Oracle API Access Control mit Oracle Exadata Database Service on Cloud@Customer und Oracle Exadata Database Service on Dedicated Infrastructure verwenden

Einführung

Mit Oracle API Access Control können Kunden den Zugriff auf die REST-APIs verwalten, die von Oracle Exadata Database Service on Dedicated Infrastructure und Oracle Exadata Database Service on Cloud@Customer bereitgestellt werden. Indem bestimmte APIs als privilegiert gekennzeichnet werden, können Kunden sicherstellen, dass der Aufruf dieser APIs eine vorherige Genehmigung durch eine autorisierte Gruppe in ihrem Mandanten erfordert.

Oracle API Access Control unterstützt auch bei der Auditintegration, indem die Oracle Cloud Infrastructure-(OCI-)Technologie verwendet wird, um einen bestimmten Workflow durchzusetzen.

Eine Person fordert Zugriff zur Ausführung eines privilegierten Vorgangs an. Ein Genehmiger prüft und genehmigt den Vorgang, nachdem die OCI Control Plane eine spezielle Genehmigungsressource in einen genehmigten Status überführt hat. Auf diese Weise kann der Anforderer eine API an eine Zielressource senden und die gewünschte Aufgabe ausführen.

Wichtige Vorteile:

• Geringeres Risiko: Minimieren Sie versehentliche oder böswillige Löschvorgänge geschäftskritischer Datenbankservices.
• Aufgabentrennung: Stellen Sie sicher, dass sich die API-Ausführung von der Genehmigung unterscheidet, was die Sicherheit und Verantwortlichkeit erhöht.

Ziele

Konfigurieren und betreiben Sie den Oracle API Access Control-Service für Oracle Exadata Database Service on Cloud@Customer. Ähnliche Anweisungen gelten für Oracle Exadata Database Service on Dedicated Infrastructure.

• Richten Sie Benutzer und Gruppe im OCI-Mandanten ein.

• Konfigurieren Sie die Oracle Cloud Infrastructure Identity and Access Management-(OCI IAM-)Policy für die Oracle API Access Control.

• Bringen Sie Ressourcen unter Kontrolle.

• Demonstrieren Sie die Durchsetzung der API-Kontrolle.

• eine Zugriffsanforderung erstellen und genehmigen.

• Genehmigte Vorgänge auditieren

• Oracle API Access Control-Anforderungen entziehen.

• Bearbeiten oder entfernen Sie Kontrollen.

• Abschließende Prüfung zum Löschen der Kontrolle.

Voraussetzungen

• Zugriff auf einen OCI-Mandanten mit einem Oracle Exadata Database Service on Cloud@Customer oder Oracle Exadata Database Service on Dedicated Infrastructure.

• Benutzer, der im Mandanten erstellt wurde, in einer Gruppe mit Policys, die Oracle API Access Control-Berechtigungen erteilen (ExaCC Approver-Benutzer in diesem Tutorial).

• Ein zweiter Benutzer, der im Mandanten erstellt wurde, in einer Gruppe mit Policys, die reguläre Infra- und DB-Managementberechtigungen erteilen (infra-db-admin-user-Benutzer in diesem Tutorial).

Aufgabe 1: Benutzer und Gruppierungen im OCI-Mandanten einrichten

Der erste Schritt in der Oracle API Access Control besteht darin, Benutzer und Gruppen in Ihrem OCI-Mandanten einzurichten. Der zweite Schritt besteht darin, dass diese Benutzer und Gruppen die Kontrolle konfigurieren und Anforderungen verwalten.

1. Melden Sie sich bei der OCI-Konsole an, und navigieren Sie innerhalb Ihrer Standardidentitätsdomain zu Identität und Sicherheit.

2. Erstellen Sie Benutzer und Gruppe. Ein Benutzer mit dem Namen ExaCC Approver wurde konfiguriert, und dieser Benutzer ist Mitglied der Gruppe ExaCC-API-Approver-grp.

