Crea e gestisci credenziali denominate

È possibile creare credenziali denominate in Gestione database - Diagnostica e gestione per memorizzare, gestire e utilizzare le credenziali utente del database.

Le credenziali denominate sono risorse Oracle Cloud Infrastructure, che contengono credenziali utente del database, ovvero il nome utente e la password del database. Come altre risorse Oracle Cloud Infrastructure, la creazione, la gestione e l'uso di credenziali denominate sono controllati dai criteri Oracle Cloud Infrastructure Identity and Access Management (IAM). Un amministratore con le autorizzazioni necessarie può creare e memorizzare le credenziali denominate in Diagnostica e gestione e concedere ai gruppi di utenti l'autorizzazione a utilizzare le credenziali denominate per connettersi a un database gestito ed eseguire task quali la creazione di una tablespace, la creazione di un job e la modifica dei parametri del database. Inoltre, le credenziali denominate possono essere collegate a una credenziale preferenziale per consentire agli utenti di accedere al database gestito ed eseguire i task associati alla credenziale preferita.

Ecco i vantaggi dell'utilizzo di credenziali denominate:

Le credenziali utente sono sicure in quanto vengono salvate all'interno delle credenziali denominate e non sono esposte a tutti gli utenti. Le credenziali denominate consentono a un DBA con privilegi inferiori di eseguire task correlati alla manutenzione del database senza dover conoscere la password del database.
Il tempo e l'impegno vengono salvati poiché non è necessario specificare le credenziali utente ogni volta che si esegue un'attività in Diagnostica e gestione.
Le credenziali utente possono essere aggiornate all'interno delle credenziali denominate garantendo facilità di manutenzione.
Le credenziali denominate garantiscono la coerenza ed evitano gli errori che possono derivare dall'utilizzo di credenziali utente diverse.

Le credenziali denominate hanno le categorie di ambito riportate di seguito.

Risorsa: con un singolo database gestito è possibile utilizzare una credenziale denominata con l'ambito Risorsa.
Globale: con tutti i database gestiti è possibile utilizzare una credenziale denominata con ambito Globale.

Le credenziali denominate sono disponibili in:

Amministrazione Credenziali denominate: in questa pagina è possibile visualizzare tutte le credenziali denominate Risorsa e Globale create nel compartimento ed eseguire i task relativi alle credenziali denominate. Per accedere a questa pagina:
1. Aprire il menu di navigazione nella console di Oracle Cloud Infrastructure, quindi fare clic su Observability & Management. In Gestione database, fare clic su Amministrazione.
2. Nel riquadro sinistro, fare clic su Credenziali denominate e selezionare un compartimento nell'elenco a discesa Compartimento.
Pagina Dettagli database gestito: nel riquadro sinistro in Risorse, fare clic su Credenziali, quindi sulla scheda Credenziali denominate. Nella scheda Credenziali denominate è possibile visualizzare le credenziali denominate create per il database gestito e le credenziali denominate globali nel compartimento ed eseguire i task relativi alle credenziali denominate.

Eseguire i task dei prerequisiti e ottenere le autorizzazioni necessarie

Di seguito è riportata una lista di task tipici che devono essere eseguiti prima della creazione delle credenziali denominate.

L'amministratore del database crea le credenziali utente del database. Per informazioni su come creare gli account utente, vedere Creating User Accounts in Oracle Database Security Guide.
Un utente di Oracle Cloud Infrastructure con le autorizzazioni necessarie crea un segreto di servizio Vault per la password utente del database. Il segreto può essere creato in un compartimento diverso o nello stesso compartimento con una chiave vault diversa o uguale.
Di seguito è riportato un esempio di criterio che concede a un gruppo di utenti l'autorizzazione per creare segreti.
```
Allow group DB-MGMT-USER to manage secret-family in compartment ABC
```
Per informazioni su come creare un segreto, vedere Creazione di un segreto in un vault.
L'amministratore del database con le autorizzazioni Oracle Cloud Infrastructure necessarie crea uno dei seguenti tipi di criteri per fornire l'accesso al segreto del servizio Vault con la password utente del database:
- Utente: l'autorizzazione per accedere al segreto password viene definita per un utente nel criterio.
  Di seguito è riportato un esempio di criterio che concede a un utente l'autorizzazione per accedere al segreto.
```
Allow any-user to read secret in compartment ABC where request.user.id = <user_OCID>
```
- Risorsa: l'autorizzazione per accedere al segreto password viene definita per il tipo di risorsa nel criterio.
  Le credenziali denominate sono supportate per le risorse di database Oracle abilitate per Diagnostics & Management (dbmgmtmanageddatabase). Di seguito è riportato un esempio di criterio che concede a questo tipo di risorsa l'autorizzazione per accedere al segreto.
```
Allow any-user to read secret-family in compartment ABC where ALL {request.principal.type='dbmgmtmanageddatabase'}
```

