Contrôle d'accès dans la base de données d'IA autonome sur une infrastructure Exadata dédiée

Lors de l'installation d'une base de données Autonomous AI sur une infrastructure Exadata dédiée, vous devez vous assurer que tous les utilisateurs cloud ont accès à employer et créer uniquement les types de ressources cloud appropriés pour réaliser leur travail. Par ailleurs, vous devez faire en sorte que seuls le personnel et les applications autorisés aient accès aux bases de données Autonomous AI créées sur l'infrastructure dédiée. Sinon, vous risquez une consommation incontrôlée de vos ressources de l'infrastructure dédiée ou un accès inapproprié aux données stratégiques.

Avant de créer et d'utiliser les ressources cloud qui fournissent la fonctionnalité d'infrastructure dédiée, vous devez élaborer un plan de contrôle d'accès, puis l'instituer en créant les ressources IAM (Identity and Access Management) et Networking appropriées. Par conséquent, le contrôle d'accès au sein d'une base de données d'IA autonome est implémenté à différents niveaux :

• Contrôle d'accès des utilisateurs Oracle Cloud
• Contrôle d'accès client
• Contrôle de l'accès des utilisateurs de base de données

Contrôle d'accès d'utilisateur Oracle Cloud

Vous contrôlez l'accès dont disposent les utilisateurs Oracle Cloud de votre location sur les ressources cloud qui constituent votre déploiement de base de données Autonomous AI sur une infrastructure Exadata dédiée.

Vous utilisez le service Identity and Access Management (IAM) pour vous assurer que l'utilisateur cloud dispose d'un accès qui son permet de créer et d'utiliser uniquement les types appropriés de ressource Autonomous AI Database pour réaliser son travail. Afin d'instituer des contrôles d'accès pour les utilisateurs cloud, définissez des stratégies qui accordent à des groupes spécifiques d'utilisateurs des droits d'accès spécifiques sur des types de ressource spécifiques dans des compartiments spécifiques.

Le service IAM fournit plusieurs types de composant pour vous aider à définir et à implémenter une stratégie d'accès utilisateur cloud sécurisé :

• Compartiment : ensemble de ressources associées. Les compartiments représentent un composant fondamental d'Oracle Cloud Infrastructure pour l'organisation et l'isolement des ressources cloud.

• Groupe : ensemble d'utilisateurs qui ont tous besoin du même type d'accès à un ensemble de ressources ou un compartiment spécifique.

• Groupe dynamique : type spécial de groupe contenant les ressources qui correspondent aux règles que vous définissez. Par conséquent, l'appartenance peut changer de façon dynamique à mesure que des ressources correspondantes sont créées ou supprimées.

• Stratégie : groupe d'instructions qui indiquent qui peut accéder à quelles ressources et comment. L'accès est accordé au niveau du groupe et du compartiment, ce qui signifie que vous écrivez une instruction de stratégie qui accorde à un groupe donné un type d'accès donné à un type de ressource donné dans un compartiment donné.

Instructions de stratégie et de stratégie

L'outil principal utilisé pour définir les contrôles d'accès des utilisateurs cloud est la stratégie, ressource IAM (Identity and Access Management) contenant les instructions de stratégie indiquant l'accès sur les bases "qui", "comment", "quoi" et "où".

Le format d'une instruction de stratégie est le suivant :

Allow
  group <group-name>
  to <control-verb>
  <resource-type>
  in compartment <compartment-name>

• group <group-name> indique le "qui" en fournissant le nom d'un groupe IAM existant, une ressource IAM à laquelle des utilisateurs cloud individuels peuvent être affectés.

• to <control-verb> indique le "comment" utiliser l'un des verbes du contrôle prédéfini suivants :

  • inspect : capacité de répertorier les ressources d'un type donné, sans accéder aux informations confidentielles ou aux métadonnées spécifiées par l' utilisateur pouvant figurer dans ces ressources.

  • read : inspect plus possibilité d'obtenir les métadonnées définies par l'utilisateur et la ressource elle-même.

  • use : read plus possibilité d'utiliser des ressources existantes, mais pas d'en créer ni d'en supprimer. En outre, "utiliser" implique différentes opérations pour différents types de ressource.

  • manage : tous les droits d'accès au type de ressource, création et suppression comprises.

  Dans le cadre de la fonctionnalité d'infrastructure dédiée, un administrateur du parc peut gérer manage des bases d'informations Conteneur autonomes, tandis qu'un administrateur ne peut que les utiliser (use) pour créer des bases d'informations autonomes.