   

Aufgabe 2: OCI-IAM-Policy für Oracle API-Zugriffskontrolle konfigurieren

Konfigurieren Sie in dieser Aufgabe die OCI-IAM-Policy, damit der Oracle API Access Control-Service ausgeführt werden kann und die Gruppe ExaCC-API-Approver-grp den Service verwalten kann. Mit den in diesem Beispiel angegebenen Policy-Anweisungen kann der Service funktionieren. Die OCI-IAM-Policy-Syntax bietet eine feingranulierte Kontrolle und ermöglicht eine weitere Aufgabentrennung.

OCI-IAM-Beispiel-Policys für Oracle API Access Control:

allow group <admin_group/approver_group/managers> to manage privileged-api-family in tenancy
allow any-user TO use database-family IN tenancy where ALL { request.principal.type in ('pactlprivilegedapirequest', 'pactlprivilegedapicontrol') }
allow any-user TO use ons-topics IN tenancy where ALL { request.principal.type in ('pactlprivilegedapirequest', 'pactlprivilegedapicontrol') }
allow group <admin_group/approver_group/managers> to use database-family in tenancy
allow group <admin_group/approver_group/access_request_group> to read domains in tenancy
allow group <admin_group/approver_group/access_request_group> to inspect compartments in tenancy
allow group <admin_group/approver_group/access_request_group> to use ons-topics in tenancy

• Die erste Policy-Zeile erteilt der Gruppe ExaCC-API-Approver-grp die Berechtigung zum Verwalten von privileged-api-family. Das bedeutet, dass sie Kontrollen erstellen, sie auf Services anwenden und Zugriffsanforderungen genehmigen können.

• Mit der zweiten Policy-Zeile kann die Oracle API Access Control-Software mit dem Datenbankservice in Ihrem Mandanten interagieren.

• Mit der dritten Policy-Zeile kann die Oracle API Access Control-Software mit OCI Notification-Themen in Ihrem Mandanten interagieren. Dies ist wichtig, um Ihre Mitarbeiter zu benachrichtigen, wenn Zugriffsanfragen ihren Lebenszyklusstatus ändern.

Ihre Genehmigergruppe muss die Datenbankfamilie verwenden können, muss sie jedoch nicht verwalten. Darüber hinaus muss die Genehmigungsgruppe Domains lesen, Compartments prüfen und OCI Notification-Themen für Benachrichtigungen verwenden können.

Weitere Informationen zu OCI-IAM-Policys finden Sie unter Resource-Types und Delegate Access Control-Policys.

Aufgabe 3: Ressourcen unter Kontrolle bringen

Melden Sie sich mit der Oracle API Access Control und den zugehörigen Policys als Oracle API Access Control-Benutzer an, um Ressourcen unter Kontrolle zu bringen.

1. Navigieren Sie zur OCI-Konsole, navigieren Sie zu Oracle Database, API-Zugriffskontrolle, und klicken Sie auf Berechtigte API-Steuerung erstellen.

   

2. Wählen Sie das Compartment (ExaCC) aus, und erstellen Sie ein neues Steuerelement.

3. Geben Sie einen Namen und eine Beschreibung für Ihr Steuerelement ein.

4. Ressourcentyp auswählen: Wählen Sie Exadata-Infrastruktur für dieses Tutorial aus.

   • Exadata Cloud Infrastructure für eine Oracle Exadata Database Service on Dedicated Infrastructure in OCI oder Oracle Multicloud.
   • Exadata Infrastructure für Oracle Exadata Database Service on Cloud@Customer.

   

5. Exadata-Infrastruktur-Compartment auswählen: Die Exadata-Infrastruktur befindet sich in einem separaten Compartment (eccw-infrastructure).

