Utilisation des noms de ressource Amazon pour accéder aux ressources AWS
Vous pouvez utiliser les noms de ressource Amazon pour accéder aux ressources AWS avec Autonomous Database.
- A propos de l'utilisation des noms de ressource Amazon pour accéder aux ressources AWS
Lorsque vous utilisez l'authentification basée sur le rôle ARN avec Autonomous Database, vous pouvez accéder en toute sécurité aux ressources AWS sans créer et enregistrer d'informations d'identification basées sur des clés d'accès AWS IAM à long terme. - Exécution des prérequis de gestion AWS pour l'utilisation des noms de ressource Amazon
A l'aide de la console de gestion AWS ou des API, créez un utilisateur, un rôle, des stratégies et une relation d'approbation AWS. Effectuez ces étapes avant d'utiliserDBMS_CLOUD.CREATE_CREDENTIAL
pour créer des informations d'identification avec un paramètre ARN sur Autonomous Database. - Exécution des prérequis Autonomous Database pour l'utilisation des ARN Amazon
Avant d'utiliser une ressource AWS avecDBMS_CLOUD.CREATE_CREDENTIAL
avec un paramètre ARN, l'utilisateur ADMIN doit activer ARN sur l'instance Autonomous Database. - Création d'informations d'identification avec les paramètres ARN pour accéder aux ressources AWS
Une fois que l'utilisation d'ARN est activée pour l'instance Autonomous Database et que l'ARN est configuré par l'administrateur AWS, sur Autonomous Database, vous pouvez créer un objet d'informations d'identification avec des paramètres ARN. - Mise à jour des informations d'identification avec les paramètres ARN pour les ressources AWS
Les informations d'identification ARN que vous utilisez sur Autonomous Database fonctionnent avec le service de jeton AWS qui vous permet d'utiliser des informations d'identification basées sur un rôle temporaire pour accéder aux ressources AWS à partir d'Autonomous Database.
Rubrique parent : Configuration de stratégies et de rôles pour accéder aux ressources
A propos de l'utilisation des noms de ressource Amazon pour accéder aux ressources AWS
Lorsque vous utilisez l'authentification basée sur le rôle ARN avec Autonomous Database, vous pouvez accéder en toute sécurité aux ressources AWS sans créer et enregistrer d'informations d'identification basées sur des clés d'accès AWS IAM à long terme.
Par exemple, vous pouvez charger des données à partir d'un bucket AWS S3 vers votre instance Autonomous Database, effectuer une opération sur les données, puis réécrire les données modifiées dans le bucket S3. Vous pouvez le faire sans utiliser d'ARN si vous disposez d'informations d'identification utilisateur AWS pour accéder au bucket S3. Cependant, l'utilisation d'ARN basés sur les rôles pour accéder aux ressources AWS à partir d'Autonomous Database présente les avantages suivants :
- Vous pouvez créer un accès basé sur les rôles, avec différentes stratégies pour différents utilisateurs ou schémas qui ont besoin d'accéder aux ressources AWS à partir d'une instance Autonomous Database. Vous pouvez ainsi définir une stratégie pour limiter l'accès aux ressources AWS par rôle. Par exemple, vous pouvez définir une stratégie limitant l'accès en lecture seule, par rôle, à un bucket S3.
-
Les informations d'identification basées sur ARN offrent une meilleure sécurité car vous n'avez pas besoin de fournir des informations d'identification utilisateur AWS à long terme dans le code pour accéder aux ressources AWS. Autonomous Database gère les informations d'identification temporaires générées à partir de l'opération de prise de rôle AWS.
Etapes de configuration de l'utilisation d'ARN avec Autonomous Database
Avant de créer des informations d'identification à l'aide d'un numéro ARN dans Autonomous Database, dans AWS, l'administrateur de compte doit définir une stratégie qui vous permet d'accéder aux ressources AWS, telles qu'un bucket S3. Par défaut, les services d'informations d'identification ARN ne sont pas activés sur Autonomous Database. L'utilisateur ADMIN active les informations d'identification ARN pour l'utilisateur nécessaire, ce qui lui permet de créer et d'utiliser des informations d'identification ARN sur l'instance Autonomous Database.
