Utilizza Oracle API Access Control con Oracle Exadata Database Service on Cloud@Customer e Oracle Exadata Database Service on Dedicated Infrastructure

Introduzione

Oracle API Access Control consente ai clienti di gestire l'accesso alle API REST esposte da Oracle Exadata Database Service on Dedicated Infrastructure e Oracle Exadata Database Service on Cloud@Customer. Designando API specifiche come privilegi, i clienti possono assicurarsi che il richiamo di queste API richieda l'approvazione preventiva da parte di un gruppo autorizzato all'interno della propria tenancy.

Oracle API Access Control aiuta anche nell'integrazione degli audit utilizzando la tecnologia Oracle Cloud Infrastructure (OCI) per applicare un flusso di lavoro specifico.

Una persona richiede l'accesso per eseguire un'operazione con privilegi, un approvatore esamina e approva l'operazione in seguito al quale il piano di controllo OCI esegue la transizione di una risorsa di approvazione speciale in uno stato approvato. Ciò consente al richiedente di inviare un'interfaccia API a una risorsa di destinazione ed eseguire il task desiderato.

Vantaggi principali:

• Rischio ridotto: riduci le eliminazioni accidentali o dannose di servizi di database mission-critical.
• Separazione delle responsabilità: assicurati che l'esecuzione delle API sia diversa dall'approvazione, migliorando la sicurezza e la responsabilità.

Obiettivi

Configura e gestisci il servizio Oracle API Access Control per Oracle Exadata Database Service on Cloud@Customer. Istruzioni simili si applicano a Oracle Exadata Database Service on Dedicated Infrastructure.

• Impostare utenti e gruppi nella tenancy OCI.

• Configurare il criterio Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) per Oracle API Access Control.

• Porta le risorse sotto controllo.

• Dimostrare l'applicazione del controllo API.

• Creare e approvare una richiesta d'accesso.

• Audit delle operazioni approvate.

• Revocare le richieste di controllo dell'accesso API Oracle.

• Modificare o rimuovere i controlli.

• Completare l'audit finale per l'eliminazione del controllo.

Prerequisiti

• Accedi a una tenancy OCI con Oracle Exadata Database Service on Cloud@Customer o Oracle Exadata Database Service on Dedicated Infrastructure.

• Utente creato nella tenancy, in un gruppo con criteri che concedono le autorizzazioni di controllo dell'accesso API Oracle (utente ExaCC Approver in questa esercitazione).

• Un secondo utente creato nella tenancy, in un gruppo con criteri che concedono normali autorizzazioni di gestione dell'infrastruttura e del DB (utente infra-db-admin-user in questa esercitazione).

Task 1: Impostazione di utenti e gruppo nella tenancy OCI

Il primo passo di Oracle API Access Control prevede l'impostazione di utenti e gruppi all'interno della tenancy OCI. Il secondo passo riguarda la configurazione e la gestione delle richieste da parte di questi utenti e gruppi.

1. Eseguire il login a OCI Console, andare a Identità e sicurezza all'interno del dominio di Identity predefinito.

2. Crea utente e gruppo. Un utente denominato ExaCC Approver è stato configurato e questo utente è membro del gruppo ExaCC-API-Approver-grp.

   

Task 2: configurare il criterio IAM OCI per il controllo dell'accesso API Oracle

In questo task, configurare il criterio IAM OCI per consentire al servizio Oracle API Access Control di funzionare e al gruppo ExaCC-API-Approver-grp di gestire il servizio. Le istruzioni dei criteri fornite in questo esempio consentono al servizio di funzionare. La sintassi dei criteri IAM OCI offre un controllo capillare, consentendo un'ulteriore separazione dei compiti.

