Die Clientzugriffskontrolle für eine Autonomous Database-Instanz wird durch Netzwerkzugriffskontroll-Policys, über Clientverbindungsprotokolle und durch die Zugriffsrechte des Datenbankbenutzers durchgesetzt, mit dem der Client eine Verbindung herstellt.

Oracle Autonomous Database ist mit einem administrativen Account (ADMIN) konfiguriert, der zum Erstellen und Verwalten anderer Datenbankaccounts verwendet wird. Oracle Autonomous Database bietet ein robustes Set von Features und Kontrollen, einschließlich System- und Objektberechtigungen und -rollen. Mit Benutzerprofilen können Sie Kennwort-Policys anpassen, um eine sichere Strategie für den Datenbankbenutzerzugriff zu definieren und zu implementieren.

Grundlegende Informationen zur Standardbenutzerverwaltung finden Sie unter Benutzerkonten in Oracle Database-Konzepte. Ausführliche Informationen und Anleitungen finden Sie unter Managing Security for Oracle Database Users im Oracle Database Security Guide.

Wenn Ihre Zugriffsstrategie für Datenbankbenutzer mehr Kontrollen erfordert, als die Standardbenutzerverwaltung bereitstellt, können Sie Oracle Autonomous Database konfigurieren, um strengere Anforderungen mit Database Vault zu erfüllen.

Mit Identity and Access Management-(IAM-)Services können Sie die Berechtigungen Ihrer Oracle Cloud-Benutzer kontrollieren, indem Sie die Aktionen angeben, die Benutzer in Oracle Autonomous Database ausführen können.

Der IAM-Service bietet mehrere Arten von Komponenten, mit denen Sie eine sichere Strategie für den Cloud-Benutzerzugriff definieren und implementieren können:

• Compartment: eine Sammlung zugehöriger Ressourcen. Compartments sind eine wichtige Komponente von Oracle Cloud Infrastructure für die Organisation und Isolation der Cloud-Ressourcen.

• Gruppe: eine Sammlung von Benutzern, die alle den gleichen Zugriffstyp für ein bestimmtes Ressourcenset oder Compartment benötigen.

• Dynamische Gruppe: Ein spezieller Gruppentyp, der Ressourcen enthält, die von Ihnen definierten Regeln entsprechen. Daher kann sich die Mitgliedschaft dynamisch ändern, wenn übereinstimmende Ressourcen erstellt oder gelöscht werden.

• Policy: eine Gruppe von Anweisungen, die angeben, wer wie auf welche Ressourcen zugreifen kann. Der Zugriff wird auf Gruppen- und Compartment-Ebene erteilt, d.h. Sie erstellen eine Policy-Anweisung, mit der eine bestimmte Gruppe einen bestimmten Zugriffstyp auf einen bestimmten Ressourcentyp innerhalb eines bestimmten Compartments erhält.

Davon ist die Policy das primäre Tool, mit dem Sie den Zugriff kontrollieren, da sie Angaben für "Wer", "Wie", "Was" und "Wo" eines einzelnen Zugriffs-Constraints bereitstellt. Eine Policy-Anweisung hat das folgende Format:

Das Format einer Policy-Anweisung lautet:

Allow 
  group <group-name> 
  to <control-verb> 
  <resource-type> 
  in compartment <compartment-name>

• group <group-name> gibt den Namen einer vorhandenen IAM-Gruppe an ("Wer").

• to <control-verb> gibt mit einem dieser vordefinierten Kontrollverben die Aktion an ("Wie"):

  • inspect: Die Möglichkeit, Ressourcen des angegebenen Typs aufzulisten, ohne auf vertrauliche Informationen oder benutzerdefinierte Metadaten zuzugreifen, die Bestandteil dieser Ressource sein könnten.
  • read: inspect sowie die Möglichkeit, benutzerdefinierte Metadaten und die eigentliche Ressource abzurufen.
  • use: read sowie die Möglichkeit, mit vorhandenen Ressourcen zu arbeiten, diese jedoch nicht zu erstellen oder zu löschen. Darüber hinaus bezeichnet "Arbeiten mit" verschiedene Vorgänge für verschiedene Ressourcentypen.
  • manage: Alle Berechtigungen für den Ressourcentyp, einschließlich Erstellen und Löschen.

• <resource-type> gibt einen vordefinierten Ressourcentyp an ("Was"). Folgende Ressourcentypwerte für Infrastrukturressourcen sind verfügbar:

  • autonomous-databases
  • autonomous-backups

  Sie können Policy-Anweisungen erstellen, die den Ressourcentypwert tag-namespaces referenzieren, wenn Tagging in Ihrem Mandanten verwendet wird.

• in compartment <compartment-name> gibt den Namen eines vorhandenen IAM-Compartments an ("Wo").

