Configurando o Acesso à Rede com Regras de Controle de Acesso (ACLs)

A especificação de uma lista de controle de acesso bloqueia o acesso de todos os endereços IP que não estão na ACL ao banco de dados. Depois de especificar uma lista de controle de acesso, o Autonomous Database só aceita conexões de endereços na lista de controle de acesso e o banco de dados rejeita todas as outras conexões clientes.

Configurar Listas de Controle de Acesso ao Provisionar ou Clonar uma Instância

Ao provisionar ou clonar o Autonomous Database com a opção Proteger o acesso apenas de IPs e VCNs permitidos, você pode restringir o acesso à rede definindo Listas de Controle de Acesso (ACLs).

Consulte Provisionar uma Instância do Autonomous Database para obter informações sobre o provisionamento do seu Autonomous Database.

Configure ACLs da seguinte forma:

  1. Na área Escolher acesso à rede, selecione Acesso seguro apenas de IPs e VCNs permitidos.

    Com a opção Acesso seguro apenas de IPs e VCNs permitidos selecionada, a console mostra os campos e as opções para especificar ACLs:

    Veja a seguir a descrição da ilustração adb_network_access_acl_provision.png
    Descrição da ilustração adb_network_access_acl_provision.png
  2. Na área Escolher acesso à rede, especifique regras de controle de acesso selecionando um tipo de notação IP e informando Valores apropriados para o tipo selecionado:
    • IP endereço:

      No campo Valor, insira valores para o endereço IP. Um endereço IP especificado em uma entrada ACL de rede é o endereço IP público do cliente que é visível na internet pública ao qual você deseja conceder acesso. Por exemplo, para uma VM do Oracle Cloud Infrastructure, esse é o endereço IP mostrado no campo IP Público na console do Oracle Cloud Infrastructure dessa VM.

      Observação

      Opcionalmente, selecione Adicionar meu endereço IP para adicionar seu endereço IP atual à entrada ACL.
    • Bloco CIDR:

      No campo Valores, insira valores para o bloco CIDR. O bloco CIDR especificado é o bloco CIDR público dos clientes que estão visíveis na internet pública ao qual você deseja conceder acesso.

    • Rede virtual na nuvem:

      Use essa opção quando a rota de rede do cliente para o banco de dados estiver passando por um Oracle Cloud Infrastructure Service Gateway. Consulte Acesso ao Oracle Services: Gateway de Serviço para obter mais informações.

      Use essa opção para especificar a VCN a ser usada com um Oracle Cloud Infrastructure Service Gateway:

      • No campo Rede virtual na nuvem, selecione a VCN da qual você deseja conceder acesso. Se você não tiver os privilégios para ver as VCNs em sua tenancy, essa lista estará vazia. Nesse caso, use a seleção Virtual cloud network (OCID) para especificar o OCID da VCN.
      • Opcionalmente, no campo Endereços IP ou CIDRs, informe endereços IP privados ou blocos CIDR privados como uma lista separada por vírgulas para permitir clientes específicos na VCN.
    • Rede virtual na nuvem (OCID):

      Use essa opção quando a rota de rede do cliente para o banco de dados estiver passando por um Oracle Cloud Infrastructure Service Gateway. Consulte Acesso ao Oracle Services: Gateway de Serviço para obter mais informações.

      • No campo Valores, informe o OCID da VCN da qual você deseja conceder acesso.
      • Opcionalmente, no campo Endereços IP ou CIDRs, informe endereços IP privados ou blocos CIDR privados como uma lista separada por vírgulas para permitir clientes específicos na VCN.

    Se você quiser especificar vários endereços IP ou faixas de CIDR dentro da mesma VCN, não crie várias entradas de ACL. Use uma entrada de ACL com os valores para vários endereços IP ou faixas de CIDR separados por vírgulas.

  3. Clique em Adicionar regra de controle de acesso para adicionar um novo valor à lista de controle de acesso.
  4. Clique em x para remover uma entrada.
    Você também pode limpar o valor no campo endereços IP ou blocos CIDR para remover uma entrada.
  5. Exija autenticação mTLS (TLS mútuo).