Esempio di criteri IAM OCI per Oracle API Access Control:

allow group <admin_group/approver_group/managers> to manage privileged-api-family in tenancy
allow any-user TO use database-family IN tenancy where ALL { request.principal.type in ('pactlprivilegedapirequest', 'pactlprivilegedapicontrol') }
allow any-user TO use ons-topics IN tenancy where ALL { request.principal.type in ('pactlprivilegedapirequest', 'pactlprivilegedapicontrol') }
allow group <admin_group/approver_group/managers> to use database-family in tenancy
allow group <admin_group/approver_group/access_request_group> to read domains in tenancy
allow group <admin_group/approver_group/access_request_group> to inspect compartments in tenancy
allow group <admin_group/approver_group/access_request_group> to use ons-topics in tenancy

• La prima riga del criterio concede al gruppo ExaCC-API-Approver-grp l'autorizzazione per gestire privileged-api-family. Ciò significa che possono creare controlli, applicarli ai servizi e approvare le richieste di accesso.

• La seconda linea di criteri consente al software Oracle API Access Control di interagire con il servizio di database all'interno della tenancy.

• La terza linea di criteri consente al software Oracle API Access Control di interagire con gli argomenti di notifica OCI nella tenancy. Ciò è fondamentale per notificare al personale quando le richieste di accesso cambiano i loro stati del ciclo di vita.

Il gruppo di approvatori deve poter utilizzare la famiglia di database, ma non è necessario gestirla. Inoltre, il gruppo di approvazione deve essere in grado di leggere i domini, ispezionare i compartimenti e utilizzare gli argomenti di notifica OCI per le notifiche.

Per ulteriori informazioni sui criteri IAM OCI, vedere Informazioni sui tipi di risorse e sui criteri di controllo dell'accesso delegato.

Task 3: Controllo delle risorse

Con Oracle API Access Control e i relativi criteri in atto, esegui il login come utente Oracle API Access Control per tenere sotto controllo le risorse.

1. Andare a OCI Console, andare a Oracle Database, API Access Control e fare clic su Crea controllo API con privilegi.

   

2. Selezionare il compartimento (ExaCC) e creare un nuovo controllo.

3. Immettere un valore nei campi Nome e Descrizione per il controllo.

4. Selezionare un tipo di risorsa: selezionare Infrastruttura Exadata per questa esercitazione.

   • Exadata Cloud Infrastructure per Oracle Exadata Database Service on Dedicated Infrastructure in OCI o Oracle Multicloud.
   • Infrastruttura Exadata per Oracle Exadata Database Service on Cloud@Customer.

   

5. Selezionare il compartimento dell'infrastruttura Exadata: l'infrastruttura Exadata si trova in un compartimento separato (eccw-infrastructure).

6. Seleziona infrastruttura Exadata: l'infrastruttura da sottoporre a controllo è eccw-infrastructure.

7. Selezionare le API che si desidera controllare per l'infrastruttura.

   Ad esempio:

   • È possibile proteggere le eliminazioni dell'infrastruttura.
   • Per un cluster VM (Virtual Machine), puoi proteggere aggiornamenti, eliminazioni, aggiunta/rimozione di VM e modifica dei compartimenti.
   • Per gli aggiornamenti del cluster VM, è possibile selezionare vari attributi come privilegi, ad esempio la modifica dei conteggi delle memorie centrali CPU (che influisce sul software di ridimensionamento automatico) o delle chiavi pubbliche SSH.
   • Puoi anche controllare:
     • API home del database, ad esempio eliminazioni.
     • API delle virtual machine, ad esempio aggiornamenti e creazione di connessioni alla console.
     • API di rete cluster VM, inclusi ridimensionamenti, aggiornamenti ed eliminazioni.
     • API del database container, che includono eliminazioni, rotazioni delle chiavi di gestione della cifratura dei dati trasparente, aggiornamenti e aggiornamenti.
     • API di pluggable database, con azioni quali l'avvio/arresto, l'aggiornamento, l'aggiornamento e l'eliminazione dei pluggable database. In questo esempio, si desidera applicare controlli per la modifica dei conteggi delle memorie centrali CPU (7a) e dell'eliminazione di CDB (7b).

   Nota: i controlli assegnati possono essere modificati dopo la creazione del controllo iniziale, ma le modifiche richiedono anche il processo di approvazione del controllo dell'accesso API Oracle.

