Die Clientzugriffskontrolle für eine Autonomous Database-Instanz wird durch Netzwerkzugriffskontroll-Policys, über Clientverbindungsprotokolle und durch die Zugriffsrechte des Datenbankbenutzers durchgesetzt, mit denen der Client eine Verbindung herstellt.

Oracle Autonomous Database ist mit einem administrativen Account (ADMIN) konfiguriert, mit dem andere Datenbankaccounts erstellt und verwaltet werden. Oracle Autonomous Database bietet robuste Features und Kontrollen sowie System- und Objektberechtigungen und -rollen. Mit Benutzerprofilen können Sie Kennwort-Policys anpassen, um eine sichere Strategie für den Datenbankbenutzerzugriff zu definieren und zu implementieren.

Grundlegende Informationen zur Standardbenutzerverwaltung finden Sie unter Benutzerkonten in Oracle Database-Konzepte. Ausführliche Informationen und Anleitungen finden Sie unter Managing Security for Oracle Database Users im Oracle Database Security Guide.

Wenn Ihre Zugriffsstrategie für Datenbankbenutzer mehr Kontrollen erfordert, als von der Standardbenutzerverwaltung bereitgestellt werden, können Sie Oracle Autonomous Database für die Verwendung von Database Vault konfigurieren, um strengere Anforderungen zu erfüllen.

Mit Identity and Access Management-(IAM-)Services können Sie die Berechtigungen Ihrer Oracle Cloud-Benutzer kontrollieren, indem Sie die Aktionen angeben, die diese Benutzer mit Oracle Autonomous Database ausführen können.

Der IAM-Service bietet mehrere Arten von Komponenten, mit denen Sie eine sichere Strategie für den Cloud-Benutzerzugriff definieren und implementieren können:

• Compartment: eine Sammlung zugehöriger Ressourcen. Compartments sind eine wichtige Komponente von Oracle Cloud Infrastructure für die Organisation und Isolation der Cloud-Ressourcen.

• Gruppe: eine Sammlung von Benutzern, die alle den gleichen Zugriffstyp für ein bestimmtes Ressourcenset oder Compartment benötigen.

• Dynamische Gruppe: Ein spezieller Gruppentyp, der Ressourcen enthält, die von Ihnen definierten Regeln entsprechen. Daher kann sich die Mitgliedschaft dynamisch ändern, wenn übereinstimmende Ressourcen erstellt oder gelöscht werden.

• Policy: eine Gruppe von Anweisungen, die angeben, wer wie auf welche Ressourcen zugreifen kann. Der Zugriff wird auf Gruppen- und Compartment-Ebene erteilt, d.h. Sie erstellen eine Policy-Anweisung, mit der eine bestimmte Gruppe einen bestimmten Zugriffstyp auf einen bestimmten Ressourcentyp innerhalb eines bestimmten Compartments erhält.

Davon ist die Policy das primäre Tool, mit dem Sie den Zugriff kontrollieren, da sie Angaben für "Wer", "Wie", "Was" und "Wo" eines einzelnen Zugriffs-Constraints bereitstellt. Eine Policy-Anweisung hat das folgende Format:

Das Format einer Policy-Anweisung lautet:

Allow 
  group <group-name> 
  to <control-verb> 
  <resource-type> 
  in compartment <compartment-name>

• group <group-name> gibt den Namen einer vorhandenen IAM-Gruppe an ("Wer").

• to <control-verb> gibt mit einem dieser vordefinierten Kontrollverben die Aktion an ("Wie"):

  • inspect: Die Möglichkeit, Ressourcen des angegebenen Typs aufzulisten, ohne auf vertrauliche Informationen oder benutzerdefinierte Metadaten zuzugreifen, die Bestandteil dieser Ressource sein könnten.
  • read: inspect sowie die Möglichkeit, benutzerdefinierte Metadaten und die eigentliche Ressource abzurufen.
  • use: read sowie die Möglichkeit, mit vorhandenen Ressourcen zu arbeiten, diese jedoch nicht zu erstellen oder zu löschen. Darüber hinaus bezeichnet "Arbeiten mit" verschiedene Vorgänge für verschiedene Ressourcentypen.
  • manage: Alle Berechtigungen für den Ressourcentyp, einschließlich Erstellen und Löschen.

• <resource-type> gibt einen vordefinierten Ressourcentyp an ("Was"). Ressourcentypwerte für Infrastrukturressourcen:

  • autonomous-databases
  • autonomous-backups

  Sie können Policy-Anweisungen erstellen, die den Ressourcentypwert tag-namespaces referenzieren, wenn in Ihrem Mandanten Tagging verwendet wird.

• in compartment <compartment-name> gibt den Namen eines vorhandenen IAM-Compartments an ("Wo").