• <resource-type> indique le "quoi" à l'aide d'un type de ressource prédéfini. Les valeurs de type des ressources d'infrastructure dédiée sont les suivantes :

  • exadata-infrastructures
  • autonomous-container-databases
  • autonomous-databases
  • sauvegardes autonomes

  Etant donné que la ressource d'infrastructure dédiée utilise des ressources de réseau, certaines instructions que vous créez font référence à la valeur du type de ressource virtual-network-family. Vous pouvez également créer des instructions de stratégie qui font référence à la valeur tag-namespaces si vous utilisez le balisage dans votre location.

• dans le compartiment <nom-compartiment> indique "où" en fournissant le nom d'un compartiment IAM existant, une ressource IAM dans laquelle les ressources sont créées. Les compartiments représentent un composant fondamental d'Oracle Cloud Infrastructure pour l'organisation et l'isolement des ressources cloud.

Pour plus de détails sur les stratégies d'une base de données Autonomous AI, reportez-vous à Stratégies IAM pour une base de données Autonomous AI sur une infrastructure Exadata dédiée.

Pour plus d'informations sur le fonctionnement du service IAM et de ses composants, ainsi que sur leur utilisation, reportez-vous à Présentation d'Oracle Cloud Infrastructure Identity and Access Management. Pour obtenir des réponses rapides aux questions courantes sur IAM, reportez-vous à la FAQ Identity and Access Management.

Meilleures pratiques pour la planification et la mise en place de contrôles d'accès

Lorsque vous planifiez et mettez en place les contrôles d'accès pour la fonctionnalité d'infrastructure dédiée, vous devez tenir compte des meilleures pratiques suivantes.

• Créez un VCN distinct qui contient uniquement des sous-réseaux privés. Dans presque tous les cas, les bases de donnés Autonomous AI créées sur des données internes d'infrastructure dédiées qui sont sensibles à l'entreprise et normalement accessibles uniquement à partir du réseau privé de l'entreprise. Même les données partagées avec les partenaires, les fournisseurs, les consommateurs et les clients sont mises à leur disposition via des canaux réglementés et sécurisés.

  Par conséquent, l'accès réseau que vous fournissez à ces bases de données doit être limité à votre société. A cette fin, vous pouvez créer un réseau cloud virtuel qui utilise des sous-réseaux privés, et un VPN IPSec ou FastConnect pour la connexion au réseau privé de l'entreprise. Pour plus d'informations sur l'établissement d'une telle configuration, reportez-vous à Scénario B : sous-réseaux privés avec un VPN dans la documentation Oracle Cloud Infrastructure.

  Pour plus d'informations sur la sécurisation de la connectivité réseau à vos base de données, reportez-vous à Moyen de sécurisation du réseau dans la documentation Oracle Cloud Infrastructure.

• Créez au moins deux sous-réseaux. Vous devez créer au moins deux sous-réseaux : un pour les ressources Exadata Autonomous et de base de données Conteneur Autonomous, et un pour les ressources associées aux clients et les applications de la base de données Autonomous AI.

• Créez au moins deux compartiments. Vous devez créer au moins deux compartiments : un pour des ressources d'infrastructure Exadata, de cluster à machines virtuelles Exadata Autonomous et de base de données Conteneur Autonomous, et un pour des ressources de base de données Autonomous AI.

• Créez au moins deux groupes. Vous devez créer au moins deux groupes : un pour les administrateurs de parc et un pour les administrateurs de base de données.

Contrôle d'accès client

Le contrôle d'accès client est implémenté dans la base de données Autonomous AI en contrôlant le contrôle d'accès réseau et les connexions client.

Contrôle d'accès réseau

Vous définissez le contrôle d'accès réseau aux bases de données d'IA autonomes lorsque vous configurez et configurez votre déploiement dédié d'Oracle Autonomous AI Database sur une infrastructure Exadata dédiée. La façon dont vous procédez dépend de l'emplacement du déploiement dédié, entre Oracle Public Cloud et Exadata Cloud@Customer :

• Sur Oracle Public Cloud, vous définissez le contrôle d'accès réseau à l'aide des composants du service Networking. Vous créez un réseau cloud virtuel (VCN) contenant des sous-réseaux privés dans lesquels vos bases de données Autonomous AI sont accessibles au réseau. De plus, créez des règles de sécurité pour autoriser un type particulier de trafic vers ou depuis les adresses IP d'un sous-réseau.