    Depois de inserir um tipo de notação IP e um valor, você terá a opção de marcá-la. As opções são:

    • Quando a opção Exigir autenticação mTLS (TLS mútuo) está selecionada, somente conexões mTLS são permitidas (a autenticação TLS não é permitida).

    • Quando a opção Exigir autenticação mTLS (TLS mútuo) está desmarcada, conexões TLS e mTLS são permitidas. Essa é a configuração padrão.

    Consulte Atualizar Opções de Rede para Permitir TLS ou Exigir Apenas Autenticação mTLS (TLS Mútuo) no Autonomous Database para obter mais informações.

  6. Conclua as etapas restantes de provisionamento ou clonagem, conforme especificado em Provisionar uma Instância do Autonomous Database, Clonar uma Instância do Autonomous Database ou Clonar um Autonomous Database de um Backup.

Após a conclusão do provisionamento, você pode atualizar ACLs de ponto final público ou pode alterar a configuração do Autonomous Database para usar um ponto final privado.

Consulte Configurar Listas de Controle de Acesso para uma Instância Existente do Autonomous Database para obter informações sobre como atualizar ACLs.

Consulte Alterar de Pontos Finais Públicos para Privados com o Autonomous Database para obter informações sobre alteração para um ponto final privado.

Configurar Listas de Controle de Acesso para uma Instância Existente do Autonomous Database

Você pode controlar e restringir o acesso ao seu Autonomous Database especificando listas de controle de acesso à rede (ACLs). Em uma instância existente do Autonomous Database com um ponto final público, você pode adicionar, alterar ou remover ACLs.

Configure ACLs ou adicione, remova ou atualize ACLs existentes para uma instância do Autonomous Database da seguinte forma:

  1. Na página Detalhes, na área Rede, ao lado do Campo da lista de controle de acesso, clique em Editar.

    Mostra o painel Atualizar acesso à rede.

    Veja a seguir a descrição da ilustração adb_network_access_update.png
    Descrição da ilustração adb_network_access_update.png

    Como alternativa, você pode clicar em Mais ações e selecionar Atualizar acesso à rede. No painel, em Tipo de acesso, selecione Acesso seguro apenas de IPs e VCNs permitidos.

  2. Especifique as regras de controle de acesso selecionando um tipo de notação IP e valores:

    Selecione entre

    • IP endereço:

      No campo Valor, insira valores para o endereço IP. Um endereço IP especificado em uma entrada ACL de rede é o endereço IP público do cliente que é visível na internet pública ao qual você deseja conceder acesso. Por exemplo, para uma VM do Oracle Cloud Infrastructure, esse é o endereço IP mostrado no campo IP Público na console do Oracle Cloud Infrastructure dessa VM.

      Observação

      Opcionalmente, selecione Adicionar meu endereço IP para adicionar seu endereço IP atual à entrada ACL.
    • Bloco CIDR:

      No campo Valores, insira valores para o bloco CIDR. O bloco CIDR especificado é o bloco CIDR público dos clientes que estão visíveis na internet pública ao qual você deseja conceder acesso.

    • Rede virtual na nuvem:

      Use essa opção quando a rota de rede do cliente para o banco de dados estiver passando por um Oracle Cloud Infrastructure Service Gateway. Consulte Acesso ao Oracle Services: Gateway de Serviço para obter mais informações.

      Use essa opção para especificar a VCN a ser usada com um Oracle Cloud Infrastructure Service Gateway:

      • No campo Rede virtual na nuvem, selecione a VCN da qual você deseja conceder acesso. Se você não tiver os privilégios para ver as VCNs em sua tenancy, essa lista estará vazia. Nesse caso, use a seleção Virtual cloud network (OCID) para especificar o OCID da VCN.
      • Opcionalmente, no campo Endereços IP ou CIDRs, informe endereços IP privados ou blocos CIDR privados como uma lista separada por vírgulas para permitir clientes específicos na VCN.
    • Rede virtual na nuvem (OCID):

      Use essa opção quando a rota de rede do cliente para o banco de dados estiver passando por um Oracle Cloud Infrastructure Service Gateway. Consulte Acesso ao Oracle Services: Gateway de Serviço para obter mais informações.

      • No campo Valores, informe o OCID da VCN da qual você deseja conceder acesso.
      • Opcionalmente, no campo Endereços IP ou CIDRs, informe endereços IP privados ou blocos CIDR privados como uma lista separada por vírgulas para permitir clientes específicos na VCN.

