Il controllo dell'accesso client per un'istanza di Autonomous Database viene applicato dai criteri di controllo dell'accesso di rete, tramite i protocolli di connessione client e dai diritti di accesso dell'utente del database utilizzati dal client per connettersi.

Oracle Autonomous Database è configurato con un account amministrativo, ADMIN, utilizzato per creare e gestire altri account di database. Oracle Autonomous Database offre un solido set di funzioni e controlli, inclusi privilegi e ruoli di sistema e oggetto. I profili utente consentono di personalizzare i criteri delle password per definire e implementare una strategia di accesso utente al database sicura.

Per informazioni di base sulla gestione degli utenti standard, vedere Account utente in Oracle Database Concepts. Per informazioni e indicazioni dettagliate, vedere Managing Security for Oracle Database Users nel manuale Oracle Database Security Guide.

Se la strategia di accesso degli utenti al database richiede più controlli di quelli forniti dalla gestione degli utenti standard, puoi configurare Oracle Autonomous Database in modo che utilizzi Database Vault per soddisfare requisiti più rigorosi.

I servizi IAM (Identity and Access Management) consentono di controllare i privilegi degli utenti di Oracle Cloud specificando le azioni che gli utenti possono eseguire su Oracle Autonomous Database.

Il servizio IAM offre diversi tipi di componenti che consentono di definire e implementare una strategia di accesso utente cloud sicura:

• Compartimento: raccolta di risorse correlate. I compartimenti sono un componente fondamentale di Oracle Cloud Infrastructure per organizzare e isolare le tue risorse cloud.

• Gruppo: raccolta di utenti che hanno tutti lo stesso tipo di accesso a un determinato set di risorse o compartimento.

• Gruppo dinamico: tipo speciale di gruppo contenente le risorse che corrispondono alle regole definite. Pertanto, l'appartenenza può cambiare in modo dinamico quando vengono create o eliminate risorse corrispondenti.

• Criterio: gruppo di istruzioni che specificano chi può accedere alle risorse e come. L'accesso viene concesso a livello di gruppo e compartimento. Ciò significa che si scrive un'istruzione dei criteri che fornisce a un gruppo specifico un tipo specifico di accesso a un tipo specifico di risorsa all'interno di un compartimento specifico.

Di questi, il criterio è lo strumento principale utilizzato per controllare l'accesso perché fornisce il "Chi", "Come", "Cosa" e "Dove" di un singolo vincolo di accesso. Un'istruzione criterio ha il seguente formato:

Il formato di un'istruzione criterio è:

Allow 
  group <group-name> 
  to <control-verb> 
  <resource-type> 
  in compartment <compartment-name>

• group <group-name> specifica l'utente "Chi" fornendo il nome di un gruppo IAM esistente.

• to <control-verb> specifica la "Procedura" utilizzando uno dei seguenti verbi di controllo predefiniti:

  • inspect: la possibilità di elencare le risorse del tipo specificato, senza accesso a informazioni riservate o metadati specificati dall'utente che potrebbero far parte di tale risorsa.
  • read: inspect oltre alla possibilità di ottenere i metadati specificati dall'utente e la risorsa effettiva.
  • use: read consente di utilizzare le risorse esistenti, ma non di crearle o eliminarle. Inoltre, "lavora con" significa operazioni diverse per diversi tipi di risorse.
  • manage: tutte le autorizzazioni per il tipo di risorsa, comprese la creazione e l'eliminazione.

• <resource-type> specifica il "Cosa" utilizzando un tipo di risorsa predefinito. I valori del tipo di risorsa per le risorse dell'infrastruttura sono i seguenti:

  • autonomous-databases
  • autonomous-backups

  È possibile creare istruzioni dei criteri che fanno riferimento al valore del tipo di risorsa tag-namespaces se si utilizza l'applicazione di tag nella tenancy.

• in compartment <compartment-name> specifica il "Dove" fornendo il nome di un compartimento IAM esistente.