  Pour obtenir des informations détaillées sur la création de ces ressources, suivez l'atelier pratique n° 1 sur l'élaboration du réseau privé pour l'implémentation d'OCI dans l'atelier Oracle Autonomous AI Database Dedicated pour les administrateurs de parc.

• Sur Exadata Cloud@Customer, définissez les contrôles d'accès réseau en indiquant un réseau client dans votre centre, puis en l'enregistrant dans une ressource de réseaux de cluster de machines virtuelles au sein de la ressource d'infrastructure Exadata.

Zero Trust Packet Routing (ZPR)

S'APPLIQUE À : Oracle Public Cloud uniquement

Oracle Cloud Infrastructure Zero Trust Packet Routing (ZPR) protège les données sensibles contre les accès non autorisés par le biais de stratégies de sécurité basées sur les intentions que vous écrivez pour les ressources, telles qu'un cluster de machines virtuelles Exadata Autonomous auquel vous affectez des attributs de sécurité.

Les attributs de sécurité sont des libellés que ZPR utilise pour identifier et organiser les ressources. ZPR applique la stratégie au niveau du réseau chaque fois que l'accès est demandé, quelles que soient les modifications potentielles de l'architecture du réseau ou les erreurs de configuration. ZPR repose sur les règles existantes de groupe de sécurité réseau (NSG) et de liste de contrôle de sécurité (SCL). Pour qu'un paquet atteigne une cible, il doit transmettre toutes les règles NSG et SCL et la stratégie ZPR. La demande est abandonnée si une règle ou stratégie NSG, SCL ou ZPR n'autorise pas le trafic.

Vous pouvez sécuriser les réseaux avec ZPR en trois étapes :

1. Créez des artefacts ZPR, à savoir espaces de noms d'attribut de sécurité et attributs de sécurité.

2. Ecrivez des stratégies ZPR pour connecter des ressources à l'aide d'attributs de sécurité. ZPR utilise un ZPL (ZPR Policy Language) et applique des restrictions sur l'accès aux ressources définies. En tant que client Autonomous AI Database on Dedicated Exadata Infrastructure, vous pouvez écrire des stratégies basées sur ZPL dans votre location pour vous assurer que les données des AVMC sont accessibles uniquement par les utilisateurs et les ressources autorisés.

3. Affectez des attributs de sécurité aux ressources pour activer les stratégies ZPR.

   Remarque : évitez de saisir des informations confidentielles lorsque vous affectez des descriptions, des balises, des attributs de sécurité ou des noms conviviaux aux ressources cloud via la interface de ligne de commande, l'API ou l'interface de ligne de commandes Oracle Cloud Infrastructure.

Pour plus d'informations, reportez-vous à Introduction à Zero Trust Packet Routing.

Vous disposez des options suivantes pour appliquer les attributs de sécurité ZPR à une instance AVMC :

• Appliquez les attributs de sécurité lorsque vous provisionnez une instance AVMC. Pour plus d'informations, reportez-vous àCréation d'un cluster de machines virtuelles Exadata Autonomous.

• Appliquer les attributs de sécurité à une ressource AVMC existante. Pour plus d'informations, reportez-vous à Configuration de Zero Trust Packet Routing (ZPR) pour un système AVMC.

Pour pouvoir ajouter des attributs de sécurité ZPR à une instance AVMC, vous devez au préalable définir les stratégies IAM suivantes :

allow group <group_name>
to { ZPR_TAG_NAMESPACE_USE, SECURITY_ATTRIBUTE_NAMESPACE_USE }
in tenancy

allow group <group_name>
to manage autonomous-database-family
in tenancy

allow group <group_name>
to read security-attribute-namespaces
in tenancy

liste de contrôle d'accès (ACL)

Pour consolider la sécurité, vous pouvez activer les listes de contrôle d'accès (ACL) dans les déploiements dédiés Oracle Public Cloud et Exadata Cloud@Customer. Une liste de contrôle d'accès fournit une protection supplémentaire à votre base de données en autorisant uniquement le client possédant des adresses IP spécifiques à se connecter à la base de données. Vous pouvez ajouter des adresses IP individuellement ou dans des blocs CIDR. Les adresses IP/CIDR IPv4 et IPv6 sont prises en charge. Vous pouvez ainsi formuler une stratégie de contrôle d'accès détaillée en limitant l'accès réseau de votre base de données Autonomous AI à des applications ou des clients spécifiques.

