Oracle API Access Controlを使用すると、様々なデータベース・クラウド・サービスによって公開されるREST APIへのアクセスを管理できます。

特定のAPIを特権として指定することで、お客様は、これらのAPIを呼び出す際に、テナンシ内の認可されたグループからの事前承認が必要であることを確認できます。

機能

• APIを特権としてマーク: データの整合性やサービスの可用性に影響を与える可能性のある重要なAPIを特定します。
• 承認ワークフロー: 特権APIが起動される前に、APIを起動するユーザーは、OCIアイデンティティを使用してアクセス・リクエストを発行する必要があり、リソースのアクセス・リクエストを承認する権限がある別のOCIアイデンティティは、アクセス・リクエストを承認する必要があります。
• セキュリティの強化: このワークフローは、データベース、Grid Infrastructure、仮想マシン、ネットワークリソースの変更や削除など、機密性の高いアクションの不正または偶発的な実行を防ぐのに役立ちます。

  ワークフローでは、クラウド管理者アカウントなど、アクセスの要求およびアクセスの承認のために異なるアイデンティティが必要です。

主な利点:

• リスクの軽減: ミッションクリティカルなデータベース・サービスの偶発的または悪意のある削除を最小限に抑えます。
• 職務の分離: APIの実行が承認と異なることを確認し、セキュリティと説明責任を強化します。

Oracle API Access Controlは、重要な操作のための追加の認可レイヤーを追加することで、OCIデータベース・クラウド・サービスのセキュリティを強化します。クラウドExadataインフラストラクチャで有効にすると、関連するクラウドVMクラスタおよびコンテナ・データベースに保護が拡張されます。

主な機能:

1. 特権API保護の有効化: 顧客管理者は、データベース・クラウド・サービスによって公開されるリソースに対してOracle API Access Controlを有効にできます。
2. 特権APIの指定: 管理者は、特定のAPIを特権として分類し、制御されたアクセスを保証できます。
3. 特権APIのファイングレインIAMポリシー:
   • APIアクセス・リクエストを承認できるグループを定義します。
   • APIアクセス・リクエストを作成および承認するための個別の権限を付与します。
4. 要求および承認管理:
   • 管理者または指定されたグループは、APIアクセス・リクエストを承認または拒否できます。
   • ユーザーは、APIアクセスの詳細な理由を送信する必要があります。
   • ユーザーは、必要に応じて承認済要求を拡張またはクローズできます。
5. 承認ワークフロー管理:
   • 失効間近のワークフローや保留中のワークフローの処理など、承認のワークフローを管理します。
   • 承認者に定期的なリマインダを送信して、未参加のままの保留中のリクエストを処理します。

データベース・コントロール・プレーンAPIを使用して、データベースおよびVMの管理タスクを実行できます。

次のDatabase Cloud Service APIは、APIアクセス制御で保護されます。セキュリティと制御されたアクセスを強化するために、これらのAPIを起動する前に事前承認が必要です。