6. Exadata-Infrastruktur auswählen: Die zu steuernde Infrastruktur ist eccw-infrastructure.

7. Wählen Sie die APIs aus, die Sie für Ihre Infrastruktur kontrollieren möchten.

   Beispiel:

   • Sie können das Löschen der Infrastruktur schützen.
   • Bei einem Virtual-Machine-(VM-)Cluster können Sie Updates, Löschvorgänge, Hinzufügen/Entfernen von VMs und Ändern von Compartments schützen.
   • Bei VM-Clusterupdates können verschiedene Attribute als privilegiert ausgewählt werden, z.B. die Änderung der CPU-Coreanzahl (die sich auf Autoscaling-Software auswirkt) oder der SSH-Public Keys.
   • Sie können auch Folgendes steuern:
     • APIs des Datenbank-Homes, wie Löschvorgänge.
     • APIs für virtuelle Maschinen, wie Updates und das Erstellen von Konsolenverbindungen.
     • VM-Clusternetzwerk-APIs, einschließlich Größenänderungen, Updates und Löschvorgänge.
     • Containerdatenbank-APIs, die Löschvorgänge, Schlüsselrotationen, Updates und Upgrades für die Verwaltung von Transparent Data Encryption-Schlüsseln umfassen.
     • APIs für integrierbare Datenbanken mit Aktionen wie Starten/Stoppen, Aktualisieren, Aktualisieren und Löschen integrierbarer Datenbanken. In diesem Beispiel möchten wir Kontrollen zum Ändern der CPU-Coreanzahl (7a) und zum Löschen der CDB (7b) anwenden.

   Hinweis: Die zugewiesenen Kontrollen können nach der Erstellung der ersten Kontrolle geändert werden. Änderungen erfordern jedoch auch den Genehmigungsprozess für die Oracle API-Zugriffskontrolle.

8. Wählen Sie unter Genehmigungsinformationen die Option IAM-Policy verwenden für Genehmigungsinformationen aus. Dies ist erforderlich, wenn Sie in einem Mandanten mit Identitätsdomains arbeiten.

9. Optional können Sie für besonders sensible Systeme eine zweite Genehmigung anfordern, bei der zwei separate Identitäten erforderlich sind, um eine Zugriffsanforderung zu genehmigen.

10. Benachrichtigungsthema auswählen: Sie müssen ein OCI-Benachrichtigungsthema für Benachrichtigungen über Zugriffsanforderungen auswählen und auf Erstellen klicken. Nachdem Sie die Kontrolle erstellt haben, dauert es einige Minuten, bis Sie online sind.

    Die folgenden Bilder zeigen die Erstellung eines OCI-Benachrichtigungsthemas, die Erstellung und Konfiguration eines Abonnements.

    

    

Hinweis: OCI-Auditdatensätze werden mit den Compartments verknüpft, in denen sich die Ressourcen befinden. Wenn Sie diese Oracle API-Zugriffskontrolle im Compartment ExaCC erstellen, werden daher dort Auditdatensätze für das Lebenszyklusmanagement in API-Steuerelementen gefunden. Bei Aktualisierungen der Exadata-Infrastruktur im Compartment eccw-infrastructure werden die Auditdatensätze im Compartment eccw-infrastructure angezeigt.

Aufgabe 4: Durchsetzung der API-Steuerung demonstrieren

Um zu demonstrieren, wie die API das System steuert, führen Sie die folgenden Schritte aus:

1. Melden Sie sich bei der OCI-Konsole als Benutzer infra-db-admin-user an.

2. Wählen Sie Oracle Database Service on Cloud at Customer aus.

3. Wählen Sie das Virtual-Machine-Cluster und die Exadata-Infrastruktur aus.

4. Das eccw-cl3 VM-Cluster wird mit aktivierter Oracle API-Zugriffskontrolle angezeigt.

5. Wenn Sie versuchen, die ECPU-Anzahl pro VM direkt aus dem Menü zu ändern, wird der Vorgang abgelehnt, da er für die aktuelle Ressource nicht zulässig ist.

