD verwenden
Wenn Sie DBMS_CLOUD
-Aufrufe für den Zugriff auf Azure-Ressourcen ausführen und den Zugangsdatennamen als AZURE$PA
angeben, wird die Authentifizierung auf Azure-Seite mit dem Azure-Service-Principal ausgeführt.
Wenn dies noch nicht geschehen ist, führen Sie die erforderlichen Voraussetzungsschritte aus:
-
Aktivieren Sie das ADMIN-Schema oder ein anderes Schema, um die Principal-Authentifizierung des Azure-Service zu verwenden. Weitere Informationen finden Sie unter Azure Service Principal aktivieren.
-
Zustimmen Sie die Anwendung, und führen Sie die Azure-Rollenzuweisungsberechtigungen aus. Weitere Informationen finden Sie unter Azure-Anwendungszustimmung erteilen und Rollen zuweisen.
Um eine DBMS_CLOUD
-Prozedur oder -Funktion mit einem Azure-Service-Principal zu verwenden, geben Sie AZURE$PA
als Zugangsdatennamen an. Beispiel: Sie können wie folgt auf Azure Blob Storage mit den Principal-Zugangsdaten des Azure-Service zugreifen:
SELECT * FROM DBMS_CLOUD.LIST_OBJECTS
('AZURE$PA', 'https://treedata.blob.core.windows.net/treetypes/');
OBJECT_NAME BYTES CHECKSUM CREATED LAST_MODIFIED
----------- ----- ------------------------ -------------------- --------------------
trees.txt 58 aCB1qMOPVobDLCXG+2fcvg== 2022-04-07T23:03:01Z 2022-04-07T23:03:01Z
Wenn Sie die Schritte vergleichen, die für den Zugriff auf den Objektspeicher erforderlich sind, wie unter Zugangsdaten erstellen und Daten in eine vorhandene Tabelle kopieren dargestellt, beachten Sie, dass Schritt 1 nicht erforderlich ist, um Zugangsdaten zu erstellen, da Sie einen Azure-Service-Principal mit dem Namen AZURE$PA
verwenden.
Übergeordnetes Thema: Azure-Service-Principal für den Zugriff auf Azure-Ressourcen nutzen
Azure-Service-Principal deaktivieren
Um den Zugriff auf Azure-Ressourcen aus Autonomous Database mit dem Azure-Service-Principal zu deaktivieren, verwenden Sie DBMS_CLOUD_ADMIN.DISABLE_PRINCIPAL_AUTH
.
So deaktivieren Sie den Azure-Service-Principal in Autonomous Database:
BEGIN
DBMS_CLOUD_ADMIN.DISABLE_PRINCIPAL_AUTH
(
provider => 'AZURE',
username => 'adb_user');
END;
/
Wenn der Wert für provider
AZURE
ist und username
ein anderer Benutzer als der Benutzer ADMIN
ist, entzieht die Prozedur dem angegebenen Benutzer die Berechtigungen. In diesem Fall können der ADMIN
-Benutzer und andere Benutzer weiterhin ADMIN.AZURE$PA
verwenden, und die Anwendung, die für die Autonomous Database-Instanz erstellt wird, bleibt auf der Instanz.
Wenn der Wert für provider
AZURE
lautet und username
ADMIN
ist, deaktiviert die Prozedur die auf dem Azure-Service-Principal basierende Authentifizierung und löscht die Principal-Anwendung des Azure-Service in der Autonomous Database-Instanz. Wenn Sie in diesem Fall den Azure-Service-Principal aktivieren möchten, müssen Sie alle erforderlichen Schritte ausführen, um den Azure-Service-Principal erneut zu verwenden, einschließlich der folgenden Schritte:
-
Aktivieren Sie das Schema
ADMIN
oder ein anderes Schema, um die Azure-Service-Principal-Authentifizierung zu verwenden. Weitere Informationen finden Sie unter Azure Service Principal aktivieren. -
Zustimmen Sie die Anwendung, und führen Sie die Azure-Rollenzuweisungsberechtigungen aus. Weitere Informationen finden Sie unter Azure-Anwendungszustimmung erteilen und Rollen zuweisen.
Weitere Informationen finden Sie unter Prozedur DISABLE_PRINCIPAL_AUTH.
Übergeordnetes Thema: Azure-Service-Principal für den Zugriff auf Azure-Ressourcen nutzen
Hinweise zum Azure-Service-Principal
Hinweise zur Verwendung des Azure-Service-Principals.
-
Autonomous Database-Instanz mit Azure-Service-Principal klonen: Wenn Sie eine Instanz klonen, für die der Azure-Service-Principal aktiviert ist, wird die Azure-Service-Principal-Konfiguration nicht auf den Klon übertragen. Führen Sie die Schritte aus, um den Azure-Service-Principal auf dem Klon zu aktivieren, wenn Sie den Azure-Service-Principal auf einer geklonten Instanz aktivieren möchten.
Übergeordnetes Thema: Azure-Service-Principal für den Zugriff auf Azure-Ressourcen nutzen