Uso de nombres de recursos de Amazon (ARN) para acceder a los recursos de AWS
Puede utilizar nombres de recursos de Amazon (ARN) para acceder a los recursos de AWS con Autonomous Database.
- Acerca del uso de nombres de recursos de Amazon (ARN) para acceder a recursos de AWS
Al utilizar la autenticación basada en roles de ARN con Autonomous Database, puede acceder de forma segura a los recursos de AWS sin crear y guardar credenciales basadas en claves de acceso de IAM de AWS a largo plazo. - Realización de requisitos de gestión de AWS para utilizar nombres de recursos de Amazon (ARN)
Mediante la consola de gestión de AWS o las API, cree un usuario, un rol, políticas y una relación de confianza de AWS. Realice estos pasos antes de utilizarDBMS_CLOUD.CREATE_CREDENTIAL
para crear una credencial con un parámetro de ARN en Autonomous Database. - Realización de los requisitos previos de Autonomous Database para utilizar los ARN de Amazon
Antes de utilizar un recurso de AWS conDBMS_CLOUD.CREATE_CREDENTIAL
con un parámetro de ARN, el usuario ADMIN debe activar ARN en la instancia de Autonomous Database. - Creación de credenciales con parámetros de ARN para acceder a recursos de AWS
Una vez que el uso de ARN está activado para la instancia de Autonomous Database y el administrador de AWS configura el ARN, en Autonomous Database, puede crear un objeto de credencial con parámetros de ARN. - Actualización de credenciales con parámetros de ARN para recursos de AWS
Las credenciales de ARN que utiliza en Autonomous Database funcionan con el servicio de token de AWS, que permite utilizar credenciales temporales basadas en roles para acceder a los recursos de AWS desde Autonomous Database.
Tema principal: Configuración de políticas y roles para acceder a recursos
Acerca del uso de nombres de recursos de Amazon (ARN) para acceder a recursos de AWS
Al utilizar la autenticación basada en rol de ARN con Autonomous Database, puede acceder de forma segura a los recursos de AWS sin crear y guardar credenciales basadas en claves de acceso de IAM de AWS a largo plazo.
Por ejemplo, puede que desee cargar datos de un cubo de AWS S3 en Autonomous Database, realizar alguna operación en los datos y, a continuación, volver a escribir los datos modificados en el cubo S3. Puede hacerlo sin utilizar un ARN si tiene credenciales de usuario de AWS para acceder al cubo S3. Sin embargo, el uso de ARN basados en roles para acceder a recursos de AWS desde Autonomous Database tiene las siguientes ventajas:
- You can create role-based access, with different policies for different users or schemas that need access to AWS resources from an Autonomous Database instance. Esto permite definir una política para limitar el acceso a los recursos de AWS por rol. Por ejemplo, definir una política que limite el acceso de solo lectura, por rol, a un cubo S3.
-
Las credenciales basadas en ARN proporcionan una mejor seguridad, ya que no necesita proporcionar credenciales de usuario de AWS a largo plazo en el código para acceder a los recursos de AWS. Autonomous Database gestiona las credenciales temporales generadas a partir de la operación Asumir rol de AWS.
Pasos para configurar el uso de ARN con Autonomous Database
Antes de crear una credencial mediante un ARN en Autonomous Database, en AWS, el administrador de cuenta debe definir una política que le permita acceder a los recursos de AWS, como un cubo S3. Por defecto, los servicios de credenciales de ARN no están activados en Autonomous Database. El usuario ADMIN activa las credenciales de ARN para el usuario necesario, lo que les permite crear y utilizar las credenciales de ARN en la instancia de Autonomous Database.
En AWS, el ARN de rol es el identificador del acceso proporcionado y se puede ver en la consola de AWS. Para mayor seguridad, cuando el administrador de AWS configura el rol, las políticas y la relación de confianza para la cuenta de AWS, también debe configurar un ID externo en la relación de confianza del rol.
El ID externo proporciona protección adicional a la hora de asumir roles. El administrador de AWS configura el ID externo como uno de los siguientes, según la instancia de Autonomous Database:
-
OCID de compartimento
-
OCID de la base de datos
-
El OCID de arrendamiento
En AWS, el rol solo puede ser asumido por usuarios de confianza identificados por el ID externo incluido en la URL de solicitud, donde el ID externo proporcionado en la solicitud coincide con el ID externo configurado en la relación de confianza del rol.
La configuración del ID externo es necesaria por motivos de seguridad.
En la siguiente figura se describen los pasos de configuración:
![A continuación se muestra la descripción de adb_arn_config_steps.eps A continuación se muestra la descripción de adb_arn_config_steps.eps](img/adb_arn_config_steps.png)
Pasos para utilizar ARN con DBMS_CLOUD
Todos los recursos de AWS tienen su propia identidad y se autentican con la instancia de Autonomous Database mediante una credencial DBMS_CLOUD
que se crea con parámetros que identifican el ARN. Autonomous Database crea y protege las credenciales principales que utiliza para acceder a los recursos de AWS.
Para crear una credencial con parámetros de ARN para acceder a los recursos de AWS:
-
Realice los pasos necesarios en la cuenta de AWS: en su cuenta de AWS, en la consola de gestión de AWS o mediante la CLI, cree los roles y las políticas para el ARN que utiliza con Autonomous Database y actualice la relación de confianza para el rol. El ARN de usuario de Oracle se configura cuando se actualiza la relación de confianza para el rol.
