Documentazione dell'infrastruttura Oracle Cloud

Crea e gestisci credenziali denominate

È possibile creare credenziali denominate in Gestione database - Diagnostica e gestione per memorizzare, gestire e utilizzare le credenziali utente del database.

Le credenziali denominate sono risorse Oracle Cloud Infrastructure, che contengono credenziali utente del database, ovvero il nome utente e la password del database. Come altre risorse Oracle Cloud Infrastructure, la creazione, la gestione e l'uso di credenziali denominate sono controllati dai criteri Oracle Cloud Infrastructure Identity and Access Management (IAM). Un amministratore con le autorizzazioni necessarie può creare e memorizzare le credenziali denominate in Diagnostica e gestione e concedere ai gruppi di utenti l'autorizzazione a utilizzare le credenziali denominate per connettersi a un database gestito ed eseguire task quali la creazione di una tablespace, la creazione di un job e la modifica dei parametri del database. Inoltre, le credenziali denominate possono essere collegate a una credenziale preferenziale per consentire agli utenti di accedere al database gestito ed eseguire i task associati alla credenziale preferita.

Di seguito sono riportati i vantaggi derivanti dall'uso delle credenziali denominate.

  • Le credenziali utente sono sicure in quanto vengono salvate all'interno delle credenziali denominate e non sono esposte a tutti gli utenti. Le credenziali denominate consentono a un DBA con privilegi inferiori di eseguire task correlati alla manutenzione del database senza dover conoscere la password del database.
  • Il tempo e l'impegno vengono salvati poiché non è necessario specificare le credenziali utente ogni volta che si esegue un'attività in Diagnostica e gestione.
  • Le credenziali utente possono essere aggiornate all'interno della credenziale denominata garantendo facilità di manutenzione.
  • Le credenziali denominate garantiscono la coerenza ed evitano errori derivanti dall'uso di credenziali utente diverse.

Le credenziali denominate hanno le seguenti categorie di ambito:

  • Risorsa: una credenziale denominata con l'ambito Risorsa può essere utilizzata con un singolo database gestito.
  • Globale: una credenziale denominata con l'ambito Globale può essere utilizzata con tutti i database gestiti.

Le credenziali denominate sono disponibili in:

  • Pagina Amministrazione Credenziali denominate: in questa pagina è possibile visualizzare tutte le credenziali denominate Risorsa e Globale create nel compartimento ed eseguire i task relativi alle credenziali denominate. Per andare a questa pagina:
    1. Aprire il menu di navigazione nella console di Oracle Cloud Infrastructure, quindi fare clic su Osservabilità e gestione. In Gestione database, fare clic su Amministrazione.
    2. Nel riquadro a sinistra fare clic su Credenziali denominate e selezionare un compartimento nell'elenco a discesa Compartimento.
  • Pagina Dettagli database gestiti: nel riquadro sinistro in Risorse, fare clic su Credenziali, quindi fare clic sulla scheda Credenziali denominate. Nella scheda Credenziali denominate è possibile visualizzare le credenziali denominate create per il database gestito e le credenziali denominate globali nel compartimento ed eseguire i task relativi alle credenziali denominate.

Eseguire i task dei prerequisiti e ottenere le autorizzazioni necessarie

Di seguito è riportato un elenco dei task standard che devono essere eseguiti prima di creare le credenziali denominate.

  1. L'amministratore del database crea le credenziali utente del database. Per informazioni su come creare account utente, vedere Creating User Accounts in Oracle Database Security Guide.
  2. Un utente di Oracle Cloud Infrastructure con le autorizzazioni richieste crea un segreto del servizio Vault per la password utente del database. Il segreto può essere creato in un compartimento diverso o nello stesso compartimento con una chiave del vault diversa o uguale.

    Di seguito è riportato un esempio di criterio che concede a un gruppo di utenti l'autorizzazione per creare segreti.

    Allow group DB-MGMT-USER to manage secret-family in compartment ABC

    Per informazioni su come creare un segreto, vedere Creazione di un segreto in un vault.

  3. L'amministratore del database con le autorizzazioni Oracle Cloud Infrastructure necessarie crea uno dei seguenti tipi di criteri per fornire l'accesso al segreto del servizio Vault con la password utente del database:
    • Utente: l'autorizzazione per accedere al segreto password viene definita per l'utente utente nel criterio.