    Se você quiser especificar vários endereços IP ou faixas de CIDR dentro da mesma VCN, não crie várias entradas de ACL. Use uma entrada de ACL com os valores para vários endereços IP ou faixas de CIDR separados por vírgulas.

  3. Clique em Adicionar controle de acesso para adicionar um novo valor à lista de controle de acesso.
  4. Clique em x para remover uma entrada.
    Você também pode limpar o valor no campo endereços IP ou blocos CIDR para remover uma entrada.
  5. Clique em Atualizar.

Se o estado do Ciclo de Vida for Disponível, quando você clicar em Atualizar, o estado do Ciclo de Vida será alterado para Atualizando até que a ACL seja definida. O banco de dados ainda está ativo e acessível; não há inatividade. Quando a atualização for concluída, o estado do Ciclo de Vida retornará para Disponível e as ACLs de rede da lista de controle de acesso entrarão em vigor.

Alterar de Pontos Finais Privados para Públicos com o Autonomous Database

Se sua instância do Autonomous Database estiver configurada para usar um ponto final privado, você poderá alterar a configuração para usar um ponto final público.

Há vários pré-requisitos para alterar uma instância de um ponto final privado para um público, como se segue:

Para especificar um ponto final público para o seu Autonomous Database, faça o seguinte:

  1. Na página Detalhes, na lista drop-down Mais ações, selecione Atualizar acesso à rede.
  2. Na caixa de diálogo Atualizar acesso à rede, selecione uma destas opções: Acesso seguro de todos os lugares ou Somente acesso seguro de IPs e VCNs permitidos.

    Por exemplo, se você selecionar Acesso seguro apenas de IPs e VCNs permitidos, a caixa de diálogo mostrará campos para configurar regras de controle de acesso:

    Veja a seguir a descrição da ilustração adb_network_access_update.png
    Descrição da ilustração adb_network_access_update.png
  3. Na caixa de diálogo, em Configurar regras de controle de acesso, especifique regras selecionando um tipo de notação IP e os valores:
    • IP endereço:

      No campo Valor, insira valores para o endereço IP. Um endereço IP especificado em uma entrada ACL de rede é o endereço IP público do cliente que é visível na internet pública ao qual você deseja conceder acesso. Por exemplo, para uma VM do Oracle Cloud Infrastructure, esse é o endereço IP mostrado no campo IP Público na console do Oracle Cloud Infrastructure dessa VM.

      Observação

      Opcionalmente, selecione Adicionar meu endereço IP para adicionar seu endereço IP atual à entrada ACL.
    • Bloco CIDR:

      No campo Valores, insira valores para o bloco CIDR. O bloco CIDR especificado é o bloco CIDR público dos clientes que estão visíveis na internet pública ao qual você deseja conceder acesso.

    • Rede virtual na nuvem:

      Use essa opção quando a rota de rede do cliente para o banco de dados estiver passando por um Oracle Cloud Infrastructure Service Gateway. Consulte Acesso ao Oracle Services: Gateway de Serviço para obter mais informações.

      • No campo Rede virtual na nuvem, selecione a VCN da qual você deseja conceder acesso. Se você não tiver os privilégios para ver as VCNs em sua tenancy, essa lista estará vazia. Nesse caso, use a seleção Virtual cloud network (OCID) para especificar o OCID da VCN.
      • Opcionalmente, no campo Endereços IP ou CIDRs, informe endereços IP privados ou blocos CIDR privados como uma lista separada por vírgulas para permitir clientes específicos na VCN.
    • Rede virtual na nuvem (OCID):

      Use essa opção quando a rota de rede do cliente para o banco de dados estiver passando por um Oracle Cloud Infrastructure Service Gateway. Consulte Acesso ao Oracle Services: Gateway de Serviço para obter mais informações.

      • No campo Valores, informe o OCID da VCN da qual você deseja conceder acesso.
      • Opcionalmente, no campo Endereços IP ou CIDRs, informe endereços IP privados ou blocos CIDR privados como uma lista separada por vírgulas para permitir clientes específicos na VCN.