Quando si eseguono i task dei prerequisiti, un utente con le autorizzazioni delle risorse dbmgmt-named-credentials di Gestione database può creare e gestire le credenziali denominate. Di seguito sono riportati alcuni esempi dei criteri che concedono ai gruppi di utenti le autorizzazioni necessarie.

Per concedere al gruppo di utenti DB-MGMT-ADMIN l'autorizzazione per creare credenziali denominate per tutti i database gestiti nel compartimento ABC:

Allow group DB-MGMT-ADMIN to manage dbmgmt-named-credentials in compartment ABC

Allow group DB-MGMT-ADMIN to use dbmgmt-managed-databases in compartment ABC

Per concedere al gruppo di utenti DB-MGMT-ADMIN l'autorizzazione per eliminare le credenziali denominate nel compartimento ABC:
```
Allow group DB-MGMT-ADMIN to manage dbmgmt-named-credentials in compartment ABC
```
Per concedere al gruppo di utenti DB-MGMT-ADMIN l'autorizzazione per spostare le credenziali denominate nel compartimento ABC in un altro compartimento:
```
Allow group DB-MGMT-ADMIN to manage dbmgmt-named-credentials in compartment ABC
```

Una volta creata una credenziale denominata, l'autorizzazione per utilizzare la credenziale denominata per eseguire vari task di diagnostica e gestione deve essere concessa ai gruppi di utenti (oltre ad altre autorizzazioni necessarie). Ad esempio, di seguito sono riportati i criteri che concedono al gruppo di utenti DB-MGMT-USER l'autorizzazione per creare una tablespace e utilizzare le credenziali denominate per eseguire questa operazione.

Allow group DB-MGMT-USER to use dbmgmt-managed-databases in compartment ABC

Allow group DB-MGMT-USER to read dbmgmt-named-credentials in compartment ABC

Per ulteriori informazioni sui tipi di risorse e le autorizzazioni di Gestione database, vedere Dettagli dei criteri per Gestione database.

Crea credenziali denominate

È possibile creare credenziali denominate per accedere, monitorare e gestire un database gestito nella pagina Dettagli del database gestito.

Nota

È inoltre possibile creare e gestire credenziali denominate nella pagina Amministrazione Credenziali denominate. Per ulteriori informazioni, vedere Creazione e gestione di credenziali denominate.

Andare alla pagina Dettagli database gestito e, nel riquadro sinistro in Risorse, fare clic su Credenziali.
Fare clic sulla scheda Credenziali denominate.
Vengono elencate le eventuali credenziali denominate presenti nel compartimento. Per visualizzare le credenziali denominate in un altro compartimento, fare clic su Modifica compartimento. È inoltre possibile utilizzare le opzioni disponibili nell'elenco a discesa Visualizza per e nel campo Cerca per nome per filtrare la lista delle credenziali denominate.
Fare clic su Crea credenziale denominata.
Nel pannello Crea credenziale denominata:
1. Nella sezione Generale, fornire le seguenti informazioni:
  1. Nome: rivedere il nome univoco visualizzato per la credenziale denominata e modificarlo, se necessario.
  2. Descrizione: è possibile immettere una descrizione per la credenziale denominata.
2. Rivedere i dettagli del database e impostare la credenziale denominata come credenziale preferenziale, se necessario, nella sezione Risorsa:
  1. Tipo: rivedere il tipo di risorsa. L'opzione Oracle Database è selezionata per impostazione predefinita e questo campo non può essere modificato.
  2. Ambito: selezionare l'ambito della credenziale denominata:
    - Risorsa: è possibile utilizzare una credenziale denominata con l'ambito Risorsa per accedere, monitorare e gestire un singolo database gestito.
    - Globale: è possibile utilizzare una credenziale denominata con ambito Globale per accedere, monitorare e gestire tutti i database gestiti.
  3. Nome risorsa: rivedere il nome del database gestito. Questo campo non può essere modificato quando si accede al pannello Crea credenziale denominata dalla pagina Dettagli database gestito.
    Nota
    