Dans AWS, le rôle ARN est l'identificateur de l'accès fourni et peut être consulté sur la console AWS. Pour renforcer la sécurité, lorsque l'administrateur AWS configure le rôle, les stratégies et la relation d'approbation du compte AWS, il doit également configurer un ID externe dans la relation d'approbation du rôle.
L'ID externe offre une protection supplémentaire pour la prise de rôles. L'administrateur AWS configure l'ID externe comme l'un des éléments suivants, en fonction de l'instance Autonomous Database :
-
OCID de compartiment
-
OCID de base de données
-
OCID de la location
Sur AWS, le rôle ne peut être pris que par des utilisateurs sécurisés et identifiés par l'ID externe inclus dans l'URL de demande, où l'ID externe fourni dans la demande correspond à l'ID externe configuré dans la relation d'approbation du rôle.
La définition de l'ID externe est requise pour la sécurité.
La figure suivante décrit les étapes de configuration :

Description de l'image adb_arn_config_steps.eps
Etapes d'utilisation des noms de ressource avec DBMS_CLOUD
Chaque ressource AWS a sa propre identité et la ressource s'authentifie auprès de l'instance Autonomous Database à l'aide d'informations d'identification DBMS_CLOUD
que vous créez avec des paramètres qui identifient l'ARN. Autonomous Database crée et sécurise les informations d'identification de principal que vous utilisez pour accéder aux ressources AWS.
Pour créer des informations d'identification avec des paramètres ARN pour accéder aux ressources AWS, procédez comme suit :
-
Effectuez les étapes prérequises dans le compte AWS : dans votre compte AWS, à partir de la console de gestion AWS ou à l'aide de l'interface de ligne de commande, créez les rôles et stratégies pour l'ARN que vous utilisez avec Autonomous Database et mettez à jour la relation d'approbation pour le rôle. L'ARN de l'utilisateur Oracle est configuré lorsque la relation d'approbation pour le rôle est mise à jour.
Pour plus d'informations, reportez-vous à Exécution des prérequis de gestion AWS pour utiliser les noms de ressource Amazon.
-
Suivez les étapes prérequises sur Autonomous Database : sur Autonomous Database, vous devez activer l'utilisateur ADMIN ou un autre utilisateur afin qu'il utilise les informations d'identification avec les paramètres ARN pour accéder aux ressources AWS.
Pour plus d'informations, reportez-vous à Exécution des prérequis Autonomous Database pour utiliser les noms de ressource Amazon.
-
Créez des informations d'identification à l'aide de la procédure
DBMS_CLOUD.CREATE_CREDENTIAL
et fournissez les paramètres qui identifient un rôle AWS. A l'aide de l'objet d'identification, Autonomous Database peut accéder aux ressources AWS comme indiqué dans les stratégies définies pour le rôle dans le compte AWS.Pour plus d'informations sur ces étapes, reportez-vous à Création d'informations d'identification avec des paramètres ARN pour accéder aux ressources AWS.
-
Utilisez l'objet d'informations d'identification créé à l'étape précédente à l'aide d'une fonction ou d'une procédure
DBMS_CLOUD
qui utilise un paramètre d'informations d'identification, tel queDBMS_CLOUD.COPY_DATA
ouDBMS_CLOUD.LIST_OBJECTS
.
Rubrique parent : Utilisation des noms de ressource Amazon pour accéder aux ressources AWS
Exécution des prérequis de gestion AWS pour utiliser les noms de ressource Amazon
A l'aide de la console de gestion AWS ou des API, créez un utilisateur, un rôle, des stratégies et une relation d'approbation AWS. Effectuez ces étapes avant d'utiliser DBMS_CLOUD.CREATE_CREDENTIAL
pour créer des informations d'identification avec un paramètre ARN sur Autonomous Database.
Pour utiliser un ARN pour accéder aux ressources AWS, votre administrateur AWS définit les stratégies et un principal qui vous permet d'accéder aux ressources AWS. Par exemple, lorsque vous utilisez Autonomous Database, vous pouvez accéder aux données d'un bucket S3, effectuer une opération sur les données, puis réécrire les données modifiées dans le bucket S3.
