Le contrôle d'accès client pour une instance Autonomous Database est appliqué par des stratégies de contrôle d'accès réseau, via des protocoles de connexion client et par les droits d'accès de l'utilisateur de base de données que le client utilise pour se connecter.

Oracle Autonomous Database est doté d'un compte d'administration (ADMIN) utilisé pour créer et gérer les autres comptes de base de données. Oracle Autonomous Database fournit un ensemble fiable de fonctionnalités et de contrôles, y compris des privilèges et rôles système et d'objet. Les profils utilisateur vous permettent de personnaliser les stratégies de mot de passe pour définir et implémenter une stratégie d'accès d'utilisateur de base de données sécurisée.

Pour obtenir des informations de base sur la gestion standard des utilisateurs, reportez-vous à Comptes utilisateur dans Concepts Oracle Database. Pour obtenir des informations détaillées et des instructions, reportez-vous à Gestion de la sécurité pour les utilisateurs Oracle Database dans le guide de sécurité Oracle Database.

Si votre stratégie d'accès utilisateur de base de données exige plus de contrôles que ceux qu'offre la gestion standard des utilisateurs, vous pouvez configurer l'instance Oracle Autonomous Database de sorte qu'elle utilise Database Vault afin de répondre à des exigences plus strictes.

Vous pouvez utiliser les services Identity and Access Management (IAM) pour contrôler les privilèges des utilisateurs Oracle Cloud en indiquant les actions que ces utilisateurs peuvent effectuer sur l'instance Oracle Autonomous Database.

Le service IAM fournit plusieurs types de composant pour vous aider à définir et à implémenter une stratégie d'accès utilisateur cloud sécurisé :

• Compartiment : ensemble de ressources associées. Les compartiments représentent un composant fondamental d'Oracle Cloud Infrastructure pour l'organisation et l'isolement des ressources cloud.

• Groupe : ensemble d'utilisateurs qui ont tous besoin du même type d'accès à un ensemble de ressources ou à un compartiment spécifique.

• Groupe dynamique : type spécial de groupe contenant les ressources qui correspondent aux règles que vous définissez. Par conséquent, l'appartenance peut changer de façon dynamique à mesure que des ressources correspondantes sont créées ou supprimées.

• Stratégie : groupe d'instructions qui indiquent qui peut accéder à quelles ressources et comment. L'accès est accordé au niveau du groupe et du compartiment, ce qui signifie que vous écrivez une instruction de stratégie qui accorde à un groupe donné un type d'accès donné à un type de ressource donné dans un compartiment donné.

Dans la liste ci-dessus, la stratégie est l'outil principal que vous utilisez pour contrôler l'accès, car elle répond aux questions "qui ?", "comment ?", "quoi ?" et "où ?" d'une contrainte d'accès unique. Une instruction de stratégie se présente au format suivant :

Le format d'une instruction de stratégie est le suivant :

Allow 
  group <group-name> 
  to <control-verb> 
  <resource-type> 
  in compartment <compartment-name>

• group <group-name> indique "qui" en fournissant le nom d'un groupe IAM existant.

• to <control-verb> indique "comment" utiliser l'un des verbes de contrôle prédéfinis suivants :

  • inspect : possibilité de répertorier les ressources d'un type donné, sans accéder aux informations confidentielles ou aux métadonnées spécifiées par l'utilisateur pouvant figurer dans ces ressources.
  • read : accès inspect plus possibilité d'obtenir les métadonnées spécifiées par l'utilisateur et la ressource elle-même.
  • use : accès read plus possibilité d'utiliser des ressources existantes, mais pas d'en créer ni d'en supprimer. Ici, "utiliser" implique différentes opérations pour différents types de ressource.
  • manage : tous les droits d'accès au type de ressource, création et suppression comprises.

• <resource-type> indique "quoi" à l'aide d'un type de ressource prédéfini. Les valeurs de type des ressources d'infrastructure sont les suivantes :

  • autonomous-databases
  • autonomous-backups

  Vous pouvez également créer des instructions de stratégie qui font référence à la valeur de type de ressource tag-namespaces si le balisage est utilisé dans votre location.

• in compartment <compartment-name> indique "où" en fournissant le nom d'un compartiment IAM existant.

