Présentation d'Oracle API Access Control

Oracle API Access Control permet aux clients de gérer l'accès aux API REST exposées par divers services cloud de base de données.

En désignant des API spécifiques comme privilégiées, les clients peuvent s'assurer que l'appel de ces API nécessite l'approbation préalable d'un groupe autorisé dans leur location.

Fonctionnement

• Marquer les API comme privilégiées : identifiez les API critiques susceptibles d'avoir un impact sur l'intégrité des données ou la disponibilité du service.
• Workflow d'approbation : pour qu'une API privilégiée soit appelée, l'utilisateur ayant l'intention d'appeler l'API doit générer une demande d'accès avec son identité OCI, et une autre identité OCI autorisée à approuver les demandes d'accès pour la ressource doit approuver la demande d'accès.
• Sécurité améliorée : ce workflow permet d'empêcher l'exécution non autorisée ou accidentelle d'actions sensibles, telles que la modification ou la suppression de bases de données, de Grid Infrastructure, de machines virtuelles ou de ressources réseau.

  Le workflow requiert des identités différentes pour demander l'accès et approuver l'accès, y compris le compte d'administrateur cloud.

Avantages principaux:

• Réduction des risques : minimisez les suppressions accidentelles ou malveillantes de services de base de données stratégiques.
• Séparation des tâches : s'assurer que l'exécution de l'API est distincte de l'approbation, ce qui améliore la sécurité et la responsabilité.

Oracle API Access Control renforce la sécurité des services cloud de base de données OCI en ajoutant une couche d'autorisation supplémentaire pour les opérations critiques. Lorsqu'elle est activée sur une infrastructure Exadata cloud, elle étend la protection aux clusters de machines virtuelles cloud et aux bases de données Conteneur associés.

Principales fonctionnalités :

1. Activer la protection d'API privilégiée : les administrateurs client peuvent activer le contrôle d'accès d'API Oracle pour les ressources exposées par les services cloud de base de données.
2. Désigner des API privilégiées : les administrateurs peuvent classer des API spécifiques en tant que privilégiées, garantissant ainsi un accès contrôlé.
3. Stratégies IAM détaillées pour les API privilégiées :
   • Définir les groupes pouvant approuver les demandes d'accès à l'API.
   • Accordez des droits d'accès distincts pour la création et l'approbation des demandes d'accès à l'API.
4. Gestion des demandes et des approbations :
   • Les administrateurs ou les groupes désignés peuvent approuver ou rejeter les demandes d'accès aux API.
   • Les utilisateurs doivent soumettre des justifications détaillées pour l'accès à l'API.
   • Les utilisateurs peuvent prolonger ou fermer les demandes approuvées si nécessaire.
5. Gestion du workflow d'approbation :
   • Gérer les workflows pour les approbations, notamment la gestion des workflows arrivant à expiration ou en attente.
   • Envoyer des rappels périodiques aux approbateurs pour qu'ils agissent sur les demandes en attente qui ne sont pas surveillées.

Vous pouvez utiliser les API de plan de contrôle de base de données pour effectuer des tâches d'administration de base de données et de machine virtuelle.

Les API Database Cloud Service suivantes seront sécurisées sous la protection du contrôle d'accès aux API. Ces API nécessitent une approbation préalable avant d'être appelées pour garantir une sécurité améliorée et un accès contrôlé.