      Di seguito è riportato un esempio di criterio che concede a un utente l'autorizzazione ad accedere al segreto.

      Allow any-user to read secret in compartment ABC where request.user.id = <user_OCID>
    • Risorsa: l'autorizzazione per accedere al segreto password viene definita per il tipo di risorsa nel criterio.

      Le credenziali denominate sono supportate per le risorse di database Oracle abilitate per Diagnostics & Management (dbmgmtmanageddatabase). Di seguito è riportato un esempio di criterio che concede a questo tipo di risorsa l'autorizzazione per accedere al segreto. 

      Allow any-user to read secret-family in compartment ABC where ALL {request.principal.type='dbmgmtmanageddatabase'}

Durante l'esecuzione dei task dei prerequisiti, un utente con le autorizzazioni della risorsa dbmgmt-named-credentials di Gestione database può creare e gestire le credenziali denominate. Di seguito sono riportati alcuni esempi di criteri che concedono ai gruppi di utenti le autorizzazioni necessarie.

  • Per concedere al gruppo di utenti DB-MGMT-ADMIN l'autorizzazione a creare credenziali denominate per tutti i database gestiti nel compartimento ABC:
    Allow group DB-MGMT-ADMIN to manage dbmgmt-named-credentials in compartment ABC
    Allow group DB-MGMT-ADMIN to use dbmgmt-managed-databases in compartment ABC
  • Per concedere al gruppo di utenti DB-MGMT-ADMIN l'autorizzazione a eliminare le credenziali denominate nel compartimento ABC:
    Allow group DB-MGMT-ADMIN to manage dbmgmt-named-credentials in compartment ABC
  • Per concedere al gruppo di utenti DB-MGMT-ADMIN l'autorizzazione a spostare le credenziali denominate nel compartimento ABC in un altro compartimento:
    Allow group DB-MGMT-ADMIN to manage dbmgmt-named-credentials in compartment ABC

Una volta creata una credenziale denominata, l'autorizzazione per utilizzare la credenziale denominata per eseguire vari task di diagnostica e gestione deve essere concessa ai gruppi di utenti (oltre ad altre autorizzazioni necessarie). Ad esempio, di seguito sono riportati i criteri che concedono al gruppo di utenti DB-MGMT-USER l'autorizzazione per creare una tablespace e utilizzare le credenziali denominate per eseguire questa operazione. 

Allow group DB-MGMT-USER to use dbmgmt-managed-databases in compartment ABC
Allow group DB-MGMT-USER to read dbmgmt-named-credentials in compartment ABC

Per ulteriori informazioni sui tipi di risorsa e le autorizzazioni di Gestione database, vedere Dettagli dei criteri per Gestione database.

Crea credenziali denominate

È possibile creare credenziali denominate per accedere, monitorare e gestire un database gestito nella pagina Dettagli database gestiti.

Nota

È inoltre possibile creare e gestire credenziali denominate nella pagina Amministrazione Credenziali denominate. Per ulteriori informazioni, vedere Creazione e gestione di credenziali denominate.
  1. Andare alla pagina Dettagli database gestiti e nel riquadro sinistro in Risorse, fare clic su Credenziali.
  2. Fare clic sulla scheda Credenziali denominate.
    La lista delle credenziali denominate, se presenti, nel compartimento sono elencate e per visualizzare le credenziali denominate in un altro compartimento, fare clic su Modifica compartimento. È inoltre possibile utilizzare le opzioni dell'elenco a discesa Visualizza per e del campo Cerca per nome per filtrare l'elenco delle credenziali denominate.
  3. Fare clic su Crea credenziale denominata.
  4. Nel pannello Crea credenziale denominata, effettuare le operazioni riportate di seguito.
    1. Fornire le seguenti informazioni nella sezione Generale:
      1. Nome: esaminare il nome univoco visualizzato per la credenziale denominata e, se necessario, modificarlo.
      2. Descrizione: se si desidera, immettere una descrizione per la credenziale denominata.
    2. Esaminare i dettagli del database e impostare la credenziale denominata come credenziale preferenziale, se necessario, nella sezione Risorsa:
      1. Tipo: rivedere il tipo di risorsa. Oracle Database è selezionato per impostazione predefinita e questo campo non può essere modificato.
      2. Ambito: selezionare l'ambito della credenziale denominata:
        • Risorsa: una credenziale denominata con l'ambito Risorsa può essere utilizzata per accedere, monitorare e gestire un singolo database gestito.
        • Globale: è possibile utilizzare una credenziale denominata con l'ambito Globale per accedere, monitorare e gestire tutti i database gestiti.
      3. Nome risorsa: rivedere il nome del database gestito. Questo campo non può essere modificato quando si accede al pannello Crea credenziale denominata dalla pagina Dettagli database gestiti.
        Nota