Vous pouvez créer une liste de contrôle d'accès lors du provisionnement de la base de données ou à n'importe quel moment par la suite. Vous pouvez également modifier une liste de contrôle d'accès à tout moment. L'activation d'une liste de contrôle d'accès sans adresses IP rend la base de données inaccessible. Pour plus de détails, reportez-vous à Définition de la liste de contrôle d'accès pour une base de données d'IA autonome dédiée.

Lorsque vous utilisez une liste de contrôle d'accès avec Autonomous AI Database, tenez compte des points suivants :

• La console d'Autonomous AI Database Service n'est pas soumise aux règles d'ACL.
• Oracle Application Express (APEX), les services RESTful, SQL Developer Web et le hub de performances ne sont pas soumis aux listes de contrôle d'accès.
• Lors de la création d'une base de données Autonomous AI, si la définition d'une ACL échoue, le provisionnement de la base de données échoue également.
• La mise à jour d'une liste d'accès est autorisée uniquement si la base de données présente l'état Disponible.
• La restauration d'une base de données n'écrase pas les listes de contrôle d'accès existantes.
• Une base de données clonée (clonage complet et de métadonnées) a les mêmes paramètres de contrôle d'accès que la base de données source. Vous pouvez y apporter des modifications si nécessaire.
• La sauvegarde n'est pas soumise aux règles de liste de contrôle d'accès.
• Lors d'une mise à jour d'ACL, toutes les opérations de base de données Conteneur Autonomous sont autorisées, mais les opérations de base de données Autonomous AI ne le sont pas.

Web Application Firewall (WAF)

Pour les contrôles réseau avancés au-delà des listes de contrôle d'accès, Oracle Autonomous AI Database on Dedicated Exadata Infrastructure prend en charge l'utilisation de Web Application Firewall (WAF). WAF protège les applications du trafic Internet malveillant et indésirable. WAF peut protéger toutes les adresses Internet, en assurant l'exécution cohérente des règles sur l'ensemble des applications d'un client. WAF vous donne la possibilité de créer et gérer des règles pour les menaces Internet, y compris le scriptage inter-site (XSS), l'injection SQL et d'autres vulnérabilités définies par OWASP. Les règles d'accès peuvent imposer des limites en fonction de la zone géographique ou de la signature de la demande. Pour connaître les étapes de configuration de WAF, reportez-vous à Introduction aux stratégies Web Application Firewall.

Contrôle de connexion client

Oracle Autonomous AI Database on Dedicated Exadata Infrastructure implémente le contrôle de connexion client avec l'authentification basée sur un certificat TLS 1.2 et TLS 1.3 standard pour authentifier une connexion client. Cependant, TLS 1.3 n'est pris en charge que sur Oracle Database 23ai ou version ultérieure.

Par défaut, la base de données Autonomous AI utilise les certificats auto-signés. Toutefois, vous pouvez installer votre certificat côté serveur signé par l'autorité de certification à partir de la console Oracle Cloud Infrastructure (OCI). Pour utiliser votre propre certificat, vous devez d'abord créer le certificat à l'aide du service de certificat Oracle Cloud Infrastructure (OCI), comme indiqué dans Création d'un certificat. Ces certificats doivent être signés et doivent être au format PEM, c'est-à-dire que leur extension de fichier doit être .pem, .cer ou .crt uniquement. Pour plus de détails, reportez-vous à Gestion des certificats dans une base de données d'IA autonome dédiée.

Database User Access Control (Contrôle d'accès utilisateur de base de données)

Oracle Autonomous AI Database on Dedicated Exadata Infrastructure configure les bases de données que vous créez pour utiliser la fonctionnalité de gestion des utilisateurs standard d'Oracle AI Database. Il crée le compte administrateur ADMIN qui permet de créer des comptes utilisateur supplémentaires et d'établir des contrôles d'accès pour les comptes.

La gestion standard des utilisateurs fournit un ensemble robuste de fonctionnalités et de contrôles, tels que les privilèges système et d'objet, les rôles, les profils utilisateur et les stratégies de mot de passe, permettant de définir et d'implémenter une stratégie d'accès utilisateur de base de données sécurisé dans la plupart des cas. Pour obtenir des instructions détaillées, reportez-vous à Création et gestion des utilisateurs de base de données.

Pour obtenir les informations de base de la gestion standard, reportez-vous à la section Comptes utilisateur dans Concepts Oracle AI Database. Pour obtenir des informations et instructions détaillées, reportez-vous à la section Managing Security for Oracle Database Users du Guide de sécurité Oracle Database 19c ou du Guide de sécurité Oracle Database 26ai.

