Principal de ressource
Vous pouvez utiliser l'identité du service d'outils de base de données pour authentifier et accéder aux ressources Oracle Cloud Infrastructure (OCI) à l'aide du principal de ressource. Cette approche évite de stocker, d'exposer ou d'exiger des mises à jour manuelles des données d'identification des utilisateurs et améliore la sécurité. Vous pouvez utiliser une identité du service d'outils de base de données uniquement avec des connexions du service d'outils de base de données que vous avez créées avec le principal de ressource comme identité d'exécution.
Le principal authentifié et le principal de ressource sont différents moyens de fournir l'accès au mot de passe de connexion à la base de données et aux informations du portefeuille de connexions pour établir une connexion à la base de données. Lorsque vous utilisez un principal authentifié, l'utilisateur actuellement connecté à OCI extrait le mot de passe. Dans ce cas, un administrateur doit créer les politiques requises pour accorder l'accès à l'utilisateur. Lorsque vous utilisez le principal de ressource, la ressource extrait le mot de passe. Ainsi, un administrateur n'a pas besoin d'accorder à un utilisateur l'accès au mot de passe et il est plus sécurisé.
Lorsque vous utilisez la connexion du service d'outils de base de données avec le principal de ressource, vous n'avez pas besoin de créer un objet de données d'identification pour accéder aux ressources OCI. Vous devez créer un objet d'identité du service d'outils de base de données, qui à son tour crée et sécurise les données d'identification du principal de ressource que vous utilisez pour accéder aux ressources OCI spécifiées.
Un principal de ressource se compose d'un jeton de session temporaire et de données d'identification sécurisées qui permettent à la ressource de s'authentifier auprès d'autres services OCI. Les connexions au service d'outils de base de données peuvent utiliser des principaux de ressource pour accéder aux clés secrètes utilisées dans les connexions. Cette approche offre un avantage car l'accès à la clé secrète est accordé à la ressource de connexion et non à l'utilisateur. Ainsi, les administrateurs de connexion au service d'outils de base de données peuvent empêcher les utilisateurs d'accéder aux clés secrètes. Lorsque vous utilisez la connexion du service d'outils de base de données avec le principal de ressource, vous n'avez pas besoin de créer un objet de données d'identification pour accéder aux ressources OCI. Le service d'outils de base de données crée et sécurise les données d'identification du principal de ressource que vous utilisez pour accéder aux ressources OCI spécifiées.
Pour utiliser des principaux de ressource, un administrateur de location doit définir les politiques OCI et les groupes dynamiques appropriés qui permettent aux principaux de ressource d'accéder aux ressources OCI. Lorsque vous utilisez un principal de ressource pour accéder aux services, le jeton de session généré et les données d'identification ne sont valides que pour les ressources OCI auxquelles le groupe dynamique a accès.
Pour plus d'informations sur la création d'une connexion au service d'outils de base de données pour utiliser le principal de ressource, voir Utilisation de la console Oracle Cloud Infrastructure.
Les composants d'un principal de ressource sont les suivants :