Oracle Cloud Infrastructure-Dokumentation

Benannte Zugangsdaten erstellen und verwalten

Sie können benannte Zugangsdaten in Database Management Diagnostics & Management erstellen, um Datenbankbenutzerzugangsdaten zu speichern, zu verwalten und zu verwenden.

Benannte Zugangsdaten sind Oracle Cloud Infrastructure-Ressourcen, die Datenbankbenutzerzugangsdaten enthalten, nämlich den Datenbankbenutzernamen und das Kennwort. Wie andere Oracle Cloud Infrastructure-Ressourcen wird die Erstellung, Verwaltung und Verwendung benannter Zugangsdaten durch Oracle Cloud Infrastructure Identity and Access Management-(IAM-)Policys gesteuert. Als Administrator mit den erforderlichen Berechtigungen können Sie benannte Zugangsdaten in Diagnostics & Management erstellen und speichern und Benutzergruppen die Berechtigung erteilen, benannte Zugangsdaten für die Anmeldung bei einer verwalteten Datenbank zu verwenden und Aufgaben wie das Erstellen eines Tablespace, das Erstellen eines Jobs und das Bearbeiten von Datenbankparametern auszuführen. Darüber hinaus können benannte Zugangsdaten auch mit bevorzugten Zugangsdaten verknüpft werden, damit Benutzer auf die verwaltete Datenbank zugreifen und die mit den bevorzugten Zugangsdaten verknüpften Aufgaben ausführen können.

Die Verwendung benannter Zugangsdaten bietet folgende Vorteile:

  • Benutzerzugangsdaten sind sicher, da sie innerhalb der benannten Zugangsdaten gespeichert werden und nicht allen Benutzern offengelegt werden. Mit benannten Zugangsdaten kann ein DBA mit niedrigeren Berechtigungen Aufgaben im Zusammenhang mit der Datenbankwartung ausführen, ohne das Datenbankkennwort kennen zu müssen.
  • Zeit und Aufwand werden gespeichert, da die Benutzerzugangsdaten nicht jedes Mal angegeben werden müssen, wenn Sie eine Aufgabe in Diagnostics & Management ausführen.
  • Benutzerzugangsdaten können innerhalb der benannten Zugangsdaten aktualisiert werden, um die Wartung zu vereinfachen.
  • Benannte Zugangsdaten gewährleisten Konsistenz und vermeiden Fehler, die sich aus der Verwendung unterschiedlicher Benutzerzugangsdaten ergeben können.

Benannte Zugangsdaten weisen die folgenden Geltungsbereichskategorien auf:

  • Ressource: Eine benannte Zugangsdaten mit dem Geltungsbereich Ressource können mit einer einzelnen verwalteten Datenbank verwendet werden.
  • Global: Eine benannte Zugangsdaten mit dem Geltungsbereich Global können mit allen verwalteten Datenbanken verwendet werden.

Benannte Zugangsdaten sind verfügbar für:

  • Seite Administration Benannte Zugangsdaten: Auf dieser Seite können Sie alle im Compartment erstellten Ressource- und globalen benannten Zugangsdaten anzeigen und die Aufgaben für benannte Zugangsdaten ausführen. So gehen Sie zu dieser Seite:
    1. Öffnen Sie das Navigationsmenü in der Oracle Cloud Infrastructure-Konsole, und klicken Sie auf Observability and Management. Klicken Sie unter Datenbankmanagement auf Administration.
    2. Klicken Sie im linken Fensterbereich auf Benannte Zugangsdaten, und wählen Sie ein Compartment in der Dropdown-Liste Compartment aus.
  • Seite Details der verwalteten Datenbank: Klicken Sie im linken Bereich unter Ressourcen auf Zugangsdaten und dann auf die Registerkarte Benannte Zugangsdaten. Auf der Registerkarte Benannte Zugangsdaten können Sie die benannten Zugangsdaten, die für die verwaltete Datenbank erstellt wurden, und die benannten globalen Zugangsdaten im Compartment anzeigen und die Aufgaben für benannte Zugangsdaten ausführen.