En fonction de votre configuration AWS existante et de l'ID externe que vous utilisez, vous n'avez pas besoin de créer un rôle et une stratégie pour chaque instance Autonomous Database. Si vous disposez déjà d'un rôle AWS contenant la stratégie nécessaire pour accéder à une ressource, par exemple afin d'accéder au stockage cloud S3, vous pouvez modifier la relation d'approbation afin d'inclure les détails décrits à l'étape 3. De même, si vous disposez déjà d'un rôle doté de la relation d'approbation nécessaire, vous pouvez l'utiliser pour accéder à toutes vos bases de données dans un compartiment ou une location OCI si vous utilisez un ID externe qui indique l'OCID de compartiment ou l'OCID de location.
Dans la console de gestion AWS ou à l'aide des API, un administrateur AWS peut effectuer les opérations suivantes :
Une fois la configuration du rôle ARN terminée, vous pouvez activer ARN sur l'instance. Pour plus d'informations, reportez-vous à Exécution des prérequis Autonomous Database pour utiliser les noms de ressource Amazon.
Rubrique parent : Utilisation des noms de ressource Amazon pour accéder aux ressources AWS
Exécution des prérequis Autonomous Database pour utiliser les noms de ressource Amazon
Avant d'utiliser une ressource AWS avec DBMS_CLOUD.CREATE_CREDENTIAL
avec un paramètre ARN, l'utilisateur ADMIN doit activer ARN sur l'instance Autonomous Database.
Par défaut, les services d'informations d'identification ARN ne sont pas activés sur Autonomous Database. L'utilisateur ADMIN exécute la procédure DBMS_CLOUD_ADMIN.ENABLE_PRINCIPAL_AUTH
pour permettre à l'utilisateur ADMIN ou à d'autres utilisateurs de créer des informations d'identification avec les paramètres ARN.
Une fois que vous avez activé ARN sur l'instance Autonomous Database en exécutant DBMS_CLOUD_ADMIN.ENABLE_PRINCIPAL_AUTH
, les informations d'identification nommées AWS$ARN
peuvent être utilisées avec n'importe quelle API DBMS_CLOUD
qui prend des informations d'identification comme entrée. A l'exception des informations d'identification nommées AWS$ARN
, vous pouvez également créer des informations d'identification supplémentaires avec des paramètres ARN pour accéder aux ressources AWS. Pour plus d'informations, reportez-vous à Création d'informations d'identification avec les paramètres ARN pour accéder aux ressources AWS.
Rubrique parent : Utilisation des noms de ressource Amazon pour accéder aux ressources AWS
Création d'informations d'identification avec les paramètres ARN pour accéder aux ressources AWS
Une fois que l'utilisation d'ARN est activée pour l'instance Autonomous Database et que l'ARN est configuré par l'administrateur AWS, sur Autonomous Database, vous pouvez créer un objet d'informations d'identification avec des paramètres d'ARN.
Autonomous Database crée et sécurise les informations d'identification de principal que vous utilisez pour accéder aux ressources Amazon lorsque vous fournissez l'objet d'identification avec les procédures et fonctions DBMS_CLOUD
.
Pour utiliser des ressources Amazon avec Autonomous Database, procédez comme suit :
Rubrique parent : Utilisation des noms de ressource Amazon pour accéder aux ressources AWS
Mise à jour des informations d'identification avec les paramètres ARN pour les ressources AWS
Les informations d'identification ARN que vous utilisez sur Autonomous Database fonctionnent avec le service de jeton AWS qui vous permet d'utiliser des informations d'identification temporaires basées sur un rôle pour accéder aux ressources AWS à partir d'Autonomous Database.
Lorsqu'un administrateur AWS révoque les stratégies, les rôles ou la relation d'approbation, vous devez mettre à jour les informations d'identification ou en créer d'autres pour accéder aux ressources AWS.
Pour mettre à jour les informations d'identification, procédez comme suit :
Pour plus d'informations, reportez-vous à UPDATE_CREDENTIAL Procédure et à CREATE_CREDENTIAL Procédure.
Rubrique parent : Utilisation des noms de ressource Amazon pour accéder aux ressources AWS