Oracle Cloud Infrastructure-Dokumentation

Benannte Zugangsdaten erstellen und verwalten

Sie können benannte Zugangsdaten in Database Management Diagnostics & Management erstellen, um Datenbankbenutzerzugangsdaten zu speichern, zu verwalten und zu verwenden.

Benannte Zugangsdaten sind Oracle Cloud Infrastructure-Ressourcen, die Datenbankbenutzerzugangsdaten enthalten, nämlich den Datenbankbenutzernamen und das Kennwort. Wie andere Oracle Cloud Infrastructure-Ressourcen wird die Erstellung, Verwaltung und Verwendung benannter Zugangsdaten durch Oracle Cloud Infrastructure Identity and Access Management-(IAM-)Policys gesteuert. Als Administrator mit den erforderlichen Berechtigungen können Sie benannte Zugangsdaten in Diagnostics & Management erstellen und speichern und Benutzergruppen die Berechtigung erteilen, benannte Zugangsdaten für die Anmeldung bei einer verwalteten Datenbank zu verwenden und Aufgaben wie das Erstellen eines Tablespace, das Erstellen eines Jobs und das Bearbeiten von Datenbankparametern auszuführen. Darüber hinaus können benannte Zugangsdaten auch mit bevorzugten Zugangsdaten verknüpft werden, damit Benutzer auf die verwaltete Datenbank zugreifen und die mit den bevorzugten Zugangsdaten verknüpften Aufgaben ausführen können.

Hier sind die Vorteile der Verwendung benannter Zugangsdaten:

  • Benutzerzugangsdaten sind sicher, da sie in den benannten Zugangsdaten gespeichert und nicht allen Benutzern zugänglich gemacht werden. Mit benannten Zugangsdaten kann ein DBA mit niedrigeren Berechtigungen Aufgaben im Zusammenhang mit der Datenbankwartung ausführen, ohne das Datenbankkennwort kennen zu müssen.
  • Zeit und Aufwand werden gespeichert, da die Benutzerzugangsdaten nicht jedes Mal angegeben werden müssen, wenn Sie eine Aufgabe in Diagnostics & Management ausführen.
  • Benutzerzugangsdaten können mit den benannten Zugangsdaten aktualisiert werden, um eine einfache Wartung zu gewährleisten.
  • Benannte Zugangsdaten gewährleisten Konsistenz und vermeiden Fehler, die sich aus der Verwendung unterschiedlicher Benutzerzugangsdaten ergeben können.

Benannte Zugangsdaten haben die folgenden Geltungsbereichskategorien:

  • Ressource: Benannte Zugangsdaten mit dem Geltungsbereich Ressource können mit einer einzelnen verwalteten Datenbank verwendet werden.
  • Global: Benannte Zugangsdaten mit dem Geltungsbereich Global können mit allen verwalteten Datenbanken verwendet werden.

Benannte Zugangsdaten sind verfügbar für:

  • Seite Administration Benannte Zugangsdaten: Auf dieser Seite können Sie alle benannten Zugangsdaten anzeigen, die im Compartment erstellt wurden, und die Aufgaben für benannte Zugangsdaten ausführen.Ressource und Global So gehen Sie zu dieser Seite:
    1. Öffnen Sie das Navigationsmenü in der Oracle Cloud Infrastructure-Konsole, und klicken Sie auf Observability and Management. Klicken Sie unter Datenbankmanagement auf Administration.
    2. Klicken Sie im linken Bereich auf Benannte Zugangsdaten, und wählen Sie ein Compartment in der Dropdown-Liste Compartment aus.
  • Seite Details der verwalteten Datenbank: Klicken Sie im linken Fensterbereich unter Ressourcen auf Zugangsdaten, und klicken Sie dann auf die Registerkarte Benannte Zugangsdaten. Auf der Registerkarte Benannte Zugangsdaten können Sie die benannten Zugangsdaten anzeigen, die für die verwaltete Datenbank erstellt wurden, sowie die benannten Zugangsdaten mit dem Namen Global im Compartment, und die Aufgaben für benannte Zugangsdaten ausführen.

