Resource Principal für den Zugriff auf Oracle Cloud Infrastructure-Ressourcen verwenden
Sie können einen Oracle Cloud Infrastructure-Resource Principal mit Autonomous Database verwenden. Sie oder Ihr Mandantenadministrator definieren die Oracle Cloud Infrastructure-Policys und eine dynamische Gruppe, mit der Sie mit einem Resource Principal auf Oracle Cloud Infrastructure-Ressourcen zugreifen können. Sie müssen kein Zugangsdatenobjekt erstellen, und Autonomous Database erstellt und sichert die Zugangsdaten des Resource Principals, mit denen Sie auf die angegebenen Oracle Cloud Infrastructure-Ressourcen zugreifen.
- Resource Principal für den Zugriff auf Oracle Cloud Infrastructure-Ressourcen nutzen
Mit einem Resource Principal können Sie Oracle Cloud Infrastructure-Ressourcen authentifizieren und darauf zugreifen. - Voraussetzungen für die Verwendung des Resource Principals mit Autonomous Database ausführen
Vor dem Aufruf einer Oracle Cloud Infrastructure-Ressource mit einem Resource Principal muss ein Oracle Cloud Infrastructure-Mandantenadministrator Oracle Cloud Infrastructure-Policys, dynamische Gruppen und Regeln erstellen, mit denen die Resource Principal-Berechtigungen definiert werden. - Resource Principal für den Zugriff auf Oracle Cloud Infrastructure-Ressourcen aktivieren
Führen Sie die folgenden Schritte aus, um den Resource Principal in Autonomous Database zu aktivieren. - Resource Principal in Autonomous Database deaktivieren
Zeigt die Schritte zum Deaktivieren des Resource Principals für alle Autonomous Database-Benutzer oder für einen angegebenen Benutzer an. - Resource Principal mit DBMS_CLOUD verwenden
Wenn Sie Resource Principal-Zugangsdaten mitDBMS_CLOUD
-Aufrufen angeben, authentifiziert die Datenbank die Oracle Cloud Infrastructure-Anforderungen für Sie, und die Datenbank stellt die Zugangsdaten für den Zugriff auf Oracle Cloud Infrastructure-Ressourcen bereit.
Übergeordnetes Thema: Policys und Rollen zum Zugriff auf Ressourcen konfigurieren
Resource Principal für den Zugriff auf Oracle Cloud Infrastructure-Ressourcen verwenden
Mit einem Resource Principal können Sie Oracle Cloud Infrastructure-Ressourcen authentifizieren und darauf zugreifen.
Ein Resource Principal besteht aus einem temporären Sessiontoken und sicheren Zugangsdaten, mit denen sich die Datenbank bei anderen Oracle Cloud Infrastructure-Services authentifizieren kann. Wenn Sie einen Resource Principal für den Zugriff auf Services verwenden, ist das mit den Zugangsdaten in Autonomous Database gespeicherte Token nur für die Ressourcen gültig, auf die der dynamischen Gruppe Zugriff erteilt wurde.
Um Resource Principal zu verwenden, definieren Sie oder der Mandantenadministrator die Oracle Cloud Infrastructure-Policys und eine dynamische Gruppe, mit der Sie mit einem Resource Principal auf Oracle Cloud Infrastructure-Ressourcen zugreifen können. Sie müssen kein Zugangsdatenobjekt erstellen, und Autonomous Database erstellt und sichert die Zugangsdaten des Resource Principals, mit denen Sie auf die angegebenen Oracle Cloud Infrastructure-Ressourcen zugreifen.
Beispiel: Wenn Sie Autonomous Database verwenden, können Sie mit Oracle Cloud Infrastructure-Ressourcen Folgendes ausführen:
- Auf Daten von einem Objektspeicher-Bucket zugreifen, einige Vorgänge an Daten durchführen und anschließend die geänderten Daten wieder im Objektspeicher-Bucket schreiben.
-
Greifen Sie auf Ihre Vaults, Schlüssel oder Secrets zu.