Pour plus d'informations sur le fonctionnement du service IAM et de ses composants, ainsi que sur leur utilisation, reportez-vous à Présentation d'Oracle Cloud Infrastructure Identity and Access Management. Pour obtenir des réponses rapides aux questions courantes sur IAM, reportez-vous à la FAQ Identity and Access Management.

Seuls les utilisateurs autorisés sont autorisés à accéder à une instance Autonomous Database.

Les opérateurs Oracle Cloud ne sont pas autorisés à accéder à votre instance Autonomous Database. Lorsque l'accès à votre base de données est requis pour résoudre ou atténuer un problème, vous pouvez autoriser un opérateur cloud à accéder à une base de données pendant une durée limitée.

Vous autorisez un opérateur cloud à accéder à la base de données en exécutant la procédure DBMS_CLOUD_ADMIN.ENABLE_OPERATOR_ACCESS. Cela signifie que si vous enregistrez une demande de service auprès du support technique Oracle Cloud ou en contactant votre représentant du support technique et que les opérateurs Oracle Cloud doivent accéder à votre base de données, vous devez également activer l'accès de l'opérateur en exécutant DBMS_CLOUD_ADMIN.ENABLE_OPERATOR_ACCESS.

Chaque accès à la base de données par les opérateurs Oracle Cloud est journalisé avec un ID et un motif de demande.

Pour plus d'informations, reportez-vous à Gestion de l'accès des opérateurs Oracle Cloud et à Affichage des actions des opérations Oracle Cloud Infrastructure.

Autonomous Database est un service entièrement géré et Oracle utilise ses propres locations Oracle Cloud Infrastructure pour exécuter le service Autonomous Database.

Les opérateurs Oracle Cloud n'ont pas accès aux locations client et les opérateurs cloud ne peuvent pas accéder au réseau.

Toutes les actions effectuées par les utilisateurs Oracle Cloud sur les ressources composant votre déploiement d'Oracle Autonomous Database sont journalisées par le service Audit, indépendamment de l'interface utilisée : console Oracle Cloud Infrastructure, API REST, interface de ligne de commande, kits SDK, etc.

Vous pouvez vous appuyer sur le service Audit pour effectuer des diagnostics, suivre l'utilisation des ressources, surveiller la conformité et collecter les événements associés à la sécurité. Pour plus d'informations sur le service Audit, reportez-vous à Présentation d'Audit dans la documentation Oracle Cloud Infrastructure.

De plus, lorsque les utilisateurs effectuent des opérations sur l'instance Oracle Autonomous Database, la base de données publie des événements dans le service Events d'Oracle Cloud. Le service Events d'Oracle Cloud vous permet de créer des règles pour capturer ces événements et effectuer des actions.

Pour plus d'informations sur le fonctionnement du service Events, ainsi que sur la configuration des règles et actions qu'il utilise, reportez-vous à Présentation d'Events. Pour obtenir la liste des opérations Oracle Autonomous Database qui génèrent des événements, reportez-vous à Types d'événement Autonomous Database.

Oracle Autonomous Database configure les bases de données autonomes que vous créez pour l'utilisation de la fonctionnalité d'audit unifié d'Oracle Database.

Cette fonctionnalité capture les enregistrements d'audit à partir des sources suivantes et les rassemble dans une même trace d'audit au format uniforme :

• Enregistrements d'audit (y compris enregistrements d'audit SYS) issus des stratégies d'audit unifié et des paramètres AUDIT
• Enregistrements d'audit détaillés issus du package PL/SQL DBMS_FGA
• Enregistrements d'audit Oracle Database Real Application Security
• Enregistrements d'audit Oracle Recovery Manager
• Enregistrements d'audit Oracle Database Vault
• Enregistrements d'audit Oracle Label Security
• Enregistrements Oracle Data Mining
• Oracle Data Pump
• Chargement direct Oracle SQL*Loader

Les informations d'audit sont conservées pendant 14 jours au maximum, après quoi elles sont automatiquement supprimées. Pour conserver les informations d'audit plus longtemps, et facilement analyser l'activité de la base de données et générer des rapports sur cette activité, utilisez Oracle Data Safe (inclus dans votre abonnement Oracle Autonomous Database).

Reportez-vous à A propos de l'audit d'une instance Autonomous Database pour plus d'informations.