Documentação do Oracle Cloud Infrastructure

Configurando o Acesso à Rede com Regras de Controle de Acesso (ACLs)

A especificação de uma lista de controle de acesso bloqueia o acesso de todos os endereços IP que não estão na ACL ao banco de dados. Depois que você especifica uma Lista de Controle de Acesso, o Autonomous AI Database só aceita conexões a partir de endereços na Lista de Controle de Acesso, e o banco de dados rejeita todas as outras conexões do cliente.

Tópico principal: Configurar o Acesso à Rede com Regras de Controle de Acesso (ACLs) e Pontos Finais Privados

Configurar Listas de Controle de Acesso ao Provisionar ou Clonar uma Instância

Ao provisionar ou clonar o Autonomous AI Database com a opção Secure access from allowed IPs and VCNs only, você pode restringir a acesso de rede definindo Listas de Controle de Acesso (ACLs).

Consulte Provisionar uma Instância do Autonomous AI Database para obter informações sobre como provisionar seu Autonomous AI Database.

Configure ACLs da seguinte forma:

  1. Na área Escolher acesso à rede, selecione Acesso seguro apenas de IPs e VCNs permitidos.

    Com a opção Acesso seguro apenas de IPs e VCNs permitidos selecionada, a console mostra os campos e as opções para especificar ACLs:

    Veja a seguir a descrição da ilustração adb_network_access_acl_provision.png
    Descrição da ilustração adb_network_access_acl_provision.png
  2. Na área de acesso Escolher rede, especifique regras de controle do acesso selecionando um tipo de notação de IP e informando Valores apropriados para o tipo que você selecionar:
    • Endereço IP:

      No campo Valores, informe valores para o endereço IP. Um endereço IP especificado em uma entrada ACL de rede é o endereço IP público do cliente que é visível na internet pública ao qual você deseja conceder acesso. Por exemplo, para uma VM da Oracle Cloud Infrastructure, esse é o endereço IP mostrado no campo IP Público na console da Oracle Cloud Infrastructure dessa VM.

      Observação

      Opcionalmente, selecione Adicionar meu endereço IP para adicionar seu endereço IP atual à entrada da ACL.
    • Bloco CIDR:

      No campo Valores, informe valores para o bloco CIDR. O bloco CIDR especificado é o bloco CIDR público dos clientes que estão visíveis na internet pública ao qual você deseja conceder acesso.

    • Rede virtual na nuvem:

      Use essa opção quando a rota de rede do cliente para o banco de dados estiver passando por um Oracle Cloud Infrastructure Service Gateway. Consulte Acesso ao Oracle Services: Gateway de Serviço para obter mais informações.

      Use esta opção para especificar a VCN a ser usada com um Oracle Cloud Infrastructure Service Gateway:

      • No campo Rede virtual na nuvem, selecione a VCN da qual você deseja conceder acesso. Se você não tiver os privilégios para ver as VCNs em sua tenancy, essa lista estará vazia. Nesse caso, use a seleção Virtual cloud network (OCID) para especificar o OCID da VCN.
      • Opcionalmente, no campoEndereços IP ou CIDRs, digite endereços de IP privados ou blocos CIDR privados como uma lista separada por vírgulas para permitir clientes específicos na VCN.
    • Rede virtual na nuvem (OCID):

      Use essa opção quando a rota de rede do cliente para o banco de dados estiver passando por um Oracle Cloud Infrastructure Service Gateway. Consulte Acesso ao Oracle Services: Gateway de Serviço para obter mais informações.

      • No campo Valores, informe o OCID da VCN da qual você deseja conceder acesso.
      • Opcionalmente, no campoEndereços IP ou CIDRs, digite endereços de IP privados ou blocos CIDR privados como uma lista separada por vírgulas para permitir clientes específicos na VCN.

    Se você quiser especificar vários endereços IP ou faixas de CIDR dentro da mesma VCN, não crie várias entradas de ACL. Use uma entrada de ACL com os valores para vários endereços IP ou faixas de CIDR separados por vírgulas.

  3. Clique em Adicionar regra de controle de acesso para adicionar um novo valor à lista da lista.
  4. Clique em x para remover uma entrada.
    Você também pode limpar o valor no campo endereços IP ou blocos CIDR para remover uma entrada.
  5. Exija autenticação mTLS (TLS mútuo).