Voraussetzungsaufgaben ausführen und erforderliche Berechtigungen abrufen

Im Folgenden finden Sie eine Liste der typischen Aufgaben, die ausgeführt werden müssen, bevor Sie benannte Zugangsdaten erstellen.

  1. Der Datenbankadministrator erstellt die Zugangsdaten des Datenbankbenutzers. Informationen zur Erstellung von Benutzeraccounts finden Sie im Oracle Database Security Guide unter Benutzeraccounts erstellen.
  2. Ein Oracle Cloud Infrastructure-Benutzer mit den erforderlichen Berechtigungen erstellt ein Vault-Service Secret für das Datenbankbenutzerkennwort. Das Secret kann in einem anderen Compartment oder in demselben Compartment mit einem anderen oder demselben Vault-Schlüssel erstellt werden.

    Im Folgenden finden Sie ein Beispiel für die Policy, mit der einer Benutzergruppe die Berechtigung zum Erstellen von Secrets erteilt wird:

    Allow group DB-MGMT-USER to manage secret-family in compartment ABC

    Informationen zum Erstellen eines Secrets finden sie unter Secret in einem Vault erstellen.

  3. Der Datenbankadministrator mit den erforderlichen Oracle Cloud Infrastructure-Berechtigungen erstellt einen der folgenden Policy-Typen, um Zugriff auf das Vault-Service-Secret mit dem Datenbankbenutzerkennwort zu erteilen:
    • Benutzer: Die Berechtigung zum Zugriff auf das Kennwort-Secret ist für einen Benutzer in der Policy definiert.

      Im Folgenden finden Sie ein Beispiel für die Policy, die einem Benutzer die Berechtigung zum Zugriff auf das Secret erteilt:

      Allow any-user to read secret in compartment ABC where request.user.id = <user_OCID>
    • Ressource: Die Berechtigung zum Zugriff auf das Kennwort-Secret ist für den Ressourcentyp in der Policy definiert.

      Benannte Zugangsdaten werden für Diagnostics- und Management-fähige Oracle Databases-Ressourcen unterstützt (dbmgmtmanageddatabase). Im Folgenden finden Sie ein Beispiel der Policy, die diesem Ressourcentyp die Berechtigung für den Zugriff auf das Secret erteilt: 

      Allow any-user to read secret-family in compartment ABC where ALL {request.principal.type='dbmgmtmanageddatabase'}

Bei der Ausführung der erforderlichen Aufgaben kann ein Benutzer mit den Datenbankmanagement-Ressourcenberechtigungen dbmgmt-named-credentials benannte Zugangsdaten erstellen und verwalten. Im Folgenden finden Sie einige Beispiele für Policys, die Benutzergruppen die erforderlichen Berechtigungen erteilen:

  • So erteilen Sie der Benutzergruppe DB-MGMT-ADMIN die Berechtigung, benannte Zugangsdaten für alle verwalteten Datenbanken in Compartment ABC zu erstellen:
    Allow group DB-MGMT-ADMIN to manage dbmgmt-named-credentials in compartment ABC
    Allow group DB-MGMT-ADMIN to use dbmgmt-managed-databases in compartment ABC
  • So erteilen Sie der Benutzergruppe DB-MGMT-ADMIN die Berechtigung zum Löschen der benannten Zugangsdaten in Compartment ABC:
    Allow group DB-MGMT-ADMIN to manage dbmgmt-named-credentials in compartment ABC
  • So erteilen Sie der Benutzergruppe DB-MGMT-ADMIN die Berechtigung, die benannten Zugangsdaten in Compartment ABC in ein anderes Compartment zu verschieben:
    Allow group DB-MGMT-ADMIN to manage dbmgmt-named-credentials in compartment ABC

Nachdem eine benannte Zugangsdaten erstellt wurden, muss die Berechtigung zur Verwendung der benannten Zugangsdaten zur Ausführung verschiedener Diagnose- und Verwaltungsaufgaben Benutzergruppen (zusätzlich zu anderen erforderlichen Berechtigungen) erteilt werden. Beispiel: Im Folgenden werden die Policys aufgeführt, die der Benutzergruppe DB-MGMT-USER die Berechtigung zum Erstellen eines Tablespace erteilen und dazu benannte Zugangsdaten verwenden: 

Allow group DB-MGMT-USER to use dbmgmt-managed-databases in compartment ABC
Allow group DB-MGMT-USER to read dbmgmt-named-credentials in compartment ABC

Weitere Informationen zu den Ressourcentypen und Berechtigungen für das Datenbankmanagement finden Sie unter Policy-Details zum Datenbankmanagement.