   

6. Wenn Sie versuchen, eine Datenbank zu beenden, ist der Vorgang ebenfalls nicht zulässig.

7. So prüfen Sie den Auditdatensatz über die OCI-Konsole.

   1. Navigieren Sie zu Beobachtbarkeit und Management.

   2. Wählen Sie Logging aus, und klicken Sie auf Audit.

   3. Wählen Sie das Compartment ExaCC aus.

   4. Audit für Aktionen wie PUT und POST oder Statusänderungen.

   Im Compartment eccw-infrastructure wird der Fehler Nicht gefunden (404) angezeigt, der angibt, dass die Anforderung bei der Prüfung der Oracle API-Zugriffskontrolle auf Genehmigung nicht erfolgreich war.

   

Aufgabe 5: Zugriffsanforderungen erstellen und genehmigen

1. Navigieren Sie zur OCI-Konsole, navigieren Sie zu Oracle Database, und klicken Sie auf API-Zugriffskontrolle.

2. Klicken Sie auf Berechtigte Zugriffsanforderung erstellen, um eine Anforderung zum Aktualisieren der CPU-Coreanzahl zu erstellen.

   1. Compartment: Wählen Sie ExaCC Compartment aus.

   2. Ticketnummern: Fügen Sie eine Referenz zu einem Ticket hinzu (dies ist Freiformtext).

   3. Ressourcentyp: Der Ressourcentyp ist Ihr VM-Cluster.

   4. Berechtigte Vorgänge auswählen: Anforderung zum Aktualisieren des VM-Clusters cpuCoreCount. Sie können bei Bedarf weitere Vorgänge für ein einzelnes Zugriffsfenster hinzufügen.

      

   5. Sie können Zugriff für ein zukünftiges Datum für geplante Wartung oder sofort anfordern.

   6. Benachrichtigungsthema auswählen: Wählen Sie ein Thema aus, das benachrichtigt werden soll, und klicken Sie auf Erstellen.

      

   Im Compartment, in dem die Zugriffsanforderung erstellt wird, wird sie im Status Gelöst angezeigt.

   

   Wenn Sie versuchen, es selbst zu genehmigen, erhalten Sie eine Fehlermeldung, die angibt, dass ein anderer Benutzer es genehmigen muss.

3. Greifen Sie als Benutzer des ExaCC Approver-Genehmigers auf das System zu. Sie können die Zugriffsanforderungen im Compartment anzeigen.

   

   Eine E-Mail-Benachrichtigung wird an die Mitglieder der ExaCC-API-Approver-grp gesendet.

   

4. Sie können auf die ausgelöste Anforderung zugreifen.

   

5. Prüfen Sie die Anforderung auf UpdateVmCluster cpuCoreCount, und genehmigen Sie die Anforderung sofort, oder wählen Sie einen zukünftigen Zeitpunkt aus.

   

   

6. Nachdem die Zugriffsanforderung genehmigt wurde, kehren Sie zur VM-Clusterressource zurück, und aktualisieren Sie die ECPU-Anzahl pro VM. Das System lässt jetzt eine Änderung der ECPU-Anzahl pro VM zu.

Aufgabe 6: Genehmigte Vorgänge prüfen

Aus Sicht des Audits.

1. Navigieren Sie zur OCI-Konsole, navigieren Sie zu Observability and Management, und wählen Sie Audit aus.

2. Navigieren Sie zu dem Compartment, in dem die Zugriffsanforderung für die Oracle API-Zugriffskontrolle konfiguriert ist. Siehe POSTs und PUTs.

3. Der Benutzer infra-db-admin-user hat eine Zugriffsanforderung für die Oracle API-Zugriffskontrolle erstellt.

   

4. Die Fehlerhafte Anforderungen (400) werden angezeigt, wenn Sie selbst versucht haben, sie zu genehmigen.

   

   

5. Die Zugriffsanforderung wurde von ExaCC Approver genehmigt.

   

Wenn Sie sich das Compartment eccw-infrastructure ansehen, beobachten Sie auch das Update für das VM-Cluster, das nach der Genehmigung erfolgt ist. Sie sehen den Start des VM-Clusters aktualisieren und die Prüfung der API-Zugriffskontrolle genehmigt, um anzugeben, dass die APIs weitergeleitet werden.

