Utilisation du principal de ressource pour accéder aux ressources Oracle Cloud Infrastructure
Vous pouvez utiliser un principal de ressource Oracle Cloud Infrastructure avec Autonomous Database. Vous ou l'administrateur de la location définissez les stratégies Oracle Cloud Infrastructure et un groupe dynamique qui vous permet d'accéder aux ressources Oracle Cloud Infrastructure avec un principal de ressource. Vous n'avez pas besoin de créer d'objet d'informations d'identification. Autonomous Database crée et sécurise les informations d'identification de principal de ressource que vous utilisez pour accéder aux ressources Oracle Cloud Infrastructure indiquées.
- A propos de l'utilisation du principal de ressource pour accéder aux ressources Oracle Cloud Infrastructure
Vous pouvez utiliser un principal de ressource pour authentifier les ressources Oracle Cloud Infrastructure et y accéder. - Exécution des prérequis pour l'utilisation du principal de ressource avec Autonomous Database
Avant d'appeler une ressource Oracle Cloud Infrastructure à l'aide d'un principal de ressource, un administrateur de location Oracle Cloud Infrastructure doit créer des stratégies, des groupes dynamiques et des règles Oracle Cloud Infrastructure qui définissent les privilèges du principal de ressource. - Activation du principal de ressource pour accéder aux ressources Oracle Cloud Infrastructure
Effectuez les étapes suivantes afin d'activer le principal de ressource sur Autonomous Database. - Désactivation du principal de ressource sur Autonomous Database
Affiche les étapes de désactivation du principal de ressource pour tous les utilisateurs Autonomous Database ou pour un utilisateur indiqué. - Utilisation du principal de ressource avec DBMS_CLOUD
Lorsque vous indiquez des informations d'identification de principal de ressource avec des appelsDBMS_CLOUD
, la base de données authentifie les demandes Oracle Cloud Infrastructure pour vous et fournit les informations d'identification permettant d'accéder aux ressources Oracle Cloud Infrastructure.
Rubrique parent : Configuration de stratégies et de rôles pour accéder aux ressources
A propos de l'utilisation du principal de ressource pour accéder aux ressources Oracle Cloud Infrastructure
Vous pouvez utiliser un principal de ressource pour authentifier les ressources Oracle Cloud Infrastructure et y accéder.
Un principal de ressource est constitué d'un jeton de session temporaire et d'informations d'identification sécurisées qui permettent à la base de données de se connecter à d'autres services Oracle Cloud Infrastructure. En utilisant un principal de ressource pour accéder aux services, le jeton stocké avec les informations d'identification sur Autonomous Database n'est valide que pour les ressources auxquelles le groupe dynamique a accès.
Pour utiliser le principal de ressource, vous ou l'administrateur de la location définissez les stratégies Oracle Cloud Infrastructure et un groupe dynamique qui vous permet d'accéder aux ressources Oracle Cloud Infrastructure avec un principal de ressource. Vous n'avez pas besoin de créer d'objet d'informations d'identification. Autonomous Database crée et sécurise les informations d'identification de principal de ressource que vous utilisez pour accéder aux ressources Oracle Cloud Infrastructure indiquées.
Par exemple, lors de l'utilisation d'Autonomous Database, vous pouvez utiliser des ressources Oracle Cloud Infrastructure pour effectuer les opérations suivantes :
- Accéder aux données d'un bucket Object Storage, effectuer une opération sur les données, puis réécrire les données modifiées dans le bucket Object Storage.
-
Accéder à vos coffres, clés ou secrets.
- Répertorier les demandes de travail ou les erreurs de demande de travail.
Lorsque vous utilisez la base de données, vous l'authentifiez et y accédez en tant qu'utilisateur de base de données. Un utilisateur Autonomous Database ne possède pas d'identité Oracle Cloud Infrastructure Identity and Access Management (IAM). Ainsi, en tant qu'utilisateur Autonomous Database, vous ne pouvez pas utiliser vos informations d'identification de base de données pour accéder aux services Oracle Cloud Infrastructure. Sans principal de ressource, vous devez obtenir des informations d'identification permettant d'accéder aux ressources Oracle Cloud Infrastructure et créer un objet d'identification permettant d'accéder à une ressource à partir d'Autonomous Database.
Le principal de ressource permet aux ressources d'être autorisées à effectuer des actions sur les services Oracle Cloud Infrastructure. Chaque ressource possède sa propre identité et est authentifiée à l'aide des certificats qui lui sont ajoutés. Ces certificats sont créés, affectés aux ressources et font l'objet d'une rotation automatiquement, et vous n'avez pas besoin de créer et de gérer vos propres informations d'identification pour accéder à la ressource.