8. In Informazioni approvazione selezionare Usa criterio IAM per informazioni sull'approvazione. Questa operazione è obbligatoria quando si utilizza una tenancy con domini di Identity.

9. Facoltativamente, è possibile richiedere una seconda approvazione per i sistemi particolarmente sensibili, che richiede l'approvazione di una richiesta di accesso da parte di due identità separate.

10. Selezionare un argomento di notifica: è necessario selezionare un argomento di notifica OCI per le notifiche delle richieste di accesso e fare clic su Crea. Dopo aver creato il controllo, per connettersi sono necessari alcuni minuti.

    Le immagini seguenti mostrano la creazione di un argomento di notifica OCI, la creazione e la configurazione di una sottoscrizione.

    

    

Nota: i record di audit OCI sono collegati ai compartimenti in cui risiedono le risorse. Pertanto, quando si crea questo controllo dell'accesso API Oracle nel compartimento ExaCC, i record di audit relativi alla gestione del ciclo di vita sui controlli API verranno trovati lì. Gli aggiornamenti all'infrastruttura Exadata, posizionati nel compartimento eccw-infrastructure, faranno sì che i record di audit vengano visualizzati nel compartimento eccw-infrastructure.

Task 4: Dimostrare l'applicazione del controllo API

Per dimostrare come l'API controlla il sistema, attenersi alla procedura riportata di seguito.

1. Eseguire il login a OCI Console come utente infra-db-admin-user.

2. Seleziona Oracle Database Service on Cloud at Customer.

3. Selezionare il cluster virtual machine e l'infrastruttura Exadata.

4. Verrà visualizzato il cluster VM eccw-cl3 con Oracle API Access Control abilitato.

5. Se si tenta di modificare il conteggio ECPU per VM direttamente dal menu, l'operazione verrà negata in quanto non è consentita per la risorsa corrente.

   

6. Analogamente, se si tenta di arrestare un database, l'operazione non sarà consentita.

7. Per verificare il record di audit da OCI Console.

   1. Passare a Osservabilità e gestionale.

   2. Selezionare Log e fare clic su Audit.

   3. Selezionare il compartimento ExaCC.

   4. Audit per azioni quali PUT e POST o modifiche di stato.

   Nel compartimento eccw-infrastructure verrà visualizzato un errore Non trovato (404) che indica che il controllo dell'accesso API Oracle per l'approvazione non ha superato la richiesta.

   

Task 5: Creazione e approvazione di una richiesta di accesso

1. Andare a OCI Console, andare a Oracle Database e fare clic su Controllo accesso API.

2. Fare clic su Crea richiesta di accesso privilegiato, in cui è possibile creare una richiesta per aggiornare il conteggio delle memorie centrali CPU.

   1. Compartimento: selezionare ExaCC compartimento.

   2. Numeri dei biglietti: aggiungere un riferimento a un ticket (testo in formato libero).

   3. Tipo di risorsa: il tipo di risorsa è il cluster VM.

   4. Selezionare le operazioni con privilegi: richiesta di aggiornare il cluster VM cpuCoreCount. Se necessario, è possibile aggiungere altre operazioni per una singola finestra di accesso.

      

   5. È possibile richiedere l'accesso per una data futura per la manutenzione pianificata o immediatamente.

   6. Selezionare un argomento di notifica: selezionare un argomento da notificare e fare clic su Crea.

      

   Nel compartimento in cui viene creata la richiesta di accesso, la verrà visualizzata in stato Ridotto.

   

   Se si tenta di approvarlo personalmente, si riceverà un errore che indica che un altro utente deve approvarlo.

3. Accedere al sistema come utente approvatore ExaCC Approver. È possibile visualizzare le richieste di accesso nel compartimento.

   

   Una notifica via email sarà inviata ai membri del ExaCC-API-Approver-grp.

   

4. È possibile accedere alla richiesta sollevata.

   

5. Rivedere la richiesta per UpdateVmCluster cpuCoreCount e approvarla immediatamente oppure selezionare un'ora futura.

   

   

6. Una volta approvata la richiesta di accesso, tornare alla risorsa cluster VM e aggiornare il conteggio ECPU per VM. Il sistema ora consentirà la modifica del conteggio ECPU per VM.