- Arbeitsanforderungen auflisten oder Arbeitsanforderungsfehler auflisten
Wenn Sie mit der Datenbank arbeiten, authentifizieren Sie sich und greifen als Datenbankbenutzer auf die Datenbank zu. Ein Autonomous Database-Benutzer hat keine Oracle Cloud Infrastructure Identity and Access Management-(IAM-)Identität. Daher können Sie als Autonomous Database-Benutzer Ihre Datenbankzugangsdaten nicht für den Zugriff auf Oracle Cloud Infrastructure-Services verwenden. Ohne Resource Principal müssen Sie Zugangsdaten für den Zugriff auf Oracle Cloud Infrastructure-Ressourcen abrufen und ein Zugangsdatenobjekt für den Zugriff auf eine Ressource aus Autonomous Database erstellen.
Mit einem Resource Principal können Ressourcen autorisiert werden, Aktionen in Oracle Cloud Infrastructure-Services auszuführen. Jede Ressource hat ihre eigene Identität und authentifiziert die Zertifikate, die ihr hinzugefügt werden. Diese Zertifikate werden automatisch erstellt, Ressourcen zugewiesen und rotiert, sodass Sie keine eigenen Zugangsdaten für den Zugriff auf die Ressource erstellen und verwalten müssen.
Mit Autonomous Database können Sie einen Resource Principal zur Authentifizierung bei Oracle Cloud Infrastructure-APIs über die folgenden Schnittstellen verwenden:
DBMS_CLOUD
-Prozeduren und -Funktionen, die ein Zugangsdatenargument verwenden- Oracle Cloud Infrastructure-PL/SQL-SDK-APIs
Wenn Sie sich mit einem Resource Principal authentifizieren, bietet Autonomous Database eine sichere Methode für den Zugriff auf Oracle Cloud Infrastructure-Ressourcen.
Zum Einrichten eines Resource Principals in Autonomous Database sind mehrere Schritte erforderlich:
-
Sie müssen eine Definition für Oracle Cloud Infrastructure Infrastructure Identity and Access Management-(IAM-)Policys erstellen. Weitere Informationen finden Sie unter Voraussetzungsprüfungen für die Verwendung von Resource Principal mit Autonomous Database ausführen.
-
Sie müssen den Resource Principal für den ADMIN-Benutzer aktivieren und optional den Resource Principal für einen Datenbankbenutzer aktivieren. Weitere Informationen finden Sie unter Resource Principal für den Zugriff auf Oracle Cloud Infrastructure-Ressourcen aktivieren.
Wenn Sie sich mit einem Resource Principal authentifizieren, müssen Sie keine Zugangsdaten für den Zugriff auf Oracle Cloud Infrastructure-Ressourcen erstellen und verwalten. Autonomous Database stellt Ihnen den Resource Principal zur Verfügung und sichert den Resource Principal für Sie.
Übergeordnetes Thema: Ressourcen-Principal für den Zugriff auf Oracle Cloud Infrastructure-Ressourcen nutzen
Voraussetzungsprüfungen für die Verwendung von Resource Principals mit Autonomous Database ausführen
Bevor Sie eine Oracle Cloud Infrastructure-Ressource mit einem Resource Principal aufrufen, muss ein Oracle Cloud Infrastructure-Mandantenadministrator Oracle Cloud Infrastructure-Policys, dynamische Gruppen und Regeln erstellen, mit denen die Resource Principal-Berechtigungen definiert werden.
Führen Sie die folgenden Schritte aus, bevor Sie einen Resource Principal mit Autonomous Database verwenden:
Das Resource-Principal-Token wird zwei Stunden lang gecacht. Wenn Sie also die Policy oder die dynamische Gruppe ändern, müssen Sie zwei Stunden warten, um die Auswirkungen Ihrer Änderungen zu sehen.
Weitere Informationen zu Policys finden Sie unter Funktionsweise von Policys und Policys verwalten.
