Tarefa 7: Configurar o Controle de Acesso Baseado em Atribuição para o Oracle Database@Azure
Use o controle de acesso baseado em atribuição (RBAC) para controlar o acesso do usuário aos recursos do Oracle Database@Azure.
Esta tarefa tem instruções para configurar o Azure RBAC para o Oracle Autonomous Database e o Oracle Exadata Database Service. Observe o seguinte:
- Os clientes do Pay as You Go (Pague Quanto Usa) só precisam concluir as instruções para o Autonomous Database.
- Os clientes de oferta privada que desejam provisionar o Autonomous Database e o Exadata Database Service precisam concluir ambos os conjuntos de instruções neste tópico. Caso contrário, conclua o conjunto de instruções que corresponde ao serviço de banco de dados que você planeja usar.
Grupos e Atribuições do Autonomous Database
| Nome do Grupo do Azure | Designação de Atribuições do Azure | Objetivo |
|---|---|---|
| odbaa-adbs-db-administrators |
Oracle.Database Administrador do Autonomous Database |
Este grupo é para administradores que precisam gerenciar todos os recursos do Oracle Autonomous Database no Azure. |
| odbaa-db-família-administradores | NONE |
Esse grupo é replicado no OCI durante o processo opcional de federação de identidades. Este grupo é para administradores que precisam gerenciar todos os recursos do Oracle Database Service no OCI. |
| odbaa-db-família-leitores | Leitor Oracle.Database |
Esse grupo é replicado no OCI durante o processo opcional de federação de identidades. Este grupo é para leitores que precisam exibir todos os recursos do Oracle Database na OCI. |
| odbaa-rede-administradores | NONE |
Esse grupo é replicado no OCI durante o processo opcional de federação de identidades. Este grupo é para administradores que precisam gerenciar todos os recursos de rede no OCI. |
| odbaa-costmgmt-administrators | NONE |
Esse grupo é replicado no OCI durante o processo opcional de federação de identidades. Este grupo é para administradores que precisam gerenciar recursos de custo e faturamento na OCI. |
Para configurar o controle de acesso baseado em atribuição no portal do Azure para o Autonomous Database
-
Acesse o portal do Azure em https://portal.azure.com/.
-
Procure "EntraID" na ferramenta de pesquisa do Azure e selecione Microsoft Entra ID nos resultados da pesquisa para navegar até a página EntraID Visão Geral.
-
Selecione Grupos para navegar até a página de grupos. Em seguida, selecione Todos os grupos.
-
Selecione Novo grupo e especifique as seguintes informações:
- Tipo de grupo: Segurança
- Nome do grupo: Informe um nome de grupo na tabela de grupos e atribuições do Autonomous Database neste tópico. Essa tabela também está disponível na referência Grupos e atribuições no Azure.
- Descrição do grupo: Informe uma descrição do grupo para ajudá-lo a identificá-lo posteriormente. Você pode usar as descrições fornecidas na coluna Finalidade da tabela no início deste tópico.
Selecione Criar para criar o novo grupo.
- Repita a etapa anterior para criar novos grupos para todos os grupos do Azure listados na tabela deste tópico.
-
Navegue até a página Assinaturas no portal do Azure e, em seguida, localize sua assinatura do Azure na página. Clique no nome da assinatura para exibir os detalhes da assinatura. Consulte Exibir todas as assinaturas na documentação do Azure para obter mais informações.
-
Na seção Controle de Acesso (IAM) da página de detalhes da assinatura do Azure, clique em +Add e selecione a opção Adicionar designação de atribuição.
-
Procure qualquer uma das atribuições do Autonomous Database listadas na tabela deste tópico. Por exemplo,
Oracle.Database Reader. Selecione a função e clique em Próximo.
-
Na guia Membros do fluxo de trabalho Adicionar atribuição de função, selecione +Select Membros.
-
Procure por "odbaa" no campo de pesquisa. Os grupos que começam com "odbaa" são exibidos. Selecione um nome de grupo para selecioná-lo. Por exemplo: "odbaa-db-family-readers".
-
Na guia Membros, selecione Revisar + designar.
- Repita as etapas de 7 a 11 para cada grupo do Autonomous Database do Azure que tenha designações de atribuição especificadas na tabela.