    Depois de inserir um tipo de notação de IP e um valor, você tem a opção de selecionar essa opção. As opções são:

    • Quando a opção Exigir autenticação mTLS (TLS mútuo) está selecionada, somente conexões mTLS são permitidas (a autenticação TLS não é permitida).

    • Quando Exigir autenticação mTLS (TLS mútuo) estiver desmarcada, conexões TLS e mTLS serão permitidas. Essa é a configuração padrão.

    Consulte Atualizar Opções de Rede para Permitir TLS ou Exigir Somente Autenticação mTLS (TLS Mútuo) no Autonomous AI Database para mais informações.

  6. Conclua as etapas restantes de provisionamento ou clonagem, conforme especificado em Provisionar uma Instância do Autonomous AI Database, Clonar uma Instância do Autonomous AI Database ou Clonar um Autonomous AI Database de um Backup.

Depois que o provisionamento for concluído, você poderá atualizar as ACLs de ponto final público ou poderá alterar a configuração do Autonomous AI Database para usar um ponto final privado.

Consulte Configurar Listas de Controle de Acesso para uma Instância Existente do Autonomous AI Database para ver informações sobre a atualização de ACLs.

Consulte Alterar de Pontos Finais Públicos para Privados com o Autonomous AI Database para saber mais sobre como alterar para um ponto final privado.

Configurar Listas de Controle de Acesso para uma Instância Existente do Autonomous AI Database

Você pode controlar e restringir o acesso ao seu Autonomous AI Database especificando as ACLs (listas de controle de acesso de rede). Em uma instância existente do Autonomous AI Database com um ponto final público, você pode adicionar, alterar ou remover ACLs.

Configure ACLs ou adicione, remova ou atualize ACLs existentes para uma instância do Autonomous AI Database da seguinte forma:

  1. Na página Detalhes, na área Rede, ao lado do campo Lista de controle de acesso, clique em Editar.

    Isso mostra o painel Atualizar acesso à rede.

    Veja a seguir a descrição da ilustração adb_network_access_update.png
    Descrição da ilustração adb_network_access_update.png

    Como alternativa, você pode clicar em Mais ações e selecionar Atualizar acesso à rede. No painel, em Tipo de acesso, selecione Proteger o acesso somente de IPs e VCNs permitidos.

  2. Especifique as regras de controle de acesso selecionando um tipo de notação IP e valores:

    Selecione uma destas opções:

    • Endereço IP:

      No campo Valores, informe valores para o endereço IP. Um endereço IP especificado em uma entrada ACL de rede é o endereço IP público do cliente que é visível na internet pública ao qual você deseja conceder acesso. Por exemplo, para uma VM da Oracle Cloud Infrastructure, esse é o endereço IP mostrado no campo IP Público na console da Oracle Cloud Infrastructure dessa VM.

      Observação

      Opcionalmente, selecione Adicionar meu endereço IP para adicionar seu endereço IP atual à entrada da ACL.
    • Bloco CIDR:

      No campo Valores, informe valores para o bloco CIDR. O bloco CIDR especificado é o bloco CIDR público dos clientes que estão visíveis na internet pública ao qual você deseja conceder acesso.

    • Rede virtual na nuvem:

      Use essa opção quando a rota de rede do cliente para o banco de dados estiver passando por um Oracle Cloud Infrastructure Service Gateway. Consulte Acesso ao Oracle Services: Gateway de Serviço para obter mais informações.

      Use esta opção para especificar a VCN a ser usada com um Oracle Cloud Infrastructure Service Gateway:

      • No campo Rede virtual na nuvem, selecione a VCN da qual você deseja conceder acesso. Se você não tiver os privilégios para ver as VCNs em sua tenancy, essa lista estará vazia. Nesse caso, use a seleção Virtual cloud network (OCID) para especificar o OCID da VCN.
      • Opcionalmente, no campoEndereços IP ou CIDRs, digite endereços de IP privados ou blocos CIDR privados como uma lista separada por vírgulas para permitir clientes específicos na VCN.
    • Rede virtual na nuvem (OCID):

      Use essa opção quando a rota de rede do cliente para o banco de dados estiver passando por um Oracle Cloud Infrastructure Service Gateway. Consulte Acesso ao Oracle Services: Gateway de Serviço para obter mais informações.

