Utilisation du contrôle d'accès d'API Oracle avec Oracle Exadata Database Service on Cloud@Customer et Oracle Exadata Database Service on Dedicated Infrastructure

Introduction

Oracle API Access Control permet aux clients de gérer l'accès aux API REST exposées par Oracle Exadata Database Service on Dedicated Infrastructure et Oracle Exadata Database Service on Cloud@Customer. En désignant des API spécifiques comme privilégiées, les clients peuvent s'assurer que l'appel de ces API nécessite l'approbation préalable d'un groupe autorisé dans leur location.

Oracle API Access Control facilite également l'intégration des audits en utilisant la technologie Oracle Cloud Infrastructure (OCI) pour appliquer un workflow spécifique.

Une personne demande l'accès pour effectuer une opération avec privilèges, un approbateur vérifie et approuve l'opération une fois que le plan de contrôle OCI fait passer une ressource d'approbation spéciale à l'état Approuvé. Cela permet au demandeur d'envoyer une API à une ressource cible et d'effectuer la tâche souhaitée.

Avantages clés:

• Risque réduit : réduisez les suppressions accidentelles ou malveillantes des services de base de données stratégiques.
• Séparation des tâches : assurez-vous que l'exécution de l'API est distincte de l'approbation, ce qui améliore la sécurité et la responsabilité.

Objectifs

Configurez et utilisez le service Oracle API Access Control pour Oracle Exadata Database Service on Cloud@Customer. Des instructions similaires s'appliquent à Oracle Exadata Database Service on Dedicated Infrastructure.

• Configurez des utilisateurs et des groupes dans la location OCI.

• Configurez la stratégie Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) pour Oracle API Access Control.

• Mettez les ressources sous contrôle.

• Démontrer l'application du contrôle des API.

• Créer et approuver une demande d'accès.

• Auditer les opérations approuvées.

• Révoquez les demandes de contrôle d'accès d'API Oracle.

• Modifier ou supprimer des contrôles.

• Terminez l'audit final pour la suppression du contrôle.

Prérequis

• Accès à une location OCI avec un service Oracle Exadata Database Service on Cloud@Customer ou Oracle Exadata Database Service on Dedicated Infrastructure

• Utilisateur créé dans la location, dans un groupe avec des stratégies qui accordent des droits d'accès Oracle API Access Control (utilisateur ExaCC Approver dans ce tutoriel).

• Deuxième utilisateur créé dans la location, dans un groupe avec des stratégies qui accordent des droits d'accès de gestion de base de données et d'infrastructure standard (utilisateur infra-db-admin-user dans ce tutoriel).

Tâche 1 : configuration des utilisateurs et des groupes dans la location OCI

La première étape du contrôle d'accès d'API Oracle consiste à configurer des utilisateurs et des groupes dans votre location OCI. La deuxième étape consiste pour ces utilisateurs et groupes à configurer le contrôle et à gérer les demandes.

1. Connectez-vous à la console OCI, accédez à Identité et sécurité dans votre domaine d'identité par défaut.

2. Créez un utilisateur et un groupe. Un utilisateur nommé ExaCC Approver a été configuré et cet utilisateur est membre du groupe ExaCC-API-Approver-grp.

   

Tâche 2 : configuration de la stratégie OCI IAM pour Oracle API Access Control

Dans cette tâche, configurez la stratégie OCI IAM pour permettre au service Oracle API Access Control d'opérer et au groupe ExaCC-API-Approver-grp de gérer le service. Les instructions de stratégie fournies dans cet exemple permettent au service de fonctionner. La syntaxe de stratégie OCI IAM offre un contrôle affiné, ce qui permet une séparation supplémentaire des tâches.

Exemples de stratégies OCI IAM pour Oracle API Access Control :

allow group <admin_group/approver_group/managers> to manage privileged-api-family in tenancy
allow any-user TO use database-family IN tenancy where ALL { request.principal.type in ('pactlprivilegedapirequest', 'pactlprivilegedapicontrol') }
allow any-user TO use ons-topics IN tenancy where ALL { request.principal.type in ('pactlprivilegedapirequest', 'pactlprivilegedapicontrol') }
allow group <admin_group/approver_group/managers> to use database-family in tenancy
allow group <admin_group/approver_group/access_request_group> to read domains in tenancy
allow group <admin_group/approver_group/access_request_group> to inspect compartments in tenancy
allow group <admin_group/approver_group/access_request_group> to use ons-topics in tenancy

• La première ligne de stratégie accorde au groupe ExaCC-API-Approver-grp le droit d'accès permettant de gérer privileged-api-family. Cela signifie qu'ils peuvent créer des contrôles, les appliquer aux services et approuver les demandes d'accès.

• La deuxième ligne de stratégie permet au logiciel Oracle API Access Control d'interagir avec le service de base de données de votre location.

• La troisième ligne de stratégie permet au logiciel Oracle API Access Control d'interagir avec les rubriques de notification OCI de votre location. Ceci est crucial pour informer votre personnel lorsque les demandes d'accès changent leur état de cycle de vie.

Votre groupe d'approbateurs doit pouvoir utiliser la famille de bases de données mais n'a pas besoin de la gérer. En outre, le groupe d'approbation doit pouvoir lire les domaines, inspecter les compartiments et utiliser les rubriques de notification OCI pour les notifications.

Pour plus d'informations sur les stratégies OCI IAM, reportez-vous à A propos des types de ressource et des stratégies Delegate Access Control.

Tâche 3 : Contrôle des ressources

Avec Oracle API Access Control et ses stratégies en place, connectez-vous en tant qu'utilisateur Oracle API Access Control pour contrôler les ressources.

1. Accédez à la console OCI, accédez à Oracle Database, Contrôle d'accès à l'API et cliquez sur Créer un contrôle d'API privilégié.

   

2. Sélectionnez le compartiment (ExaCC) et créez un contrôle.

3. Renseignez les champs Nom et Description pour votre contrôle.

4. Sélectionner un type de ressource : sélectionnez Infrastructure Exadata pour ce tutoriel.

   • Exadata Cloud Infrastructure pour une infrastructure Oracle Exadata Database Service on Dedicated Infrastructure dans OCI ou Oracle Multicloud.
   • Infrastructure Exadata pour Oracle Exadata Database Service on Cloud@Customer.

   

5. Sélectionner un compartiment d'infrastructure Exadata : l'infrastructure Exadata se trouve dans un compartiment distinct (eccw-infrastructure).

6. Sélectionner une infrastructure Exadata : l'infrastructure à contrôler est eccw-infrastructure.

7. Sélectionnez les API à contrôler pour votre infrastructure.

   Exemple :

   • Vous pouvez protéger les suppressions de l'infrastructure.
   • Pour un cluster de machines virtuelles, vous pouvez protéger les mises à jour, les suppressions, l'ajout/la suppression de machines virtuelles et la modification de compartiments.
   • Pour les mises à jour de cluster de machines virtuelles, différents attributs peuvent être sélectionnés en tant que privilèges, tels que la modification du nombre de coeurs de processeur (qui affecte le logiciel de redimensionnement automatique) ou des clés publiques SSH.
   • Vous pouvez également contrôler :
     • API de répertoire de base de base de données, telles que les suppressions.
     • API de machine virtuelle, telles que les mises à jour et la création de connexions à la console.
     • API réseau de cluster de machines virtuelles, dont les redimensionnements, les mises à jour et les suppressions.
     • API de base de données Conteneur, qui incluent les suppressions, les rotations de clés de gestion de cryptage transparent des données, les mises à jour et les mises à niveau.
     • API de base de données pluggable, avec des actions telles que le démarrage/l'arrêt, l'actualisation, la mise à jour et la suppression de bases de données pluggables. Dans cet exemple, nous voulons appliquer des contrôles sur la modification du nombre de coeurs de processeur (7a) et de la suppression de la base de données Conteneur (7b).

   Remarque : Les contrôles affectés peuvent être modifiés une fois le contrôle initial créé, mais les modifications nécessitent également le processus d'approbation d'Oracle API Access Control.

8. Dans Informations d'approbation, sélectionnez Utiliser la stratégie IAM pour les informations d'approbation. Cette opération est obligatoire lorsque vous travaillez dans une location avec des domaines d'identité.

9. Vous pouvez éventuellement demander une deuxième approbation pour des systèmes particulièrement sensibles, nécessitant deux identités distinctes pour approuver une demande d'accès.

10. Sélectionner une rubrique de notification : vous devez sélectionner une rubrique de notification OCI pour les notifications de demande d'accès et cliquer sur Créer. Après avoir créé le contrôle, il faut quelques minutes pour se connecter.

    Les images suivantes montrent la création d'un sujet de notification OCI, ainsi que la création et la configuration d'un abonnement.

    

    

Remarque : les enregistrements d'audit OCI sont liés aux compartiments dans lesquels résident les ressources. Par conséquent, lors de la création de ce contrôle d'accès d'API Oracle dans le compartiment ExaCC, les enregistrements d'audit liés à la gestion du cycle de vie sur les contrôles d'API y sont trouvés. Les enregistrements d'audit des mises à jour de l'infrastructure Exadata, situés dans le compartiment eccw-infrastructure, apparaissent dans le compartiment eccw-infrastructure.

Tâche 4 : démonstration de l'application du contrôle d'API

Pour montrer comment l'API contrôle le système, procédez comme suit :

1. Connectez-vous à la console OCI en tant qu'utilisateur infra-db-admin-user.

2. Sélectionnez Oracle Database Service on Cloud at Customer.

3. Sélectionnez votre cluster de machines virtuelles et votre infrastructure Exadata.

4. Le cluster de machines virtuelles eccw-cl3 est affiché, avec Oracle API Access Control activé.

5. Si vous tentez de modifier le nombre d'ECPU par machine virtuelle directement à partir du menu, l'opération est refusée car elle n'est pas autorisée pour la ressource en cours.

   

6. De même, si vous tentez de mettre fin à une base de données, l'opération ne sera pas autorisée.

7. Pour vérifier l'enregistrement d'audit à partir de la console OCI.

   1. Accédez à Observation and Management.

   2. Sélectionnez Logging et cliquez sur Audit.

   3. Sélectionnez le compartiment ExaCC.

   4. Audit des actions telles que PUT et POST ou des modifications d'état.

   Dans le compartiment eccw-infrastructure, une erreur Introuvable (404) apparaît, indiquant que la vérification de l'approbation par Oracle API Access Control a échoué à la demande.

   

Tâche 5 : Créer et approuver une demande d'accès

1. Accédez à la console OCI, accédez à Oracle Database et cliquez sur Contrôle d'accès à l'API.

2. Cliquez sur Créer une demande d'accès privilégié pour créer une demande de mise à jour du nombre de coeurs de processeur.

   1. Compartiment : sélectionnez le compartiment ExaCC.

   2. Numéros de ticket : ajoutez une référence à un ticket (texte en format libre).

   3. Type de ressource : le type de ressource est votre cluster de machines virtuelles.

   4. Sélectionner des opérations avec privilèges : demande de mise à jour du cluster de machines virtuelles cpuCoreCount. Vous pouvez ajouter d'autres opérations si nécessaire pour une fenêtre d'accès unique.

      

   5. Vous pouvez demander l'accès à une date future pour une maintenance planifiée ou immédiatement.

   6. Sélectionner un sujet de notification : sélectionnez un sujet à notifier, puis cliquez sur Créer.

      

   Dans le compartiment dans lequel la demande d'accès est créée, vous la verrez dans un état Lancé.

   

   Si vous tentez de l'approuver vous-même, vous recevrez une erreur indiquant qu'un autre utilisateur doit l'approuver.

3. Accédez au système en tant qu'utilisateur approbateur ExaCC Approver. Vous pouvez voir les demandes d'accès dans le compartiment.

   

   Une notification par courriel sera envoyée aux membres du ExaCC-API-Approver-grp.

   

4. Vous pouvez accéder à la demande d'appel.

   

5. Vérifiez que la demande concerne UpdateVmCluster cpuCoreCount et approuvez-la immédiatement ou sélectionnez une heure future.

   

   

6. Une fois la demande d'accès approuvée, revenez à la ressource de cluster de machines virtuelles et mettez à jour le nombre d'ECPU par machine virtuelle. Le système autorise désormais la modification du nombre d'ECPU par machine virtuelle.

Tâche 6 : auditer les opérations approuvées

Du point de vue de l'audit.

1. Accédez à la console OCI, accédez à Observabilité et gestion et sélectionnez Audit.

2. Accédez au compartiment dans lequel la demande d'accès à Oracle API Access Control est configurée. Voir POSTs et PUTs.

3. L'utilisateur infra-db-admin-user a créé une demande d'accès à Oracle API Access Control.

   

4. Les demandes incorrectes (400) apparaissent lorsque vous avez tenté de l'approuver vous-même.

   

   

5. Vous verrez que ExaCC Approver a approuvé la demande d'accès.

   

De même, lorsque vous examinez le compartiment eccw-infrastructure, vous observez la mise à jour du cluster de machines virtuelles qui s'est produite après l'approbation. Vous pouvez voir le début de la mise à jour du cluster de machines virtuelles et la vérification du contrôle d'accès à l'API approuvée, ce qui indique que les API seront envoyées.

Tâche 7 : Révoquer les demandes de contrôle d'accès d'API Oracle

Une demande Oracle API Access Control peut être révoquée par la personne qui l'a soumise ou par l'approbateur. Une fois qu'une demande est révoquée, toute tentative d'exécution de l'action est interdite.

Du point de vue de l'audit dans le compartiment eccw-infrastructure, vous pouvez observer les méthodes PUT et POST. Les mises à jour de cluster de machines virtuelles qui ont été autorisées après l'approbation, ainsi que les échecs de mises à jour de cluster de machines virtuelles qui se sont produits car la demande d'accès n'a pas été approuvée. Lors de la vérification de la gestion du cycle de vie des demandes d'accès elles-mêmes, vous pouvez voir quand la demande a été ouverte, l'erreur 400 pour l'auto-approbation et l'approbation réussie par un autre utilisateur.

Tâche 8 : Modifier ou supprimer des contrôles

• Si vous tentez d'enlever un contrôle, le logiciel crée automatiquement une demande Oracle API Access Control en votre nom pour l'enlever.

  

• Si vous essayez d'approuver votre propre action pour supprimer le contrôle, les mêmes règles d'application s'appliquent (elles seront refusées).

  

• Si un autre utilisateur (par exemple, un autre utilisateur de test disposant des droits d'approbation des demandes d'accès) approuve la demande d'accès, il peut alors supprimer ou supprimer la ressource.

Tâche 9 : terminer l'audit final pour la suppression de contrôle

Du point de vue de l'audit pour la suppression de contrôle.

• Vous pouvez voir la tentative infra-db-admin-user de suppression du contrôle d'API privilégié et de réception d'une erreur 400.

• Vous pouvez ensuite voir un autre utilisateur ExaCC Approver approuvant la demande d'accès à l'API avec privilèges, ce qui donne un statut 200 (succès).

• Enfin, infra-db-admin-user exécute la commande de suppression et vous verrez que la suppression a réussi avec un statut OK (202).

Liens connexes

• Oracle Exadata Database Service on Cloud@Customer

• Contrôle d'accès d'API Oracle

• Vidéo de démonstration d'API Access Control

Accusés de réception

• Auteur - Filip Vercauteren (ceinture noire Exadata Cloud@Customer)

• Contributeurs - Matthieu Bordonne (Conseiller commercial principal - Centre de solutions EMEA), Zsolt Szokol (ceinture noire Exadata Cloud@Customer), Jeffrey Wright (Chef de produit émérite)

Ressources de formation supplémentaires

Explorez d'autres ateliers sur le site docs.oracle.com/learn ou accédez à d'autres contenus d'apprentissage gratuits sur le canal Oracle Learning YouTube. En outre, visitez le site education.oracle.com/learning-explorer pour devenir un explorateur Oracle Learning.

Pour obtenir de la documentation sur le produit, consultez Oracle Help Center.

---

Informations relatives au titre et au copyright

Use Oracle API Access Control with Oracle Exadata Database Service on Cloud@Customer and Oracle Exadata Database Service on Dedicated Infrastructure

G39124-01

Copyright ©2025, Oracle and/or its affiliates.