Uso de una entidad de servicio de Azure para acceder a los recursos de Azure
Puede utilizar una entidad de servicio de Azure con Autonomous Database para acceder a los recursos de Azure sin tener que crear y almacenar sus propios objetos de credenciales en la base de datos.
- Activación de la entidad de servicio de Azure
Active la autenticación de la entidad de servicio de Azure para permitir que Autonomous Database acceda a los servicios de Azure sin proporcionar credenciales a largo plazo. - Proporcionar el consentimiento de la aplicación Azure y asignar roles
Para acceder a los recursos de Azure desde Autonomous Database con la autenticación de entidad de servicio de Azure, debe dar el consentimiento a la aplicación Azure y asignar roles para permitir el acceso a los recursos de Azure. - Uso de una entidad de servicio de Azure con DBMS_CLOUD
Al realizar llamadas aDBMS_CLOUD
para acceder a los recursos de Azure y especificar el nombre de credencial comoAZURE$PA
, la autenticación en Azure se produce mediante la entidad de servicio de Azure. - Desactivación de una entidad de servicio de Azure
Para desactivar el acceso a los recursos de Azure desde Autonomous Database con una entidad de servicio de Azure, utiliceDBMS_CLOUD_ADMIN.DISABLE_PRINCIPAL_AUTH
. - Notas sobre la entidad de servicio de Azure
Notas sobre el uso de la entidad de servicio de Azure.
Tema principal: Configuración de políticas y roles para acceder a recursos
Activación de la entidad de servicio de Azure
Active la autenticación de entidad de servicio de Azure para permitir que Autonomous Database acceda a los servicios de Azure sin proporcionar credenciales a largo plazo.
Para utilizar la autenticación de entidad de servicio de Autonomous Database con Azure, necesita una cuenta de Microsoft Azure. Consulte Microsoft Azure para obtener más información.
Para activar la autenticación de la entidad de servicio de Azure en Autonomous Database:
Consulte el procedimiento ENABLE_PRINCIPAL_AUTH para obtener más información.
Consentimiento para la aplicación Azure y asignación de roles
Para acceder a los recursos de Azure desde Autonomous Database con la autenticación de entidad de servicio de Azure, debe dar el consentimiento a la aplicación Azure y asignar roles para permitir el acceso a los recursos de Azure.
Para dar el consentimiento a la aplicación Azure y asignar roles, realice los siguientes pasos:
En este ejemplo, se muestran los pasos para otorgar roles para acceder a Azure Blob Storage. Si desea proporcionar acceso a otros servicios de Azure, debe realizar pasos equivalentes para los servicios adicionales de Azure para permitir que la aplicación Azure (la entidad de servicio) acceda al servicio de Azure.
Uso de la entidad de servicio de Azure con DBMS_CLOUD
Al realizar llamadas a DBMS_CLOUD
para acceder a los recursos de Azure y especificar el nombre de credencial como AZURE$PA
, la autenticación en Azure se produce mediante la entidad de servicio de Azure.
Si aún no lo ha hecho, realice los pasos previos necesarios:
-
Active el esquema ADMIN u otro esquema para utilizar la autenticación de entidad de servicio de Azure. Consulte Activación de la entidad de servicio de Azure para obtener más información.
-
Proporcione consentimiento a la aplicación y otorgue los permisos de asignación de roles de Azure. Consulte Consentimiento para la aplicación de Azure y asignación de roles para obtener más información.
Para utilizar un procedimiento o función DBMS_CLOUD
con la entidad de servicio de Azure, especifique AZURE$PA
como nombre de credencial. Por ejemplo, puede acceder a Azure Blob Storage mediante las credenciales de la entidad de servicio de Azure de la siguiente manera:
SELECT * FROM DBMS_CLOUD.LIST_OBJECTS
('AZURE$PA', 'https://treedata.blob.core.windows.net/treetypes/');
OBJECT_NAME BYTES CHECKSUM CREATED LAST_MODIFIED
----------- ----- ------------------------ -------------------- --------------------
trees.txt 58 aCB1qMOPVobDLCXG+2fcvg== 2022-04-07T23:03:01Z 2022-04-07T23:03:01Z
Si compara los pasos necesarios para acceder a Object Storage, como se muestra en Creación de credenciales y copia de datos en una tabla existente, observe que el paso 1, la creación de credenciales no es necesaria porque está utilizando una entidad de servicio de Azure denominada AZURE$PA
.
Desactivación de la entidad de servicio de Azure
Para desactivar el acceso a los recursos de Azure desde Autonomous Database con la entidad de servicio de Azure, utilice DBMS_CLOUD_ADMIN.DISABLE_PRINCIPAL_AUTH
.
Para desactivar la entidad de servicio de Azure en Autonomous Database:
BEGIN
DBMS_CLOUD_ADMIN.DISABLE_PRINCIPAL_AUTH
(
provider => 'AZURE',
username => 'adb_user');
END;
/
Cuando el valor provider
es AZURE
y username
es un usuario distinto de ADMIN
, el procedimiento revoca los privilegios del usuario especificado. En este caso, el usuario ADMIN
y otros usuarios pueden seguir utilizando ADMIN.AZURE$PA
y la aplicación creada para la instancia de Autonomous Database permanece en la instancia.
Cuando el valor de provider
es AZURE
y el de username
es ADMIN
, el procedimiento desactiva la autenticación basada en entidad de servicio de Azure y suprime la aplicación entidad de servicio de Azure en la instancia de Autonomous Database. En este caso, si desea activar la entidad de servicio de Azure, debe realizar todos los pasos necesarios para volver a utilizar la entidad de servicio de Azure, incluidos los siguientes:
-
Active el esquema
ADMIN
u otro esquema para utilizar la autenticación de entidad de servicio de Azure. Consulte Activación de la entidad de servicio de Azure para obtener más información. -
Proporcione consentimiento a la aplicación y otorgue los permisos de asignación de roles de Azure. Consulte Consentimiento para la aplicación de Azure y asignación de roles para obtener más información.
Consulte el procedimiento DISABLE_PRINCIPAL_AUTH para obtener más información.
Notas sobre la entidad de servicio de Azure
Notas sobre el uso de la entidad de servicio de Azure.
-
Clonación de una instancia de Autonomous Database con la entidad de servicio de Azure: cuando clona una instancia con la entidad de servicio de Azure activada, la configuración de la entidad de servicio de Azure no se transfiere a la clonación. Realice los pasos para activar la entidad de servicio de Azure en la clonación si desea activar la entidad de servicio de Azure en una instancia clonada.