Benannte Zugangsdaten erstellen

Sie können benannte Zugangsdaten für den Zugriff, die Überwachung und die Verwaltung einer verwalteten Datenbank auf der Seite Details der verwalteten Datenbank erstellen.

Hinweis

Sie können benannte Zugangsdaten auch auf der Seite Administration Benannte Zugangsdaten erstellen und verwalten. Weitere Informationen finden Sie unter Benannte Zugangsdaten erstellen und verwalten.
  1. Gehen Sie zur Seite Details der verwalteten Datenbank. Klicken Sie im linken Fensterbereich unter Ressourcen auf Zugangsdaten.
  2. Klicken Sie auf die Registerkarte Benannte Zugangsdaten.
    Die Liste der benannten Zugangsdaten (sofern vorhanden) im Compartment wird aufgeführt. Um die benannten Zugangsdaten in einem anderen Compartment anzuzeigen, klicken Sie auf Compartment ändern. Darüber hinaus können Sie die Optionen in der Dropdown-Liste Anzeigen nach und im Feld Nach Name suchen verwenden, um die Liste der benannten Zugangsdaten zu filtern.
  3. Klicken Sie auf Benannte Zugangsdaten erstellen.
  4. Gehen Sie im Bereich Benannte Zugangsdaten erstellen wie folgt vor:
    1. Geben Sie im Abschnitt Allgemein die folgenden Informationen an:
      1. Name: Prüfen Sie den eindeutigen Namen, der für die benannten Zugangsdaten angezeigt wird, und ändern Sie ihn gegebenenfalls.
      2. Beschreibung: Optional können Sie eine Beschreibung für die benannten Zugangsdaten eingeben.
    2. Prüfen Sie die Datenbankdetails, und legen Sie die benannten Zugangsdaten bei Bedarf im Abschnitt Ressource als bevorzugte Zugangsdaten fest:
      1. Typ: Prüfen Sie den Ressourcentyp. Oracle Database ist standardmäßig ausgewählt, und dieses Feld kann nicht bearbeitet werden.
      2. Geltungsbereich: Wählen Sie den Geltungsbereich der benannten Zugangsdaten aus:
        • Ressource: Mit benannten Zugangsdaten mit dem Geltungsbereich Ressource können Sie auf eine einzelne verwaltete Datenbank zugreifen, diese überwachen und verwalten.
        • Global: Mit benannten Zugangsdaten mit dem Geltungsbereich Global können Sie auf alle verwalteten Datenbanken zugreifen, diese überwachen und verwalten.
      3. Ressourcenname: Prüfen Sie den Namen der verwalteten Datenbank. Dieses Feld kann nicht bearbeitet werden, wenn der Bereich Benannte Zugangsdaten erstellen über die Seite Details der verwalteten Datenbank aufgerufen wird.
        Hinweis

        Um benannte Zugangsdaten für eine andere verwaltete Datenbank zu erstellen, gehen Sie zur Seite Administration Benannte Zugangsdaten.
      4. Als bevorzugte Zugangsdaten festlegen: Aktivieren Sie optional dieses Kontrollkästchen, und wählen Sie bevorzugte Zugangsdaten aus. Wenn Sie die benannten Zugangsdaten mit bevorzugten Zugangsdaten verknüpfen möchten, können Sie die benannten Zugangsdaten verwenden, um die Aufgaben auszuführen, die mit den bevorzugten Zugangsdaten verknüpft sind. Weitere Informationen zu bevorzugten Zugangsdaten finden Sie unter Bevorzugte Zugangsdaten festlegen.
        Hinweis