Si votre stratégie d'accès utilisateur de base de données exige plus de contrôles que ceux fournis par la gestion des utilisateurs standard, vous pouvez configurer vos bases de données Autonomous AI pour utiliser l'un des outils suivants afin de répondre à des exigences plus rigoureuses.

Outil	Description
Database Vault	Oracle Database Vault est préconfiguré et prêt à être utilisé dans les bases de données d'IA autonomes. Vous pouvez utiliser ses puissants contrôles de sécurité pour limiter l'accès aux données d'application par des utilisateurs de base de données privilégiés, ce qui réduit le risque de menaces internes et externes, et répond aux exigences de conformité courantes. Pour plus d'informations, reportez-vous à Protection des données dans Fonctionnalités de sécurité d'Autonomous AI Database.
Oracle Cloud Infrastructure Identity and Access Management (IAM)	Vous pouvez configurer une base de données Autonomous AI pour utiliser l'authentification et l'autorisation Oracle Cloud Infrastructure Identity and Access Management (IAM) afin d'autoriser les utilisateurs IAM à accéder à une base de données Autonomous AI avec des informations d'identification IAM. Reportez-vous à Utilisation de l'authentification Identity and Access Management (IAM) avec la base de données Autonomous AI pour utiliser cette option avec votre base de données.
Jetons d'accès OAuth2 Azure	Vous pouvez gérer de manière centralisée les utilisateurs d'Oracle Autonomous AI Database sur une infrastructure Exadata dédiée dans un service Microsoft Azure Active Directory (Azure AD) à l'aide de jetons d'accès Azure oAuth2. Ce type d'intégration permet à l'utilisateur Azure AD d'accéder à une instance d'infrastructure Exadata dédiée Oracle Autonomous AI Database. Les utilisateurs et les applications Azure AD peuvent Se connecter avec les données d'identification SSO (accès avec connexion seule) Azure AD pour obtenir un jeton d'accès OAuth2 Azure AD à envoyer à la base de données. Pour plus d'informations sur l'intégration de Microsoft Azure Active Directory à vos bases de données, reportez-vous à Authentification et autorisation des utilisateurs Microsoft Azure Active Directory pour Autonomous AI Database.
Microsoft Active Directory (CMU-AD)	Si vous utilisez Microsoft Active Directory en tant que référentiel utilisateur, vous pouvez configurer vos bases de données Autonomous AI pour authentifier et autoriser les utilisateurs Microsoft Active Directory. Cette intégration peut vous permettre de consolider votre référentiel d'utilisateur tout en implémentant une stratégie d'accès utilisateur de base de données rigoureuse, que vous recouriez ou non à la gestion standard des utilisateurs, à Database Vault, à Real Application Security ou encore à Virtual Private Database. Pour plus d'informations sur l'intégration de Microsoft Active Directory aux bases de données, reportez-vous à Microsoft Active Directory avec Autonomous AI Database.
Kerberos	Kerberos est un système d'authentification de tiers sécurisé, qui repose sur des clés secrètes partagées. Il suppose que le tiers est sécurisé et offre des fonctions d'accès avec connexion unique, un stockage centralisé des mots de passe, l'authentification des liens de base de données et renforce la sécurité des ordinateurs. Cela est effectué via un serveur d'authentification Kerberos. La prise en charge de Kerberos par Autonomous AI Database offre les avantages de l'accès avec connexion unique et de l'authentification centralisée des utilisateurs Oracle. Pour plus d'informations, reportez-vous à la section Authenticate Autonomous AI Database Users with Kerberos.
Kerberos avec CMU-AD	L'authentification Kerberos peut être configurée sur CMU-AD pour fournir l'authentification Kerberos CMU-AD pour les utilisateurs Microsoft Active Directory. Pour fournir une authentification Kerberos CMU-AD aux utilisateurs Microsoft Active Directory, vous pouvez activer l'authentification Kerberos sur CMU-AD en définissant type sur CMU tout en activant l'authentification externe comme indiqué dans l'exemple décrit dans Activation de l'authentification Kerberos sur la base de données Autonomous AI.
Real Application Security et Virtual Private Database	Oracle Real Application Security (RAS) fournit un modèle déclaratif qui permet d'appliquer des stratégies de sécurité englobant non seulement les business objects protégés, mais également les principaux (utilisateurs et rôles) disposant de droits sur ces business objects. RAS est plus sécurisé, évolutif et rentable que son prédécesseur, Oracle Virtual Private Database. Avec Oracle RAS, les utilisateurs d'application sont authentifiés au niveau application et dans la base de données. Quel que soit le chemin d'accès aux données, les stratégies de sécurité des données sont appliquées dans le noyau de la base de données en fonction de la session native de l'utilisateur final dans la base de données. Les privilèges affectés à l'utilisateur contrôlent le type d'opération (sélection, insertion, mise à jour et suppression) pouvant être effectué sur les lignes et les colonnes des objets de base de données. Pour plus d'informations sur Oracle RAS, reportez-vous à la section Introducing Oracle Database Real Application Security dans le Guide de l'administrateur et du développeur Oracle Database 19c Real Application Security ou Guide de l'administrateur et du développeur Oracle Database 26ai Real Application Security. Oracle Autonomous AI Database sur une infrastructure Exadata dédiée prend également en charge Oracle Virtual Private Database (VPD), le prédécesseur d'Oracle RAS. Si vous connaissez déjà Oracle VPD et que vous l'employez, vous pouvez la configurer et l'utiliser avec vos bases de données Autonomous AI. Pour plus d'informations sur Virtual Private Database, reportez-vous à la section Using Oracle Virtual Private Database to Control Data Access du Guide de sécurité Oracle Database 19c ou du Guide de sécurité Oracle Database 26ai.