Informationen zur Funktionsweise des IAM-Service und der zugehörigen Komponenten sowie zu deren Verwendung finden Sie unter Überblick über Oracle Cloud Infrastructure Identity and Access Management. Antworten auf häufig gestellte Fragen zu IAM finden Sie in den häufig gestellten Fragen zu Identity and Access Management.

Nur autorisierte Benutzer haben Zugriff auf eine Autonomous Database-Instanz.

Oracle Cloud-Operatoren haben keine Berechtigung für den Zugriff auf Autonomous Database. Wenn der Zugriff auf Ihre Datenbank zur Fehlerbehebung oder Behebung eines Problems erforderlich ist, können Sie einem Cloud-Operator für einen begrenzten Zeitraum den Zugriff auf eine Datenbank ermöglichen.

Sie ermöglichen einem Cloud-Operator den Zugriff auf die Datenbank, indem Sie die Prozedur DBMS_CLOUD_ADMIN.ENABLE_OPERATOR_ACCESS ausführen. Wenn Sie also eine Serviceanfrage beim Oracle Cloud-Support einreichen oder sich an Ihren Supportmitarbeiter wenden und Oracle Cloud-Operatoren auf Ihre Datenbank zugreifen müssen, müssen Sie auch den Operatorzugriff aktivieren, indem Sie DBMS_CLOUD_ADMIN.ENABLE_OPERATOR_ACCESS ausführen.

Jeder Datenbankzugriff durch Oracle Cloud-Operatoren wird mit einer Anforderungs-ID und einem Grund protokolliert.

Weitere Informationen finden Sie unter Oracle Cloud-Operatorzugriff verwalten und Oracle Cloud Infrastructure-Vorgangsaktionen anzeigen.

Autonomous Database ist ein vollständig verwalteter Service, und Oracle verwendet seine eigenen Oracle Cloud Infrastructure-Mandanten, um den Autonomous Database-Service auszuführen.

Oracle Cloud-Operatoren haben keinen Zugriff auf Kundenmandanten, und Cloud-Operatoren können nicht auf das Netzwerk zugreifen.

Alle Aktionen, die Oracle Cloud-Benutzer mit den Ressourcen ausführen, die Bestandteil Ihres Deployments von Oracle Autonomous Database sind, werden vom Auditservice protokolliert, unabhängig von der verwendeten Schnittstelle: Oracle Cloud Infrastructure-Konsole, REST-API, Befehlszeilenschnittstelle (CLI), Software Development Kits (SDK) usw.

Mit dem Audit-Service können Sie eine Diagnose durchführen, die Ressourcennutzung verfolgen, die Compliance überwachen und sicherheitsbezogene Ereignisse erfassen. Weitere Informationen zum Audit-Service finden Sie unter Überblick über Audit in der Oracle Cloud Infrastructure-Dokumentation.

Wenn Benutzer Vorgänge in Oracle Autonomous Database ausführen, veröffentlicht die Datenbank auch Ereignisse im Oracle Cloud Events-Service. Mit dem Oracle Cloud Events-Service können Sie Regeln erstellen, um diese Ereignisse zu erfassen und Aktionen auszuführen.

Weitere Informationen zur Funktionsweise des Events-Service und zur Einrichtung der von diesem Service verwendeten Regeln und Aktionen finden Sie unter Überblick über Events. Eine Liste der Oracle Autonomous Database-Vorgänge, die Ereignisse generieren, finden Sie unter Ereignistypen für Autonomous Database.

Oracle Autonomous Database konfiguriert die von Ihnen erstellten autonomen Datenbanken für die Verwendung des einheitlichen Auditingfeatures von Oracle Database.

Dieses Feature erfasst Auditdatensätze aus den folgenden Quellen und stellt sie in einem einheitlichen Format in einem einzelnen Audittrail zusammen:

• Auditdatensätze (einschließlich SYS-Auditdatensätze) aus einheitlichen Audit-Policys und AUDIT-Einstellungen
• Detaillierte Auditdatensätze aus dem PL/SQL-Package DBMS_FGA
• Oracle Database Real Application Security-Auditdatensätze
• Oracle Recovery Manager-Auditdatensätze
• Oracle Database Vault-Auditdatensätze
• Oracle Label Security-Auditdatensätze
• Oracle Data Mining-Datensätze
• Oracle Data Pump
• Oracle SQL*Loader-Direktladevorgänge

Auditinformationen werden bis zu 14 Tage lang gespeichert und automatisch gelöscht. Um Auditinformationen länger beizubehalten und auf einfache Weise Datenbankaktivitäten zu analysieren und zu melden, verwenden Sie Oracle Data Safe (im Oracle Autonomous Database-Abonnement enthalten).

Weitere Informationen finden Sie unter Autonomous Database Auditing.