      • No campo Valores, informe o OCID da VCN da qual você deseja conceder acesso.
      • Opcionalmente, no campoEndereços IP ou CIDRs, digite endereços de IP privados ou blocos CIDR privados como uma lista separada por vírgulas para permitir clientes específicos na VCN.

    Se você quiser especificar vários endereços IP ou faixas de CIDR dentro da mesma VCN, não crie várias entradas de ACL. Use uma entrada de ACL com os valores para vários endereços IP ou faixas de CIDR separados por vírgulas.

  3. Clique em Adicionar controle de acesso para adicionar um novo valor à Lista de Controle de Acesso.
  4. Clique em x para remover uma entrada.
    Você também pode limpar o valor no campo endereços IP ou blocos CIDR para remover uma entrada.
  5. Clique em Atualizar.

Se o estado do Ciclo de Vida for Disponível quando você clicar em Atualizar, o estado do Ciclo de Vida será alterado para Atualizando até que a ACL seja definida. O banco de dados ainda está ativo e acessível; não há inatividade. Quando a atualização é concluída, o estado do Ciclo de Vida retorna para Disponível e as ACLs de rede da lista do controle do acesso entram em vigor.

Alteração de Pontos Finais Privados para Públicos com o Autonomous AI Database

Se sua instância do Autonomous AI Database estiver configurada para usar um ponto final privado, você poderá alterar a configuração para usar um ponto final público.

Há vários pré-requisitos para alterar uma instância de um ponto final privado para um público, como se segue:

Para especificar um ponto final público para seu Autonomous AI Database, faça o seguinte:

  1. Na página Detalhes, na lista drop-down Mais ações, selecione Atualizar acesso à rede.
  2. Na caixa de diálogoAtualizar acesso à rede, selecione uma das opções Proteger o acesso de todos os lugares ou Proteger o acesso somente de IPs e VCNs permitidos.

    Por exemplo, se você selecionar Acesso seguro apenas de IPs e VCNs permitidos, a caixa de diálogo mostrará campos para configurar regras de controle de acesso:

    Veja a seguir a descrição da ilustração adb_network_access_update.png
    Descrição da ilustração adb_network_access_update.png
  3. Na caixa de diálogo, em Configurar regras de controle de acesso, especifique regras selecionando um tipo de notação IP e os valores:
    • Endereço IP:

      No campo Valores, informe valores para o endereço IP. Um endereço IP especificado em uma entrada ACL de rede é o endereço IP público do cliente que é visível na internet pública ao qual você deseja conceder acesso. Por exemplo, para uma VM da Oracle Cloud Infrastructure, esse é o endereço IP mostrado no campo IP Público na console da Oracle Cloud Infrastructure dessa VM.

      Observação

      Opcionalmente, selecione Adicionar meu endereço IP para adicionar seu endereço IP atual à entrada da ACL.
    • Bloco CIDR:

      No campo Valores, informe valores para o bloco CIDR. O bloco CIDR especificado é o bloco CIDR público dos clientes que estão visíveis na internet pública ao qual você deseja conceder acesso.

    • Rede virtual na nuvem:

      Use essa opção quando a rota de rede do cliente para o banco de dados estiver passando por um Oracle Cloud Infrastructure Service Gateway. Consulte Acesso ao Oracle Services: Gateway de Serviço para obter mais informações.

      • No campo Rede virtual na nuvem, selecione a VCN da qual você deseja conceder acesso. Se você não tiver os privilégios para ver as VCNs em sua tenancy, essa lista estará vazia. Nesse caso, use a seleção Virtual cloud network (OCID) para especificar o OCID da VCN.
      • Opcionalmente, no campoEndereços IP ou CIDRs, digite endereços de IP privados ou blocos CIDR privados como uma lista separada por vírgulas para permitir clientes específicos na VCN.
    • Rede virtual na nuvem (OCID):

      Use essa opção quando a rota de rede do cliente para o banco de dados estiver passando por um Oracle Cloud Infrastructure Service Gateway. Consulte Acesso ao Oracle Services: Gateway de Serviço para obter mais informações.

      • No campo Valores, informe o OCID da VCN da qual você deseja conceder acesso.
      • Opcionalmente, no campoEndereços IP ou CIDRs, digite endereços de IP privados ou blocos CIDR privados como uma lista separada por vírgulas para permitir clientes específicos na VCN.