Aufgabe 7: Oracle API-Zugriffskontrollanforderungen entziehen

Eine Oracle API Access Control-Anforderung kann entweder von der Person, die sie weitergeleitet hat, oder vom Genehmiger widerrufen werden. Sobald eine Anforderung widerrufen wurde, ist jeder Versuch, die Aktion auszuführen, nicht mehr zulässig.

Aus Auditperspektive im Compartment eccw-infrastructure können Sie die PUT- und POST-Methoden beobachten. Es werden VM-Clusterupdates angezeigt, die nach der Genehmigung zulässig waren, sowie Fehler bei VM-Clusterupdates, die aufgetreten sind, weil die Zugriffsanforderung nicht genehmigt wurde. Wenn Sie das Lebenszyklusmanagement der Zugriffsanforderungen selbst prüfen, können Sie sehen, wann die Anforderung geöffnet wurde, den 400-Fehler zur Selbstgenehmigung und die erfolgreiche Genehmigung durch einen anderen Benutzer.

Aufgabe 8: Steuerelemente bearbeiten oder entfernen

• Wenn Sie versuchen, ein Steuerelement zu entfernen, erstellt die Software automatisch eine Oracle API Access Control-Anforderung in Ihrem Namen, um es zu entfernen.

  

• Wenn Sie versuchen, Ihre eigene Aktion zu genehmigen, um die Kontrolle zu entfernen, gelten dieselben Durchsetzungsregeln (sie werden abgelehnt).

  

• Wenn ein anderer Benutzer (z.B. ein anderer Testbenutzer mit der Berechtigung zum Genehmigen von Zugriffsanforderungen) die Zugriffsanforderung genehmigt, kann er die Ressource löschen oder entfernen.

Aufgabe 9: Endgültiges Audit zum Löschen der Kontrolle abschließen

Aus Auditperspektive zum Löschen von Steuerelementen.

• Der Versuch infra-db-admin-user, das privilegierte API-Steuerelement zu löschen und einen 400-Fehler zu erhalten, wird angezeigt.

• Anschließend wird ein anderer Benutzer ExaCC Approver angezeigt, der die privilegierte API-Zugriffsanforderung genehmigt. Dies hat den Status 200 (erfolgreich).

• Schließlich gibt infra-db-admin-user den Löschbefehl aus. Der Löschvorgang wird mit dem Status OK (202) erfolgreich ausgeführt.

Verwandte Links

• Oracle Exadata Database Service on Cloud@Customer

• Oracle API-Zugriffskontrolle

• API-Zugriffskontrolle – Demo-Video

Bestätigungen

• Autor – Filip Vercauteren (Exadata Cloud@Customer Black Belt)

• Beitragende – Matthieu Bordonne (Master Principal Sales Consultant – EMEA Solution Center), Zsolt Szokol (Exadata Cloud@Customer Black Belt), Jeffrey Wright (Distinguished Product Manager)

Weitere Lernressourcen

Sehen Sie sich weitere Übungen zu docs.oracle.com/learn an, oder greifen Sie auf weitere kostenlose Lerninhalte im Oracle Learning YouTube-Kanal zu. Besuchen Sie außerdem education.oracle.com/learning-explorer, um ein Oracle Learning Explorer zu werden.

Die Produktdokumentation finden Sie im Oracle Help Center.

---

Titel und Copyright-Informationen

Use Oracle API Access Control with Oracle Exadata Database Service on Cloud@Customer and Oracle Exadata Database Service on Dedicated Infrastructure

G39121-01

Copyright ©2025, Oracle and/or its affiliates.