Voraussetzungsaufgaben ausführen und erforderliche Berechtigungen abrufen

Im Folgenden finden Sie eine Liste der typischen Aufgaben, die ausgeführt werden müssen, bevor Sie benannte Zugangsdaten erstellen.

  1. Der Datenbankadministrator erstellt die Zugangsdaten des Datenbankbenutzers. Informationen zum Erstellen von Benutzeraccounts finden Sie unter Benutzeraccounts erstellen in der Dokumentation Oracle Database Security Guide.
  2. Ein Oracle Cloud Infrastructure-Benutzer mit den erforderlichen Berechtigungen erstellt ein Vault-Service-Secret für das Kennwort des Datenbankbenutzers. Das Secret kann in einem anderen Compartment oder im selben Compartment mit demselben oder einem anderen Vault-Schlüssel erstellt werden.

    Im Folgenden finden Sie ein Beispiel für die Policy, mit der einer Benutzergruppe die Berechtigung zum Erstellen von Secrets erteilt wird:

    Allow group DB-MGMT-USER to manage secret-family in compartment ABC

    Informationen zum Erstellen eines Secret finden Sie unter Secret in einem Vault erstellen.

  3. Der Datenbankadministrator mit den erforderlichen Oracle Cloud Infrastructure-Berechtigungen erstellt einen der folgenden Policy-Typen, um Zugriff auf das Vault-Service-Secret mit dem Datenbankbenutzerkennwort zu erteilen:
    • Benutzer: Die Berechtigung zum Aufrufen des Kennwort-Secrets ist für einen Benutzer in der Policy definiert.

      Im Folgenden finden Sie ein Beispiel für die Policy, die einem Benutzer die Berechtigung zum Zugriff auf das Secret erteilt:

      Allow any-user to read secret in compartment ABC where request.user.id = <user_OCID>
    • Ressource: Die Berechtigung zum Aufrufen des Kennwort-Secrets ist für den Ressourcentyp in der Policy definiert.

      Benannte Zugangsdaten werden für Diagnostics- und Management-fähige Oracle Databases-Ressourcen unterstützt (dbmgmtmanageddatabase). Im Folgenden finden Sie ein Beispiel der Policy, die diesem Ressourcentyp die Berechtigung für den Zugriff auf das Secret erteilt: 

      Allow any-user to read secret-family in compartment ABC where ALL {request.principal.type='dbmgmtmanageddatabase'}

Wenn Sie die erforderlichen Aufgaben ausführen, kann ein Benutzer mit den Database Management-Ressourcenberechtigungen dbmgmt-named-credentials benannte Zugangsdaten erstellen und verwalten. Im Folgenden finden Sie einige Beispiele für Policys, die Benutzergruppen die erforderlichen Berechtigungen erteilen:

  • So erteilen Sie der Benutzergruppe DB-MGMT-ADMIN die Berechtigung zum Erstellen benannter Zugangsdaten für alle verwalteten Datenbanken im Compartment ABC:
    Allow group DB-MGMT-ADMIN to manage dbmgmt-named-credentials in compartment ABC
    Allow group DB-MGMT-ADMIN to use dbmgmt-managed-databases in compartment ABC
  • So erteilen Sie der Benutzergruppe DB-MGMT-ADMIN die Berechtigung zum Löschen der benannten Zugangsdaten in Compartment ABC:
    Allow group DB-MGMT-ADMIN to manage dbmgmt-named-credentials in compartment ABC
  • So erteilen Sie der Benutzergruppe DB-MGMT-ADMIN die Berechtigung zum Verschieben der benannten Zugangsdaten in Compartment ABC in ein anderes Compartment:
    Allow group DB-MGMT-ADMIN to manage dbmgmt-named-credentials in compartment ABC

Nachdem eine benannte Zugangsdaten erstellt wurden, muss die Berechtigung zur Verwendung der benannten Zugangsdaten zur Ausführung verschiedener Diagnose- und Verwaltungsaufgaben Benutzergruppen (zusätzlich zu anderen erforderlichen Berechtigungen) erteilt werden. Beispiel: Im Folgenden werden die Policys aufgeführt, die der Benutzergruppe DB-MGMT-USER die Berechtigung zum Erstellen eines Tablespace erteilen und dazu benannte Zugangsdaten verwenden: 

Allow group DB-MGMT-USER to use dbmgmt-managed-databases in compartment ABC
Allow group DB-MGMT-USER to read dbmgmt-named-credentials in compartment ABC

Weitere Informationen zu den Ressourcentypen und Berechtigungen für das Datenbankmanagement finden Sie unter Policy-Details für das Datenbankmanagement.