Übergeordnetes Thema: Ressourcen-Principal für den Zugriff auf Oracle Cloud Infrastructure-Ressourcen nutzen
Resource Principal für den Zugriff auf Oracle Cloud Infrastructure-Ressourcen aktivieren
Führen Sie die folgenden Schritte aus, um den Resource Principal in Autonomous Database zu aktivieren.
Konfigurieren Sie als Voraussetzung dynamische Gruppen und Policys. Weitere Informationen finden Sie unter Voraussetzungsprüfungen für die Verwendung von Resource Principal mit Autonomous Database ausführen.
So aktivieren Sie einen Resource Principal in Autonomous Database:
Das Aktivieren des Resource Principals in einer Autonomous Database-Instanz ist ein einmaliger Vorgang. Sie müssen den Resource Principal nicht erneut aktivieren, es sei denn, Sie führen DBMS_CLOUD_ADMIN.DISABLE_RESOURCE_PRINCIPAL
aus, um den Resource Principal zu deaktivieren.
Übergeordnetes Thema: Ressourcen-Principal für den Zugriff auf Oracle Cloud Infrastructure-Ressourcen nutzen
Resource Principal in Autonomous Database deaktivieren
Zeigt die Schritte zum Deaktivieren des Resource Principals für alle Autonomous Database-Benutzer oder für einen angegebenen Benutzer an.
Um den Zugriff auf die Zugangsdaten des Resource Principals für einen angegebenen Datenbankbenutzer zu entfernen, nehmen Sie den Parameter username
auf. Dadurch wird dem angegebenen Benutzer der Zugriff auf die Zugangsdaten OCI$RESOURCE_PRINCIPAL
verweigert.
Beispiel:
EXEC DBMS_CLOUD_ADMIN.DISABLE_RESOURCE_PRINCIPAL
(username => 'ADB_USER');
Weitere Informationen finden Sie unter Prozedur DISABLE_RESOURCE_PRINCIPAL.
Übergeordnetes Thema: Ressourcen-Principal für den Zugriff auf Oracle Cloud Infrastructure-Ressourcen nutzen
Resource Principal mit DBMS_CLOUD verwenden
Wenn Sie Resource-Principal-Zugangsdaten mit DBMS_CLOUD
-Aufrufen angeben, authentifiziert die Datenbank die Oracle Cloud Infrastructure-Anforderungen für Sie. Die Datenbank stellt die Zugangsdaten für den Zugriff auf Oracle Cloud Infrastructure-Ressourcen bereit.
Wenn dies noch nicht geschehen ist, führen Sie die erforderlichen Voraussetzungsschritte aus:
-
Der Zugriff auf Oracle Cloud Infrastructure-Ressourcen hängt von den dynamischen Gruppenregeln und den Policys ab, die Sie in Oracle Cloud Infrastructure-Policys und dynamischen Gruppen festlegen. Weitere Informationen finden Sie unter Voraussetzungsprüfungen für die Verwendung von Resource Principal mit Autonomous Database ausführen.
-
Nachdem Sie die dynamische Gruppe und die Policys definiert haben, aktivieren Sie das ADMIN-Schema oder ein anderes Schema, um einen Resource Principal zu verwenden. Weitere Informationen finden Sie unter Resource Principal für den Zugriff auf Oracle Cloud Infrastructure-Ressourcen aktivieren.
So verwenden Sie eine DBMS_CLOUD
-Prozedur mit Zugangsdaten des Resource Principals:
Wenn Sie die Schritte vergleichen, die für den Zugriff auf Object Storage erforderlich sind (siehe Zugangsdaten erstellen und Daten in eine vorhandene Tabelle kopieren), beachten Sie, dass Schritt 1 nicht erforderlich ist, wenn Sie den Resource Principal verwenden, da Sie die systemdefinierten Zugangsdaten OCI$RESOURCE_PRINCIPAL
verwenden.
Übergeordnetes Thema: Ressourcen-Principal für den Zugriff auf Oracle Cloud Infrastructure-Ressourcen nutzen