Informationen zur Funktionsweise des IAM-Service und der zugehörigen Komponenten sowie zu deren Verwendung finden Sie unter Überblick über Oracle Cloud Infrastructure Identity and Access Management. Antworten auf häufig gestellte Fragen zu IAM finden Sie in den häufig gestellten Fragen zu Identity and Access Management.

Nur autorisierte Benutzer haben Zugriff auf eine Autonomous Database-Instanz.

Oracle Cloud-Operatoren haben keine Berechtigung für den Zugriff auf Ihre Autonomous Database. Wenn der Zugriff auf Ihre Datenbank erforderlich ist, um ein Problem zu beheben oder zu beheben, können Sie einem Cloud-Operator erlauben, für eine begrenzte Zeit auf eine Datenbank zuzugreifen.

Sie gestatten einem Cloud-Operator den Zugriff auf die Datenbank, indem Sie die Prozedur DBMS_CLOUD_ADMIN.ENABLE_OPERATOR_ACCESS ausführen. Wenn Sie also eine Serviceanfrage bei Oracle Cloud Support einreichen oder Ihren Supportmitarbeiter kontaktieren und Oracle Cloud-Operatoren auf Ihre Datenbank zugreifen müssen, müssen Sie auch den Operatorzugriff aktivieren, indem Sie DBMS_CLOUD_ADMIN.ENABLE_OPERATOR_ACCESS ausführen.

Jeder Datenbankzugriff durch Oracle Cloud-Operatoren wird mit einer Anforderungs-ID und einem Grund protokolliert.

Weitere Informationen finden Sie unter Oracle Cloud Operator Access verwalten und Oracle Cloud Infrastructure-Vorgangsaktionen anzeigen.

Autonomous Database ist ein vollständig verwalteter Service, und Oracle verwendet seine eigenen Oracle Cloud Infrastructure-Mandanten, um den Autonomous Database-Service auszuführen.

Oracle Cloud-Operatoren haben keinen Zugriff auf Kundenmandanten, und Cloud-Operatoren können nicht auf das Netzwerk zugreifen.

Alle Aktionen, die Oracle Cloud-Benutzer mit den Ressourcen ausführen, die Teil Ihres Deployments von Oracle Autonomous Database sind, werden vom Audit-Service protokolliert, unabhängig von der verwendeten Schnittstelle: Oracle Cloud Infrastructure-Konsole, REST-API, Befehlszeilenschnittstelle (CLI), Software Development Kits (SDK) usw.

Mit dem Audit-Service können Sie eine Diagnose durchführen, die Ressourcennutzung verfolgen, die Compliance überwachen und sicherheitsbezogene Ereignisse erfassen. Weitere Informationen zum Audit-Service finden Sie unter Überblick über Audit in der Oracle Cloud Infrastructure-Dokumentation.

Wenn Benutzer Vorgänge in Oracle Autonomous Database ausführen, veröffentlicht die Datenbank Ereignisse im Oracle Cloud Events-Service. Mit dem Oracle Cloud Events-Service können Sie Regeln erstellen, um diese Ereignisse zu erfassen und Aktionen auszuführen.

Weitere Informationen zur Funktionsweise des Events-Service und zur Einrichtung der von diesem Service verwendeten Regeln und Aktionen finden Sie unter Überblick über Events. Eine Liste der Oracle Autonomous Database-Vorgänge, die Ereignisse generieren, finden Sie unter Ereignistypen für Autonomous Database.

Oracle Autonomous Database konfiguriert die von Ihnen erstellten autonomen Datenbanken für die Verwendung des einheitlichen Auditingfeatures von Oracle Database.

Dieses Feature erfasst Auditdatensätze aus den folgenden Quellen und stellt sie in einem einheitlichen Format in einem einzelnen Audittrail zusammen:

• Auditdatensätze (einschließlich SYS-Auditdatensätze) aus einheitlichen Audit-Policys und AUDIT-Einstellungen
• Detaillierte Auditdatensätze aus dem PL/SQL-Package DBMS_FGA
• Oracle Database Real Application Security-Auditdatensätze
• Oracle Recovery Manager-Auditdatensätze
• Oracle Database Vault-Auditdatensätze
• Oracle Label Security-Auditdatensätze
• Oracle Data Mining-Datensätze
• Oracle Data Pump
• Oracle SQL*Loader-Direktladevorgänge

Auditinformationen werden bis zu 14 Tage lang aufbewahrt und danach automatisch gelöscht. Um Auditinformationen länger aufzubewahren und Datenbankaktivitäten einfach zu analysieren und zu melden, verwenden Sie Oracle Data Safe (im Oracle Autonomous Database-Abonnement enthalten).

Weitere Informationen finden Sie unter Autonomous Database auditieren.