Gestion des accès avec privilèges (PAM)

La posture de sécurité d'Oracle en matière d'accès utilisateur et de gestion des privilèges sur l'ensemble de ses produits et services est documentée dans Oracle Access Control.

Autonomous AI Database on Dedicated Exadata Infrastructure est conçu pour isoler et protéger les services client et les données de base de données contre les accès non autorisés. Autonomous AI Database sépare les tâches entre le client et Oracle. Le client contrôle l'accès aux schémas de base de données. Oracle contrôle l'accès à l'infrastructure et aux composants logiciels gérés par Oracle.

Autonomous AI Database on Dedicated Exadata Infrastructure est conçu pour aider à sécuriser les données pour une utilisation autorisée par le client et à protéger les données contre tout accès non autorisé, ce qui inclut la prévention de l'accès aux données client par les membres du personnel d'Oracle Cloud Ops. Les mesures de sécurité conçues pour protéger contre les accès non autorisés aux données de base de données Oracle, de machine virtuelle Autonomous et d'infrastructure Exadata sont les suivantes :

• Les données Oracle Database sont protégées par des clés Oracle Transparent Data Encryption (TDE).
• Le client contrôle l'accès aux clés de cryptage TDE et peut choisir de stocker ces clés dans un système de gestion des clés Oracle Key Vault externe.
• Oracle Database Vault est préconfiguré pour empêcher les utilisateurs privilégiés d'accéder aux données client dans les bases de données Autonomous AI.
• Les clients peuvent choisir d'approuver l'accès d'opérateur via l'inscription au service Operator Access Control.
• Tout l'accès de l'opérateur est basé sur l'authentification multifacteur matérielle de niveau 3 FIPS 140-2, implémentée avec un YubiKey matériel implémenté avec des périphériques approuvés par Oracle.
• Toutes les actions de l'opérateur sont consignées au niveau de la commande et peuvent être envoyées au service de journalisation OCI ou à un SIEM client en temps quasi réel.

• Oracle Operations Access Control permet de s'assurer que les comptes utilisateur utilisés par le personnel en charge des opérations et du support technique Oracle Cloud pour surveiller et analyser les performances ne peuvent pas accéder aux données des bases de donnée Autonomous AI. Le personnel en charge des opérations et du support technique Oracle Cloud n'a pas accès aux données de vos bases de informations autonomes. Lorsque vous créez une base de donnée Conteneur Autonomous, Autonomous AI Database on Dedicated Exadata Infrastructure active et configure la fonctionnalité Operations Control d'Oracle Database Vault pour empêcher que les utilisateurs communs n'accèdent aux données d'une base de donnée Autonomous AI créée dans la base de donnée Conteneur.

  Vous pouvez vérifier que Operations Control est actif en saisissant l'instruction SQL suivante dans une base de données Autonomous AI :

  SELECT * FROM DBA_DV_STATUS;
  

  Le statut de APPLICATION CONTROL indique que la fonctionnalité Operations Control est active.

  Remarque : Operations Control était auparavant appelé Application Control.

PAM est également implémenté avec Database Vault pour la protection des données, comme indiqué dans Fonctionnalités de sécurité d'Autonomous AI Database.

Contenu connexe

Principales fonctionnalités de sécurité