Consulte Cumplimiento de los requisitos de gestión de AWS para utilizar nombres de recursos de Amazon (ARNs) para obtener más información.
-
Realice los pasos necesarios en Autonomous Database: en Autonomous Database, debe activar al usuario ADMIN u otro usuario para que utilice credenciales con parámetros de ARN para acceder a los recursos de AWS.
Consulte Realización de requisitos previos de Autonomous Database para utilizar ARN de Amazon para obtener más información.
-
Cree credenciales con
DBMS_CLOUD.CREATE_CREDENTIAL
y proporcione los parámetros que identifican un rol de AWS. Mediante el objeto de credencial, Autonomous Database puede acceder a los recursos de AWS como se especifica en las políticas definidas para el rol en la cuenta de AWS.Consulte Creación de credenciales con parámetros de ARN para acceder a recursos de AWS para obtener más información sobre estos pasos.
-
Utilice el objeto de credencial que ha creado en el paso anterior con una función o procedimiento
DBMS_CLOUD
que toma un parámetro de credencial, comoDBMS_CLOUD.COPY_DATA
oDBMS_CLOUD.LIST_OBJECTS
.
Cumplimiento de los requisitos de gestión de AWS para utilizar nombres de recursos de Amazon (ARN)
Mediante la consola de gestión de AWS o las API, cree un usuario, un rol, políticas y una relación de confianza de AWS. Realice estos pasos antes de utilizar DBMS_CLOUD.CREATE_CREDENTIAL
para crear una credencial con un parámetro de ARN en Autonomous Database.
Para utilizar un ARN para acceder a los recursos de AWS, el administrador de AWS define las políticas y un principal que permite acceder a los recursos de AWS. Por ejemplo, al utilizar Autonomous Database, puede que desee acceder a los datos desde un cubo S3, realizar alguna operación en los datos y, a continuación, escribir los datos modificados en el cubo S3.
Depending on your existing AWS configuration and the External ID you use, you do not need to create a new role and policy for each Autonomous Database instance. Si ya tiene un rol de AWS que contiene la política necesaria para acceder a un recurso, por ejemplo, para acceder al almacenamiento en la nube de S3, puede modificar la relación de confianza para incluir los detalles en el paso 3. Asimismo, si ya tiene un rol con la relación de confianza necesaria, puede utilizar ese rol para acceder a todas las bases de datos de un compartimento o arrendamiento de OCI si utiliza un ID externo que especifique el OCID del compartimento o el OCID del arrendamiento.
Desde la consola de gestión de AWS o utilizando las API, un administrador de AWS realiza los siguientes pasos:
Una vez finalizada la configuración del rol de ARN, puede activar el ARN en la instancia. Consulte Realización de requisitos previos de Autonomous Database para utilizar ARN de Amazon para obtener más información.
Cumplimiento de los requisitos de Autonomous Database para utilizar ARN de Amazon
Antes de utilizar un recurso de AWS con DBMS_CLOUD.CREATE_CREDENTIAL
con un parámetro de ARN, el usuario ADMIN debe activar ARN en la instancia de Autonomous Database.
Por defecto, los servicios de credenciales de ARN no están activados en Autonomous Database. El usuario ADMIN ejecuta el procedimiento DBMS_CLOUD_ADMIN.ENABLE_PRINCIPAL_AUTH
para permitir que el usuario ADMIN u otros usuarios creen credenciales con parámetros de ARN.
Después de activar el ARN en la instancia de Autonomous Database mediante la ejecución de DBMS_CLOUD_ADMIN.ENABLE_PRINCIPAL_AUTH
, la credencial denominada AWS$ARN
está disponible para su uso con cualquier API de DBMS_CLOUD
que tome una credencial como entrada. A excepción de la credencial denominada AWS$ARN
, también puede crear credenciales adicionales con parámetros de ARN para acceder a los recursos de AWS. Consulte Creación de credenciales con parámetros de ARN para acceder a los recursos de AWS para obtener más información.
Creación de credenciales con parámetros de ARN para acceder a recursos de AWS
Una vez que el uso de ARN está activado para la instancia de Autonomous Database y el administrador de AWS configura el ARN, en Autonomous Database, puede crear un objeto de credencial con parámetros de ARN.
Autonomous Database crea y protege las credenciales principales que utiliza para acceder a los recursos de Amazon al proporcionar el objeto de credencial con procedimientos y funciones DBMS_CLOUD
.
Para utilizar recursos de Amazon con Autonomous Database:
Actualización de credenciales con parámetros de ARN para recursos de AWS
Las credenciales de ARN que utiliza en Autonomous Database funcionan con el servicio de token de AWS, que permite utilizar credenciales temporales basadas en roles para acceder a los recursos de AWS desde Autonomous Database.
Cuando un administrador de AWS revoca las políticas, los roles o la relación de confianza, debe actualizar las credenciales o crear nuevas credenciales para acceder a los recursos de AWS.
Realice los siguientes pasos para actualizar las credenciales:
Consulte Procedimiento UPDATE_CREDENTIAL y Procedimiento CREATE_CREDENTIAL para obtener más información.