    Se você quiser especificar vários endereços IP ou faixas de CIDR dentro da mesma VCN, não crie várias entradas de ACL. Use uma entrada de ACL com os valores para vários endereços IP ou faixas de CIDR separados por vírgulas.

  4. Clique em Adicionar regra de controle de acesso para adicionar um novo valor à lista de controle de acesso.
  5. Clique em x para remover uma entrada.
    Você também pode limpar o valor no campo endereços IP ou blocos CIDR para remover uma entrada.
  6. Clique em Atualizar.
  7. Na caixa de diálogo Confirmar, digite o nome do Autonomous Database para confirmar a alteração.
  8. Na caixa de diálogo Confirmar, clique em Atualizar.

O estado do Ciclo de Vida muda para Atualizando até a conclusão da operação.

Observações para alterar o acesso à rede de ponto final privado para ponto final público:

  • Após atualizar o tipo de acesso à rede, todos os usuários do banco de dados devem obter uma nova wallet e usar a nova wallet para acessar o banco de dados. Consulte Fazer Download das Credenciais do Cliente (Wallets) para obter mais informações.

  • Após a conclusão da atualização, você pode alterar ou definir novas ACLs de regras de controle de acesso para o ponto final público. Consulte Configurar Listas de Controle de Acesso para uma Instância Existente do Autonomous Database para obter mais informações.

  • O URL do Database Actions e das Ferramentas de Banco de Dados são diferentes quando um banco de dados usa um ponto final privado em comparação com o uso de um ponto final público. Clique em Database Actions na Console do Oracle Cloud Infrastructure para encontrar o URL atualizado do Database Actions e, no Database Actions, clique nos cartões apropriados para encontrar os URLs atualizados das Ferramentas de Banco de Dados, após a alteração de um ponto final privado para um público.

Restrições e Observações da Lista de Controle de Acesso

Descreve restrições e observações para regras de controle de acesso no Autonomous Database.

  • Consulte Intervalos de Endereços IP para obter informações sobre os intervalos de endereços IP públicos no Oracle Cloud Infrastructure. Você deve permitir o tráfego para esses blocos CIDR para garantir o acesso a uma instância do Autonomous Database em um ponto final público.

  • Se você quiser permitir conexões somente por meio de um gateway de serviço, será necessário usar o endereço IP do gateway de serviço na sua definição de ACL. Para isso, você precisa adicionar uma definição ACL com o tipo de origem CIDR com o valor 240.0.0.0/4. Observe que isso não é recomendado; em vez disso, você pode especificar VCNs individuais em sua definição de ACL para as VCNs das quais deseja permitir acesso.

    Consulte Acesso ao Oracle Services: Gateway de Serviço para obter mais informações.

  • Ao restaurar um banco de dados, as ACLs existentes não são substituídas pela restauração.

  • As ACLs de rede se aplicam às conexões de banco de dados e aos notebooks do Oracle Machine Learning. Se uma ACL for definida, se você tentar fazer log-in nos Notebooks do Oracle Machine Learning de um cliente cujo IP não esteja especificado na ACL, o erro "log-in rejeitado com base na lista de controle de acesso definida pelo administrador" será mostrado.

  • As ferramentas do Autonomous Database a seguir estão sujeitas a ACLs. Você pode usar Rede Virtual na Nuvem, Rede Virtual na Nuvem (OCID), endereço IP ou ACLs de bloco CIDR para controlar o acesso a estas ferramentas:

    • Database Actions
    • Oracle APEX
    • Oracle Graph Studio
    • Oracle Machine Learning Notebooks
    • Oracle REST Data Services
  • Se você tiver uma sub-rede privada em sua VCN configurada para acessar a internet pública por meio de um Gateway NAT, informe o endereço IP público do Gateway NAT em sua definição de ACL. Os clientes na sub-rede privada não têm endereços IP públicos. Consulte Gateway NAT para obter mais informações.

  • Se você estiver usando ACLs e conexões TLS forem permitidas, deverá alterar a configuração de rede para não permitir conexões TLS antes de remover todas as ACLs. Consulte Atualizar sua Instância do Autonomous Database para Requerer a Autenticação mTLS e Não Permitir a Autenticação TLS para obter mais informações.

  • Para exibir as informações de rede da sua instância, consulte Exibir Informações de Rede na Console do OCI.