Task 6: operazioni di audit approvate

Dal punto di vista dell'audit.

1. Andare alla console OCI, andare a Osservabilità e gestione e selezionare Audit.

2. Andare al compartimento in cui è configurata la richiesta di accesso al controllo dell'accesso API Oracle. Vedere POSTs e PUTs.

3. Si noterà che l'utente infra-db-admin-user ha creato una richiesta di accesso a Oracle API Access Control.

   

4. Verranno visualizzate le richieste non valide (400) quando si tenta di approvarle personalmente.

   

   

5. Si vedrà che ExaCC Approver ha approvato la richiesta di accesso.

   

Analogamente, quando si esamina il compartimento eccw-infrastructure, si osserverà l'aggiornamento al cluster VM che si è verificato dopo l'approvazione. Puoi vedere l'inizio dell'aggiornamento del cluster VM e il controllo dell'accesso API è stato approvato, che indica che le API verranno inviate in avanti.

Task 7: Revoca richieste di controllo dell'accesso API Oracle

Una richiesta di controllo dell'accesso API Oracle può essere revocata dalla persona che l'ha sottomessa o dall'approvatore. Una volta revocata una richiesta, qualsiasi tentativo di eseguire l'azione non sarà consentito.

Dal punto di vista del controllo nel compartimento eccw-infrastructure, è possibile osservare i metodi PUT e POST. Verranno visualizzati gli aggiornamenti del cluster VM consentiti dopo l'approvazione, nonché gli errori per gli aggiornamenti del cluster VM che si sono verificati perché la richiesta di accesso non è stata approvata. Quando si esamina la gestione del ciclo di vita delle richieste di accesso stesse, è possibile vedere quando la richiesta è stata aperta, l'errore 400 per l'autoapprovazione e l'approvazione riuscita da parte di un altro utente.

Task 8: Modifica o rimuovi controlli

• Se si tenta di rimuovere un controllo, il software creerà automaticamente una richiesta di controllo dell'accesso API Oracle per conto dell'utente per rimuoverlo.

  

• Se si tenta di approvare la propria azione per rimuovere il controllo, vengono applicate le stesse regole di applicazione (verrà negata).

  

• Se un altro utente (ad esempio, un altro utente di test con diritti di approvazione delle richieste di accesso) approva la richiesta di accesso, può eliminare o rimuovere la risorsa.

Task 9: Completa audit finale per eliminazione controllo

Dal punto di vista dell'audit per l'eliminazione del controllo.

• È possibile visualizzare il tentativo infra-db-admin-user di eliminare il controllo API con privilegi e ricevere un errore 400.

• Quindi, è possibile visualizzare un altro utente ExaCC Approver che approva la richiesta di accesso API con privilegi, ottenendo così uno stato 200 (riuscito).

• Infine, infra-db-admin-user emette il comando delete e l'eliminazione verrà eseguita con uno stato OK (202).

Collegamenti correlati

• Oracle Exadata Database Service on Cloud@Customer

• Controllo dell'accesso a Oracle API

• Video dimostrativo sul controllo dell'accesso API

Conferme

• Autore - Filip Vercauteren (Exadata Cloud@Customer Black Belt)

• Contributori - Matthieu Bordonne (Master Principal Sales Consultant - EMEA Solution Center), Zsolt Szokol (Exadata Cloud@Customer Black Belt), Jeffrey Wright (Distinguished Product Manager)

Altre risorse di apprendimento

Esplora altri laboratori su docs.oracle.com/learn o accedi a più contenuti di formazione gratuiti sul canale YouTube di Oracle Learning. Inoltre, visitare education.oracle.com/learning-explorer per diventare Oracle Learning Explorer.

Per la documentazione del prodotto, visitare Oracle Help Center.

---

Titolo e informazioni sul copyright

Use Oracle API Access Control with Oracle Exadata Database Service on Cloud@Customer and Oracle Exadata Database Service on Dedicated Infrastructure

G39125-01

Copyright ©2025, Oracle and/or its affiliates.