Per informazioni sul funzionamento del servizio IAM e dei relativi componenti e su come utilizzarli, vedere Panoramica di Oracle Cloud Infrastructure Identity and Access Management. Per risposte rapide alle domande più comuni su IAM, consulta le domande frequenti su Identity and Access Management.

Solo gli utenti autorizzati sono autorizzati ad accedere a un'istanza di Autonomous Database.

Gli operatori Oracle Cloud non dispongono dell'autorizzazione per accedere ad Autonomous Database. Quando è necessario accedere al database per risolvere o mitigare un problema, è possibile consentire a un operatore cloud di accedere a un database per un periodo di tempo limitato.

È possibile consentire a un operatore cloud di accedere al database eseguendo la procedura DBMS_CLOUD_ADMIN.ENABLE_OPERATOR_ACCESS. Ciò significa che se inoltri una richiesta di servizio al Supporto Oracle Cloud o contatti il rappresentante dell'assistenza tecnica e gli operatori Oracle Cloud devono accedere al database, devi anche abilitare l'accesso operatore eseguendo DBMS_CLOUD_ADMIN.ENABLE_OPERATOR_ACCESS.

Ogni accesso al database da parte degli operatori Oracle Cloud viene registrato con un ID e un motivo della richiesta.

Per ulteriori informazioni, consulta Gestisci accesso operatore Oracle Cloud e Visualizza le azioni operative di Oracle Cloud Infrastructure.

Autonomous Database è un servizio completamente gestito e Oracle utilizza le proprie tenancy Oracle Cloud Infrastructure per eseguire il servizio Autonomous Database.

Gli operatori Oracle Cloud non hanno accesso alle tenancy del cliente e gli operatori cloud non possono accedere alla rete.

Tutte le azioni eseguite dagli utenti di Oracle Cloud sulle risorse che compongono la distribuzione di Oracle Autonomous Database vengono registrate dal servizio di audit, indipendentemente dall'interfaccia utilizzata: console di Oracle Cloud Infrastructure, API REST, interfaccia della riga di comando (CLI), kit di sviluppo software (SDK) e così via.

È possibile utilizzare il servizio di controllo per eseguire operazioni di diagnostica, tenere traccia dell'uso delle risorse, monitorare la conformità e raccogliere eventi correlati alla sicurezza. Per ulteriori informazioni sul servizio di audit, vedere Panoramica dell'audit nella Documentazione di Oracle Cloud Infrastructure.

Inoltre, quando gli utenti eseguono operazioni su Oracle Autonomous Database, il database pubblica eventi al servizio Oracle Cloud Events. Il servizio Eventi Oracle Cloud consente di creare regole per acquisire questi eventi ed eseguire azioni.

Per ulteriori informazioni sul funzionamento del servizio Eventi e su come impostare le regole e le azioni utilizzate, vedere Panoramica degli eventi. Per gli elenchi delle operazioni di Oracle Autonomous Database che generano eventi, vedere Tipi di eventi di Autonomous Database.

Oracle Autonomous Database configura i database autonomi creati per utilizzare la funzione di auditing unificato di Oracle Database.

Questa funzione acquisisce i record di audit dalle origini seguenti e li raccoglie in un unico audit trail in un formato uniforme:

• Record di audit (inclusi i record di audit SYS) da criteri di audit unificati e impostazioni AUDIT
• Record di audit con filtro dal package PL/SQL DBMS_FGA
• Record di audit di Oracle Database Real Application Security
• Record di audit di Oracle Recovery Manager
• Record di audit di Oracle Database Vault
• Record di audit di Oracle Label Security
• Record Oracle Data Mining
• Oracle Data Pump
• Caricamento diretto Oracle SQL*Loader

Le informazioni di audit vengono conservate per un massimo di 14 giorni, dopodiché vengono rimosse automaticamente. Per conservare le informazioni di audit più a lungo e per analizzare e generare facilmente report sull'attività del database, utilizza Oracle Data Safe (incluso nella sottoscrizione a Oracle Autonomous Database).

Per ulteriori informazioni, consulta Informazioni sull'audit di Autonomous Database.