        Für eine bestimmte verwaltete Datenbank werden bevorzugte Zugangsdaten festgelegt. Daher wird das Kontrollkästchen Als bevorzugte Zugangsdaten festlegen nicht angezeigt, wenn die Geltungsbereichsoption Global ausgewählt ist.
    3. Geben Sie die folgenden Zugangsdatendetails an:
      • Benutzername: Geben Sie den Datenbankbenutzernamen ein, um eine Verbindung zur verwalteten Datenbank herzustellen.
      • Secret für Benutzerkennwort: Wählen Sie das Secret, das das Datenbankbenutzerkennwort enthält, in der Dropdown-Liste aus. Wenn sich das Secret nicht im angezeigten Compartment befindet, klicken Sie auf Compartment ändern, und wählen Sie ein anderes Compartment aus.

        Wenn kein vorhandenes Secret mit dem Datenbankbenutzerkennwort verfügbar ist, wählen Sie in der Dropdown-Liste die Option Neues Secret erstellen... aus. Informationen zur erforderlichen Berechtigung zum Erstellen eines Secrets und zum Erstellen eines Secrets finden Sie unter Voraussetzungsaufgaben ausführen und erforderliche Berechtigungen abrufen.

      • Rolle: Wählen Sie die Rolle aus den verfügbaren Optionen aus.
      • Zugriffsmodus für Kennwort-Secret: Wählen Sie den Zugriffsmodus für Kennwort-Secret aus:
        • Benutzer: Die Berechtigung zum Zugriff auf das Kennwort-Secret ist für einen Benutzer in der Policy definiert.
        • Ressource: Die Berechtigung zum Zugriff auf das Kennwort-Secret ist für den Ressourcentyp (für den die benannten Zugangsdaten erstellt werden) in der Policy definiert.

        Informationen zu den Policys, die Zugriff auf das Secret mit dem Datenbankbenutzerkennwort ermöglichen, finden Sie unter Voraussetzungsaufgaben ausführen und erforderliche Berechtigungen abrufen.

    4. Klicken Sie optional auf Erweiterte Optionen anzeigen, um den benannten Zugangsdaten Freiformtags oder definierte Tags hinzuzufügen. Wenn Sie über die erforderlichen Berechtigungen zum Erstellen von benannten Zugangsdaten verfügen, sind Sie auch berechtigt Freiformtags hinzuzufügen. Um ein definiertes Tag hinzuzufügen, benötigen Sie Berechtigungen zum Verwenden des Tag-Namespace.

      Weitere Informationen:

    5. Optional können Sie auf Testen klicken, um zu prüfen, ob die Verbindung zur verwalteten Datenbank mit den Zugangsdaten erfolgreich hergestellt wurde.
    6. Klicken Sie auf Erstellen, um die benannten Zugangsdaten zu erstellen.
Die neu erstellten benannten Zugangsdaten werden auf der Registerkarte Benannte Zugangsdaten im Abschnitt Zugangsdaten aufgeführt und können zur Ausführung verschiedener Aufgaben wie dem Erstellen von Jobs und SQL-Tuning Sets verwendet werden. Sie können auf den Namen der benannten Zugangsdaten klicken, um Zugangsdateninformationen wie OCID, Geltungsbereich und zugehörige Ressourcen (verwaltete Datenbanken) anzuzeigen und tagbezogene Aufgaben auszuführen.

Sie können auf das Symbol Aktionen (Aktionen) für die benannten Zugangsdaten klicken und die folgenden Aufgaben ausführen:

  • Testen: Klicken Sie auf diese Option, um zu testen, ob eine Verbindung mit der verwalteten Datenbank mit den benannten Zugangsdaten hergestellt wurde.
  • Bearbeiten: Klicken Sie auf diese Option, um die benannten Zugangsdaten zu bearbeiten und zu aktualisieren.
  • Verschieben: Klicken Sie auf diese Option, um die benannten Zugangsdaten aus dem aktuellen Compartment in ein anderes zu verschieben.
  • Löschen: Klicken Sie auf diese Option, um die benannten Zugangsdaten zu löschen.