Autonomous Database vous permet d'utiliser un principal de ressource pour vous authentifier auprès des API Oracle Cloud Infrastructure à l'aide des interfaces suivantes :
- procédures et fonctions
DBMS_CLOUD
qui acceptent un argument d'informations d'identification ; - API de kit SDK PL/SQL Oracle Cloud Infrastructure
Lorsque vous effectuez une authentification à l'aide d'un principal de ressource, Autonomous Database fournit une méthode sécurisée pour accéder aux ressources Oracle Cloud Infrastructure.
Plusieurs étapes sont requises pour configurer un principal de ressource sur Autonomous Database :
-
Vous devez créer des stratégies Oracle Cloud Infrastructure Identity and Access Management (IAM) définies. Pour plus d'informations, reportez-vous à Application des prérequis pour utiliser le principal de ressource avec Autonomous Database.
-
Vous devez activer le principal de ressource pour l'utilisateur ADMIN et éventuellement l'activer pour un utilisateur de base de données. Reportez-vous à Activation du principal de ressource pour accéder aux ressources Oracle Cloud Infrastructure pour plus d'informations.
Lorsque vous effectuez une authentification à l'aide d'un principal de ressource, vous n'avez pas besoin de créer et de gérer des informations d'identification pour accéder aux ressources Oracle Cloud Infrastructure. Autonomous Database le met à votre disposition et le sécurise pour vous.
Exécution des prérequis pour utiliser le principal de ressource avec Autonomous Database
Avant d'appeler une ressource Oracle Cloud Infrastructure à l'aide d'un principal de ressource, un administrateur de location Oracle Cloud Infrastructure doit créer des stratégies, des groupes dynamiques et des règles Oracle Cloud Infrastructure qui définissent les privilèges du principal de ressource.
Effectuez les étapes suivantes avant d'utiliser un principal de ressource avec Autonomous Database :
Le jeton du principal de ressource est mis en cache pendant deux heures. Par conséquent, si vous modifiez la stratégie ou le groupe dynamique, vous devrez attendre deux heures avant de voir vos modifications prendre effet.
Pour plus d'informations sur les stratégies, reportez-vous à Fonctionnement des stratégies et à Gestion des stratégies.
Activation du principal de ressource pour accéder aux ressources Oracle Cloud Infrastructure
Effectuez les étapes suivantes pour activer le principal de ressource sur Autonomous Database.
Vous devez d'abord configurer des groupes dynamiques et des stratégies. Exécution des prérequis pour utiliser le principal de ressource avec Autonomous Database pour plus d'informations.
Pour activer un principal de ressource sur Autonomous Database, procédez comme suit :
L'activation du principal de ressource sur une instance Autonomous Database est une opération unique. Vous n'avez pas besoin d'activer à nouveau le principal de ressource, sauf si vous exécutez DBMS_CLOUD_ADMIN.DISABLE_RESOURCE_PRINCIPAL
pour désactiver le principal de ressource.
Désactivation du principal de ressource sur Autonomous Database
Présente les étapes de désactivation du principal de ressource pour tous les utilisateurs Autonomous Database ou pour un utilisateur indiqué.
Afin d'enlever l'accès aux informations d'identification du principal de ressource pour un utilisateur de base de données indiqué, incluez le paramètre username
. Ce paramètre permet de refuser l'accès aux informations d'identification OCI$RESOURCE_PRINCIPAL
pour l'utilisateur indiqué.
Exemple :
EXEC DBMS_CLOUD_ADMIN.DISABLE_RESOURCE_PRINCIPAL
(username => 'ADB_USER');
Pour plus d'informations, reportez-vous à DISABLE_RESOURCE_PRINCIPAL Procédure.
Utilisation du principal de ressource avec DBMS_CLOUD
Lorsque vous indiquez des informations d'identification de principal de ressource avec des appels DBMS_CLOUD
, la base de données authentifie les demandes Oracle Cloud Infrastructure pour vous et fournit les informations d'identification permettant d'accéder aux ressources Oracle Cloud Infrastructure.
Si ce n'est pas déjà fait, procédez comme suit :
-
L'accès aux ressources Oracle Cloud Infrastructure dépend des règles de groupe dynamique et des stratégies que vous définissez dans les groupes dynamiques et les stratégies Oracle Cloud Infrastructure. Pour plus d'informations, reportez-vous à Application des prérequis pour utiliser le principal de ressource avec Autonomous Database.
-
Après avoir défini le groupe dynamique et les stratégies, activez l'utilisation d'un principal de ressource pour le schéma ADMIN ou un autre schéma. Reportez-vous à Activation du principal de ressource pour accéder aux ressources Oracle Cloud Infrastructure pour plus d'informations.
Procédure d'utilisation d'une procédure DBMS_CLOUD
avec les informations d'identification du principal de ressource :
Si vous comparez les étapes requises pour accéder à Object Storage comme indiqué dans Création d'informations d'identification et copie de données dans une table existante, l'étape 1, qui consiste à créer les informations d'identification, n'est pas requise lorsque vous utilisez un principal de ressource car vous utilisez les informations d'identification OCI$RESOURCE_PRINCIPAL
définies par le système.