Grupos e Atribuições do Exadata
| Nome do Grupo do Azure | Designação de Atribuições do Azure | Objetivo |
|---|---|---|
| odbaa-exa-infra-administradores | Oracle.Database Administrador do Exadata Infrastructure | Este grupo destina-se a administradores que precisam gerenciar todos os recursos do Exadata Database Service no Azure. Os usuários com esta atribuição têm todas as permissões concedidas por "odbaa-vm-cluster-administrators". |
| odbaa-vm-cluster-administradores | Oracle.Database VmCluster Administrador | Este grupo destina-se a administradores que precisam gerenciar recursos de cluster de VMs no Azure. |
| odbaa-db-família-administradores | NONE |
Esse grupo é replicado no OCI durante o processo opcional de federação de identidades. Este grupo é para administradores que precisam gerenciar todos os recursos do Oracle Database Service no OCI. |
| odbaa-db-família-leitores | Leitor Oracle.Database |
Esse grupo é replicado no OCI durante o processo opcional de federação de identidades. Este grupo é para leitores que precisam exibir todos os recursos do Oracle Database na OCI. |
| administradores de odbaa-exa-cdb | NONE |
Esse grupo é replicado no OCI durante o processo opcional de federação de identidades. Este grupo é para administradores que precisam gerenciar todos os recursos do CDB no OCI. |
| administradores de odbaa-exa-pdb | NONE |
Esse grupo é replicado no OCI durante o processo opcional de federação de identidades. Este grupo é para administradores que precisam gerenciar todos os recursos do PDB no OCI. |
| odbaa-rede-administradores | NONE |
Esse grupo é replicado no OCI durante o processo opcional de federação de identidades. Este grupo é para administradores que precisam gerenciar todos os recursos de rede no OCI. |
| odbaa-costmgmt-administrators | NONE |
Esse grupo é replicado no OCI durante o processo opcional de federação de identidades. Este grupo é para administradores que precisam gerenciar recursos de custo e faturamento na OCI. |
Para configurar o controle de acesso baseado em atribuição no portal do Azure para o Exadata Database
-
Acesse o portal do Azure em https://portal.azure.com/.
-
Procure "EntraID" na ferramenta de pesquisa do Azure e selecione Microsoft Entra ID nos resultados da pesquisa para navegar até a página EntraID Visão Geral.
-
Selecione Grupos para navegar até a página de grupos. Em seguida, selecione Todos os grupos.
-
Clique em Novo grupo e digite as seguintes informações:
- Tipo de grupo: Segurança
- Nome do grupo: Informe um nome de grupo dos grupos e atribuições do Exadata da tabela neste tópico. Essa tabela também está disponível na referência Grupos e atribuições no Azure.
- Descrição do grupo: Informe uma descrição do grupo para ajudá-lo a identificá-lo posteriormente. Você pode usar as descrições fornecidas na coluna Finalidade da tabela de grupos e atribuições do Exadata.
Clique em Criar para criar o novo grupo.
- Repita a etapa anterior para criar novos grupos para todos os grupos do Azure listados na tabela deste tópico.
-
Navegue até a página Assinaturas no portal do Azure e, em seguida, localize sua assinatura do Azure na página. Clique no nome da assinatura para exibir os detalhes da assinatura. Consulte Exibir todas as assinaturas na documentação do Azure para obter mais informações.
-
Na página de detalhes da sua assinatura, clique em Controle de Acesso (IAM), depois clique em +Add e selecione a opção Adicionar designação de atribuição.
-
Procure qualquer uma das atribuições listadas na tabela de grupos e atribuições do Exadata neste tópico. Por exemplo,
Oracle.Database Reader. Selecione a função e clique em Próximo. -
Na guia Membros do fluxo de trabalho Adicionar designação de atribuição, clique em +Select Membros.
-
Procure por "odbaa" no campo de pesquisa. Os grupos que começam com "odbaa" são exibidos. Clique no nome de um grupo para selecioná-lo. Por exemplo: "odbaa-db-family-readers".
-
Na guia Membros, clique em Revisar + designar.
- Repita as etapas de 12 a 16 para cada grupo do Azure listado na tabela de grupos e atribuições do Exadata que têm designações de atribuição especificadas na tabela.
O Que vem a seguir?
O Oracle Database@Azure está pronto para uso. Agora você pode fazer o seguinte:
- Configure a federação de identidade para o Oracle Database@Azure (opcional). A federação permite que os usuários acessem a tenancy do OCI associada ao serviço usando as credenciais do Azure Entra ID. Consulte Tarefa 8: Configurar Federação de Identidade (Opcional) para obter detalhes.
- Se você não usar a federação de identidades, poderá adicionar usuários adicionais na Console do OCI. Consulte Visão Geral do Serviço IAM e Gerenciando Usuários para obter mais informações. Opcionalmente, você pode registrar usuários no My Oracle Support para permitir que eles abram solicitações de serviço.
- Revise as sugestões em O que vem depois da admissão?