Benannte Zugangsdaten erstellen

Sie können benannte Zugangsdaten für den Zugriff, die Überwachung und die Verwaltung einer verwalteten Datenbank auf der Seite Details der verwalteten Datenbank erstellen.

Hinweis

Sie können benannte Zugangsdaten auch auf der Seite Administration Benannte Zugangsdaten erstellen und verwalten. Weitere Informationen finden Sie unter Benannte Zugangsdaten erstellen und verwalten.
  1. Gehen Sie zur Seite Details der verwalteten Datenbank, und klicken Sie im linken Fensterbereich unter Ressourcen auf Zugangsdaten.
  2. Klicken Sie auf die Registerkarte Benannte Zugangsdaten.
    Die Liste der benannten Zugangsdaten (sofern vorhanden) im Compartment wird aufgeführt. Um die benannten Zugangsdaten in einem anderen Compartment anzuzeigen, klicken Sie auf Compartment ändern. Außerdem können Sie die Optionen in der Dropdown-Liste Anzeigen nach und im Feld Nach Name suchen verwenden, um die Liste der benannten Zugangsdaten zu filtern.
  3. Klicken Sie auf Benannte Zugangsdaten erstellen.
  4. Führen Sie im Bereich Benannte Zugangsdaten erstellen folgende Schritte aus:
    1. Geben Sie die folgenden Informationen im Abschnitt Allgemein an:
      1. Name: Prüfen Sie den eindeutigen Namen, der für die benannten Zugangsdaten angezeigt wird, und ändern Sie ihn bei Bedarf.
      2. Beschreibung: Geben Sie optional eine Beschreibung für die benannten Zugangsdaten ein.
    2. Prüfen Sie die Datenbankdetails, und legen Sie die benannten Zugangsdaten gegebenenfalls im Abschnitt Ressource als bevorzugte Zugangsdaten fest:
      1. Typ: Prüfen Sie den Ressourcentyp. Oracle Database ist standardmäßig ausgewählt, und dieses Feld kann nicht bearbeitet werden.
      2. Geltungsbereich: Wählen Sie den Geltungsbereich der benannten Zugangsdaten aus:
        • Ressource: Mit benannten Zugangsdaten mit dem Geltungsbereich Ressource können Sie auf eine einzelne verwaltete Datenbank zugreifen, diese überwachen und verwalten.
        • Global: Mit benannten Zugangsdaten mit dem Geltungsbereich Global können Sie auf alle verwalteten Datenbanken zugreifen, diese überwachen und verwalten.
      3. Ressourcenname: Prüfen Sie den Namen der verwalteten Datenbank. Dieses Feld kann nicht bearbeitet werden, wenn über die Seite Details der verwalteten Datenbank auf den Bereich Benannte Zugangsdaten erstellen zugegriffen wird.
        Hinweis

        Um benannte Zugangsdaten für eine andere verwaltete Datenbank zu erstellen, gehen Sie zur Seite Administration Benannte Zugangsdaten.
      4. Als bevorzugte Zugangsdaten festlegen: Aktivieren Sie optional dieses Kontrollkästchen, und wählen Sie bevorzugte Zugangsdaten aus. Wenn Sie die benannten Zugangsdaten mit bevorzugten Zugangsdaten verknüpfen möchten, können Sie mit den benannten Zugangsdaten die Aufgaben ausführen, die mit den bevorzugten Zugangsdaten verknüpft sind. Weitere Informationen zu bevorzugten Zugangsdaten finden Sie unter Bevorzugte Zugangsdaten festlegen.
        Hinweis