        Per creare una credenziale denominata per un altro database gestito, andare alla pagina Amministrazione Credenziali denominate.
      4. Imposta come credenziale preferita: facoltativamente, selezionare questa casella di controllo e selezionare una credenziale preferita. Se si sceglie di collegare la credenziale denominata a una credenziale preferita, è possibile utilizzare la credenziale denominata per eseguire i task associati alla credenziale preferita. Per informazioni sulle credenziali preferenziali, vedere Imposta credenziali preferenziali.
        Nota

        Una credenziale preferita è impostata per un determinato database gestito, pertanto la casella di controllo Imposta come credenziale preferita non viene visualizzata se è selezionata l'opzione Ambito Globale.
    3. Specificare i dettagli delle credenziali seguenti:
      • Nome utente: immettere il nome utente del database per connettersi al database gestito.
      • Segreto password utente: selezionare il segreto che contiene la password utente del database dall'elenco a discesa. Se il compartimento in cui risiede il segreto è diverso dal compartimento visualizzato, fare clic su Modifica compartimento e selezionare un altro compartimento.

        Se un segreto esistente con la password utente del database non è disponibile, selezionare Crea nuovo segreto... nell'elenco a discesa. Per informazioni sull'autorizzazione necessaria per creare un segreto e su come crearne uno, vedere Eseguire i task dei prerequisiti e ottenere le autorizzazioni richieste.

      • Ruolo: selezionare il ruolo dalle opzioni disponibili.
      • Modalità di accesso segreto password: selezionare la modalità di accesso segreto password:
        • Utente: l'autorizzazione per accedere al segreto password viene definita per l'utente nel criterio.
        • Risorsa: l'autorizzazione per accedere al segreto password viene definita per il tipo di risorsa (per la quale viene creata la credenziale denominata) nel criterio.

        Per informazioni sui criteri che forniscono l'accesso al segreto con la password utente del database, vedere Eseguire i task dei prerequisiti e ottenere le autorizzazioni richieste.

    4. Facoltativamente, fare clic su Mostra opzioni avanzate per aggiungere tag in formato libero o definite alla credenziale denominata. Se si dispone delle autorizzazioni necessarie per creare una credenziale denominata, si dispone anche delle autorizzazioni per aggiungere tag in formato libero. Per aggiungere una tag definita, è necessario disporre delle autorizzazioni per utilizzare lo spazio di nomi tag.

      Per informazioni su

    5. Facoltativamente, fare clic su Test per verificare se la connessione al database gestito è stata stabilita correttamente utilizzando le credenziali.
    6. Fare clic su Crea per creare la credenziale denominata.
La credenziale denominata appena creata è elencata nella scheda Credenziali denominate della sezione Credenziali e può essere utilizzata per eseguire vari task, ad esempio la creazione di job e SQL Tuning Set. È possibile fare clic sul nome della credenziale denominata per visualizzare informazioni sulle credenziali, ad esempio OCID, ambito e risorse associate (database gestiti) ed eseguire task correlati alle tag.

È possibile fare clic sull'icona Azioni (Azioni) per la credenziale denominata ed eseguire i task riportati di seguito.

  • Test: fare clic per verificare se una connessione viene stabilita con il database gestito utilizzando la credenziale denominata.
  • Modifica: fare clic per modificare e aggiornare la credenziale denominata.
  • Sposta: fare clic per spostare la credenziale denominata dal compartimento corrente a un altro compartimento.
  • Elimina: fare clic per eliminare la credenziale denominata.