    Se você quiser especificar vários endereços IP ou faixas de CIDR dentro da mesma VCN, não crie várias entradas de ACL. Use uma entrada de ACL com os valores para vários endereços IP ou faixas de CIDR separados por vírgulas.

  4. Clique em Adicionar regra de controle de acesso para adicionar um novo valor à lista da lista.
  5. Clique em x para remover uma entrada.
    Você também pode limpar o valor no campo endereços IP ou blocos CIDR para remover uma entrada.
  6. Clique em Atualizar.
  7. No diálogo Confirmar, digite o nome do Autonomous AI Database para confirmar a alteração.
  8. Na caixa de diálogo Confirmar, clique em Atualizar.

O estado do Ciclo de Vida muda para Atualizando até a conclusão da operação.

Observações para alterar o acesso à rede de ponto final privado para ponto final público:

  • Após atualizar o tipo de acesso à rede, todos os usuários do banco de dados devem obter uma nova wallet e usar a nova wallet para acessar o banco de dados. Consulte Fazer Download das Credenciais do Cliente (Wallets) para obter mais informações.

  • Após a conclusão da atualização, você pode alterar ou definir novas ACLs de regras de controle de acesso para o ponto final público. Consulte Configurar Listas de Controle de Acesso para uma Instância Existente do Autonomous AI Database para mais informações.

  • O URL do Database Actions e das Ferramentas de Banco de Dados são diferentes quando um banco de dados usa um ponto final privado em comparação com o uso de um ponto final público. Clique em Database Actions na Console do Oracle Cloud Infrastructure para localizar o URL atualizado do Database Actions e, no Database Actions, clique nos cartões apropriados para localizar os URLs atualizados do Database Tools, após a alteração de um ponto final privado para um ponto final público.

Restrições e Observações da Lista de Controle de Acesso

Descreve restrições e observações para regras do controle de acesso no Autonomous AI Database.

  • Consulte Intervalos de Endereços IP para obter informações sobre os intervalos de endereços IP públicos no Oracle Cloud Infrastructure. Você deve permitir o tráfego para esses blocos CIDR para garantir o acesso a uma instância do Autonomous AI Database em um ponto final público.

  • Se você quiser permitir conexões somente por meio de um gateway de serviço, será necessário usar o endereço IP do gateway de serviço na sua definição de ACL. Para isso, você precisa adicionar uma definição ACL com o tipo de origem CIDR com o valor 240.0.0.0/4. Observe que isso não é recomendado; em vez disso, você pode especificar VCNs individuais em sua definição de ACL para as VCNs das quais deseja permitir acesso.

    Consulte Acesso ao Oracle Services: Gateway de Serviço para obter mais informações.

  • Ao restaurar um banco de dados, as ACLs existentes não são substituídas pela restauração.

  • As ACLs de rede se aplicam às conexões de banco de dados e aos notebooks do Oracle Machine Learning. Se uma ACL for definida, se você tentar fazer log-in nos Notebooks do Oracle Machine Learning de um cliente cujo IP não esteja especificado na ACL, o erro "log-in rejeitado com base na lista de controle de acesso definida pelo administrador" será mostrado.

  • As ferramentas do Autonomous AI Database a seguir estão sujeitas a ACLs. Você pode usar Rede Virtual na Nuvem, Rede Virtual na Nuvem (OCID), endereço IP ou ACLs de bloco CIDR para controlar o acesso a estas ferramentas:

    • Ações do Banco de Dados
    • Oracle APEX
    • Oracle Graph Studio
    • Oracle Machine Learning Notebooks
    • Oracle REST Data Services

  • Se você tiver uma sub-rede privada em sua VCN configurada para acessar a internet pública por meio de um Gateway NAT, informe o endereço IP público do Gateway NAT em sua definição de ACL. Os clientes na sub-rede privada não têm endereços IP públicos. Consulte Gateway NAT para obter mais informações.

  • Se você estiver usando ACLs e conexões TLS forem permitidas, deverá alterar a configuração de rede para não permitir conexões TLS antes de remover todas as ACLs. Consulte Atualizar sua Instância do Autonomous AI Database para Exigir mTLS e Não Permitir Autenticação TLS para mais informações.

  • Para exibir as informações de rede da sua instância, consulte Exibir Informações de Rede na Console do OCI.