        Für eine bestimmte verwaltete Datenbank werden bevorzugte Zugangsdaten festgelegt. Daher wird das Kontrollkästchen Als bevorzugte Zugangsdaten festlegen nicht angezeigt, wenn die Geltungsbereichoption Global ausgewählt ist.
    3. Geben Sie die folgenden Zugangsdatendetails an:
      • Benutzername: Geben Sie den Datenbanknamen für die Verbindung zur verwalteten Datenbank ein.
      • Benutzerkennwort-Secret: Wählen Sie in der Dropdown-Liste das Secret aus, in dem das Kennwort des Datenbankbenutzers gespeichert ist. Wenn sich das Secret nicht im angezeigten Compartment befindet, klicken Sie auf Compartment ändern, und wählen Sie ein anderes Compartment aus.

        Wenn kein vorhandenes Secret mit dem Datenbankbenutzerkennwort verfügbar ist, wählen Sie in der Dropdown-Liste die Option Neues Secret erstellen... aus. Informationen zur erforderlichen Berechtigung zum Erstellen eines Secrets und zum Erstellen eines Secrets finden Sie unter Voraussetzungsaufgaben ausführen und erforderliche Berechtigungen abrufen.

      • Rolle: Wählen Sie die Rolle aus den verfügbaren Optionen aus.
      • Kennwort-Secret-Zugriffsmodus: Wählen Sie den Zugriffsmodus für das Kennwort-Secret aus:
        • Benutzer: Die Berechtigung zum Zugriff auf das Kennwort-Secret ist für einen Benutzer in der Policy definiert.
        • Ressource: Die Berechtigung zum Aufrufen des Kennwort-Secrets ist für den Ressourcentyp (für den die benannten Zugangsdaten erstellt werden) in der Policy definiert.

        Informationen zu den Policys, die Zugriff auf das Secret mit dem Datenbankbenutzerkennwort erteilen, finden Sie unter Voraussetzungsaufgaben ausführen und erforderliche Berechtigungen abrufen.

    4. Klicken Sie optional auf Erweiterte Optionen anzeigen, um den benannten Zugangsdaten Freiformtags oder definierte Tags hinzuzufügen. Wenn Sie über die erforderlichen Berechtigungen verfügen, um benannte Zugangsdaten zu erstellen, sind Sie auch berechtigt, Freiformtags hinzuzufügen. Um ein definiertes Tag hinzuzufügen, benötigen Sie Berechtigungen zum Verwenden des Tag-Namespace.

      Weitere Informationen:

    5. Optional können Sie auf Testen klicken, um zu prüfen, ob die Verbindung zur verwalteten Datenbank mit den Zugangsdaten erfolgreich hergestellt wurde.
    6. Klicken Sie auf Erstellen, um die benannten Zugangsdaten zu erstellen.
Die neu erstellten benannten Zugangsdaten werden auf der Registerkarte Benannte Zugangsdaten im Abschnitt Zugangsdaten aufgeführt und können zum Erstellen von Jobs und SQL-Tuning-Sets verwendet werden. Sie können auf den Namen der benannten Zugangsdaten klicken, um Zugangsdateninformationen wie die OCID, den Geltungsbereich und die zugehörigen Ressourcen (verwaltete Datenbanken) anzuzeigen und tagbezogene Aufgaben auszuführen.

Sie können auf das Symbol Aktionen (Aktionen) für die benannten Zugangsdaten klicken und die folgenden Aufgaben ausführen:

  • Test: Klicken Sie auf diese Option, um zu testen, ob eine Verbindung mit der verwalteten Datenbank mit den benannten Zugangsdaten hergestellt wird.
  • Bearbeiten: Klicken Sie auf diese Option, um die benannten Zugangsdaten zu bearbeiten und zu aktualisieren.
  • Verschieben: Klicken Sie auf diese Option, um die benannten Zugangsdaten aus dem aktuellen Compartment in ein anderes zu verschieben.
  • Löschen: Klicken Sie auf diese Option, um die benannten Zugangsdaten zu löschen.