Resource Principal
Mit der Datenbanktoolidentität können Sie Oracle Cloud Infrastructure-(OCI-)Ressourcen mit dem Resource Principal authentifizieren und darauf zugreifen. Dieser Ansatz vermeidet die Speicherung, Offenlegung oder manuelle Aktualisierung von Benutzerzugangsdaten und erhöht die Sicherheit. Sie können eine Datenbanktoolidentität nur mit Datenbanktoolverbindungen verwenden, die Sie mit dem Resource Principal als Laufzeitidentität erstellt haben.
Authentifizierter Principal und Resource Principal bieten verschiedene Möglichkeiten, Zugriff auf das Datenbankverbindungskennwort und die Informationen zum Verbindungs-Wallet zu gewähren, um eine Datenbankverbindung herzustellen. Wenn Sie den authentifizierten Principal verwenden, ruft der Benutzer, der derzeit bei OCI angemeldet ist, das Kennwort ab. In diesem Fall muss ein Administrator die erforderlichen Policys erstellen, um dem Benutzer Zugriff zu erteilen. Wenn Sie Resource Principal verwenden, ruft die Ressource das Kennwort ab. Ein Administrator muss einem Benutzer also keinen Zugriff auf das Passwort gewähren, und es ist sicherer.
Wenn Sie die Verbindung zu Datenbanktools mit dem Resource Principal verwenden, müssen Sie kein Zugangsdatenobjekt erstellen, um auf OCI-Ressourcen zuzugreifen. Sie müssen ein Identitätsobjekt für Datenbanktools erstellen, das wiederum die Zugangsdaten für den Resource Principal erstellt und sichert, mit denen Sie auf die angegebenen OCI-Ressourcen zugreifen.
Ein Resource Principal besteht aus einem temporären Sessiontoken und sicheren Zugangsdaten, mit denen sich die Ressource bei anderen OCI-Services authentifizieren kann. Datenbanktoolverbindungen können Resource Principals verwenden, um auf die Secrets zuzugreifen, die in Verbindungen verwendet werden. Dieser Ansatz bietet einen Vorteil, da der Zugriff auf das Secret der Verbindungsressource und nicht dem Benutzer gewährt wird. Daher können Verbindungsadministratoren von Datenbanktools den Zugriff von Benutzern auf Secrets einschränken. Wenn Sie die Verbindung zu Datenbanktools mit dem Resource Principal verwenden, müssen Sie kein Zugangsdatenobjekt erstellen, um auf OCI-Ressourcen zuzugreifen. Datenbanktools erstellen und sichern die Zugangsdaten des Resource Principals, mit denen Sie auf die angegebenen OCI-Ressourcen zugreifen.
Um Resource Principals zu verwenden, muss ein Mandantenadministrator die entsprechenden OCI-Policys und dynamischen Gruppen definieren, mit denen Resource Principals auf OCI-Ressourcen zugreifen können. Wenn Sie einen Resource Principal für den Zugriff auf Services verwenden, sind das generierte Sessiontoken und die Zugangsdaten nur für die OCI-Ressourcen gültig, auf die der dynamischen Gruppe Zugriff erteilt wurde.
Informationen zum Erstellen einer Verbindung zu Datenbanktools zur Verwendung des Resource Principals finden Sie unter Oracle Cloud Infrastructure-Konsole verwenden.
Die Komponenten eines Resource Principals sind: