Controllo dell'accesso basato sui ruoli

Utilizza il controllo dell'accesso basato su ruoli (RBAC) per controllare l'accesso degli utenti alle risorse di Oracle AI Database@Azure.

Questa attività include istruzioni per impostare Azure RBAC sia per Oracle Autonomous AI Database che per Oracle Exadata Database. Tenere presente quanto riportato di seguito.

I clienti dell'offerta privata che desiderano eseguire il provisioning sia di Autonomous AI Database che di Exadata Database Service devono completare entrambi i set di istruzioni in questo argomento. In caso contrario, completare il set di istruzioni corrispondente al servizio di database che si prevede di utilizzare.
I clienti dell'offerta pubblica (pay-as-you-go) devono solo completare le istruzioni per Autonomous AI Database.

Gruppi e ruoli di Oracle Autonomous Database Service


Nome gruppo Azure	Assegnazione ruolo Azure	Scopo
odbaa-adbs-db-amministratori	Oracle.Database Amministratore di Autonomous Database	Questo gruppo è destinato agli amministratori che devono gestire tutte le risorse di Oracle Autonomous Database in Azure.
odbaa-db-famiglia-amministratori	Nessuno	Questo gruppo viene replicato in OCI durante il processo facoltativo di federazione delle identità. Questo gruppo è destinato agli amministratori che devono gestire tutte le risorse di Oracle Database Service in OCI.
lettori di odbaa-db-family	Lettore Oracle.Database	Questo gruppo viene replicato in OCI durante il processo facoltativo di federazione delle identità. Questo gruppo è rivolto ai lettori che devono visualizzare tutte le risorse di Oracle Database in OCI.
odbaa-network-amministratori	Nessuno	Questo gruppo viene replicato in OCI durante il processo facoltativo di federazione delle identità. Questo gruppo è destinato agli amministratori che devono gestire tutte le risorse di rete in OCI.
odbaa-costmgmt-amministratori	Nessuno	Questo gruppo viene replicato in OCI durante il processo facoltativo di federazione delle identità. Questo gruppo è rivolto agli amministratori che devono gestire i costi e le risorse di fatturazione in OCI.

Gruppi e ruoli di Oracle Exadata Database Service on Dedicated Infrastructure


Nome gruppo Azure	Assegnazione ruolo Azure	Scopo
odbaa-exa-infra-amministratori	Oracle.Database Amministratore dell'infrastruttura Exadata	Questo gruppo è destinato agli amministratori che devono gestire tutte le risorse di Exadata Database Service in Azure. Gli utenti con questo ruolo dispongono di tutte le autorizzazioni concesse da "odbaa-vm-cluster-administrators".
odbaa-vm-cluster-amministratori	Amministratore Oracle.Database VmCluster	Questo gruppo è destinato agli amministratori che devono gestire le risorse del cluster VM in Azure.
odbaa-db-famiglia-amministratori	Nessuno	Questo gruppo viene replicato in OCI durante il processo facoltativo di federazione delle identità. Questo gruppo è destinato agli amministratori che devono gestire tutte le risorse di Oracle Database Service in OCI.
lettori di odbaa-db-family	Lettore Oracle.Database	Questo gruppo viene replicato in OCI durante il processo facoltativo di federazione delle identità. Questo gruppo è rivolto ai lettori che devono visualizzare tutte le risorse di Oracle Database in OCI.
odbaa-exa-cdb-amministratori	Nessuno	Questo gruppo viene replicato in OCI durante il processo facoltativo di federazione delle identità. Questo gruppo è destinato agli amministratori che devono gestire tutte le risorse CDB in OCI.
odbaa-exa-pdb-amministratori	Nessuno	Questo gruppo viene replicato in OCI durante il processo facoltativo di federazione delle identità. Questo gruppo è destinato agli amministratori che devono gestire tutte le risorse PDB in OCI.
odbaa-network-amministratori	Nessuno	Questo gruppo viene replicato in OCI durante il processo facoltativo di federazione delle identità. Questo gruppo è destinato agli amministratori che devono gestire tutte le risorse di rete in OCI.
odbaa-costmgmt-amministratori	Nessuno	Questo gruppo viene replicato in OCI durante il processo facoltativo di federazione delle identità. Questo gruppo è rivolto agli amministratori che devono gestire i costi e le risorse di fatturazione in OCI.

Configurare il controllo dell'accesso basato sui ruoli nel portale Azure

Connettersi al portale di Azure.
Cercare "EntraID" nello strumento di ricerca di Azure, quindi selezionare Microsoft Entra ID nei risultati della ricerca per passare alla pagina EntraID Panoramica.
Selezionare Gruppi per passare alla pagina Gruppi. Selezionare quindi Tutti i gruppi.
Selezionare Nuovo gruppo e immettere le informazioni riportate di seguito.
- Nome gruppo: immettere un nome di gruppo dalla tabella Autonomous AI Database/Exadata Database e i ruoli in questo argomento. Questa tabella è disponibile anche nei gruppi e nei ruoli nel riferimento di Azure.
- Descrizione gruppo: immettere una descrizione del gruppo che consenta di identificarlo in un secondo momento. È possibile utilizzare le descrizioni fornite nella colonna Scopo della tabella dei gruppi e dei ruoli di Autonomous AI Database/Exadata Database.
Per creare il nuovo gruppo, selezionare Crea.
Ripetere il passo precedente per creare nuovi gruppi per tutti i gruppi di Azure elencati nella tabella di questo argomento.
Andare alla pagina Sottoscrizioni nel portale di Azure, quindi trovare la sottoscrizione di Azure nella pagina. Selezionare il nome della sottoscrizione per visualizzare i dettagli della sottoscrizione. Per ulteriori informazioni, vedere Visualizza tutte le sottoscrizioni nella documentazione di Azure.
Nella sezione Controllo accesso (IAM) della pagina dei dettagli della sottoscrizione di Azure, selezionare +Add e selezionare l'opzione Aggiungi assegnazione ruolo.
Cercare uno qualsiasi dei ruoli elencati nella tabella dei gruppi e dei ruoli Exadata in questo argomento. Ad esempio, Oracle.Database Reader. Selezionare il ruolo, quindi selezionare Successivo.
Nella scheda Membri del flusso di lavoro Aggiungi assegnazione ruolo, selezionare +Select Membri.
Cerca "odbaa" nel campo di ricerca. Vengono visualizzati i gruppi che iniziano con "odbaa". Selezionare un nome di gruppo per selezionarlo. Ad esempio: "odbaa-db-family-readers".
Nella scheda Membri selezionare Rivedi + assegna.
Ripetere i passi da 7 a 11 per ogni gruppo di Azure Autonomous AI Database/Exadata Database con assegnazioni di ruoli specificate nella tabella.

Criteri multicloud OCI

Quando si inserisce l'ambiente Azure in Oracle AI Database@Azure, durante il processo di collegamento degli account OCI, OCI crea un compartimento multicloud e i criteri IAM (Identity and Access Management) OCI necessari per il servizio. Queste risorse sono essenziali per la manutenzione di Oracle AI Database@Azure. Gli amministratori OCI non devono modificare, spostare o eliminare queste risorse create automaticamente.

È possibile identificare i criteri IAM e il compartimento utilizzando il prefisso MulticloudLink.

Criteri di rifiuto di IAM (Identity and Access Management)

I criteri di rifiuto IAM OCI consentono agli amministratori di bloccare in modo esplicito azioni indesiderate, migliorando la sicurezza e semplificando il controllo dell'accesso.

Sebbene i criteri di rifiuto IAM OCI siano un potente strumento per limitare le autorizzazioni, devono essere utilizzati con estrema cautela all'interno di Oracle AI Database@Azure.

Non applicare alcun criterio Nega che abbia come destinazione o impatto i criteri IAM o i compartimenti preceduti dal prefisso MulticloudLink.

L'applicazione dei criteri di negazione alle risorse di Oracle AI Database@Azure interrompe l'integrazione del servizio ODBG con OCI, causando gravi errori operativi o un malfunzionamento completo del servizio.

Recupera da un criterio di negazione a livello di tenancy che blocca le funzioni multicloud

Un criterio di rifiuto a livello di tenancy, ad esempio Deny any-user to inspect all-resources in tenancy, può bloccare qualsiasi accesso utente o bloccare l'integrazione multicloud.

Per recuperare:

Nota

In questi passi viene utilizzata la console di Oracle Cloud. In alternativa, utilizzare l'interfaccia CLI OCI. Esempio di comando CLI:

oci iam policy update --policy-id <policy-id> --statements '["Deny group Interns to inspect all-resources in tenancy"]'

Connettersi alla console di Oracle Cloud come membro del gruppo di amministratori predefinito (esente dai criteri di rifiuto).
Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità selezionare Criteri.
Identificare il criterio contenente l'azione di rifiuto nel compartimento radice o nel compartimento secondario, ad esempio il compartimento multicloud.
Modificare o eliminare il criterio.
Ad esempio, rimuovere il criterio Nega che sta causando il problema.
Se il criterio è stato aggiornato, eseguirne il test utilizzando il simulatore dei criteri IAM OCI.

Operazioni successive

Oracle AI Database@Azure è pronto per l'uso. È ora possibile effettuare le operazioni riportate di seguito.

Impostare la federazione identità per Oracle AI Database@Azure (facoltativo). Federation consente agli utenti di connettersi alla tenancy OCI associata al servizio utilizzando le credenziali ID Azure Entra. Per informazioni dettagliate, vedere Federazione (facoltativo).
Se non si utilizza la federazione identità, è possibile aggiungere altri utenti in OCI Console. Per ulteriori informazioni, vedere Panoramica di IAM e Gestione degli utenti. Facoltativamente, è possibile registrare gli utenti con My Oracle Support per consentire loro di aprire richieste di servizio.

Documentazione dell'infrastruttura Oracle Cloud