    Per creare una credenziale denominata per un database gestito diverso, andare alla pagina Amministrazione Credenziali denominate.
  4. Imposta come credenziale preferenziale: è possibile selezionare questa casella di controllo e selezionare una credenziale preferenziale. Se si sceglie di collegare le credenziali denominate a una credenziale preferenziale, è possibile utilizzare le credenziali denominate per eseguire i task associati alle credenziali preferenziali. Per informazioni sulle credenziali preferenziali, vedere Imposta credenziali preferenziali.
    Nota
    
    Viene impostata una credenziale preferenziale per un determinato database gestito. Pertanto, la casella di controllo Imposta come credenziale preferenziale non viene visualizzata se è selezionata l'opzione di ambito Globale.
3. Specificare i seguenti dettagli delle credenziali:
  - Nome utente: immettere il nome utente del database per connettersi al database gestito.
  - Segreto password utente: selezionare il segreto che contiene la password utente del database dall'elenco a discesa. Se il compartimento in cui risiede il segreto è diverso da quello visualizzato, fare clic su Modifica compartimento e selezionare un altro compartimento.
    Se un segreto esistente con la password utente del database non è disponibile, selezionare Crea nuovo segreto... nell'elenco a discesa. Per informazioni sull'autorizzazione necessaria per creare un segreto e su come creare un segreto, vedere Eseguire task prerequisiti e ottenere le autorizzazioni necessarie.
  - Ruolo: selezionare il ruolo tra le opzioni disponibili.
  - Modalità di accesso segreto password: selezionare la modalità di accesso segreto password.
    - Utente: l'autorizzazione per accedere al segreto password viene definita per un utente nel criterio.
    - Risorsa: l'autorizzazione per accedere al segreto password viene definita per il tipo di risorsa (per la quale viene creata la credenziale denominata) nel criterio.
    Per informazioni sui criteri che forniscono l'accesso al segreto con la password utente del database, vedere Eseguire task dei prerequisiti e ottenere le autorizzazioni necessarie.
4. Facoltativamente, fare clic su Mostra opzioni avanzate per aggiungere tag in formato libero o definite alla credenziale denominata. Se si dispone delle autorizzazioni necessarie per creare una credenziale denominata, si dispone anche delle autorizzazioni per aggiungere tag in formato libero. Per aggiungere una tag definita, è necessario disporre delle autorizzazioni per utilizzare lo spazio di nomi tag.
  Per informazioni su:
  - Applicazione di tag ai concetti e alle autorizzazioni necessarie per utilizzare le tag. Vedere Panoramica sull'applicazione di tag.
  - Per informazioni su come aggiungere una tag durante la creazione della risorsa, vedere Per aggiungere una tag durante la creazione della risorsa.
5. Facoltativamente, fare clic su Test per verificare se la connessione al database gestito è stata stabilita correttamente utilizzando le credenziali.
6. Fare clic su Crea per creare la credenziale denominata.

La credenziale denominata appena creata viene elencata nella scheda Credenziali denominate della sezione Credenziali e può essere utilizzata per eseguire vari task, ad esempio la creazione di job e SQL Tuning Set. È possibile fare clic sul nome della credenziale denominata per visualizzare le informazioni sulle credenziali, ad esempio l'OCID, l'ambito e le risorse associate (database gestiti), nonché eseguire task correlati alle tag.

È possibile fare clic sull'icona Azioni () per la credenziale denominata ed eseguire i task riportati di seguito.

Test: fare clic per verificare se una connessione viene stabilita con il database gestito utilizzando la credenziale denominata.
Modifica: fare clic per modificare e aggiornare la credenziale denominata.
Sposta: fare clic per spostare la credenziale denominata dal compartimento corrente a un altro compartimento.
Elimina: fare clic per eliminare la credenziale denominata.

Documentazione di Oracle Cloud Infrastructure