Usar Amazon Resource Names (ARNs) para Acessar Recursos da AWS
Você pode usar ADNs (Amazon Resource Names) para acessar recursos da AWS com o Autonomous Database.
- Sobre o uso de ADNs (Amazon Resource Names) para acessar recursos da AWS
Ao usar a autenticação baseada em atribuição ARN com o Autonomous Database, você pode acessar com segurança os recursos da AWS sem criar e salvar credenciais com base em chaves de acesso do AWS IAM de longo prazo. - Executar Pré-requisitos de Gerenciamento da AWS para Usar Nomes de Recursos (ARNs) da Amazon
Usando o Console de Gerenciamento da AWS ou usando as APIs, crie um usuário, uma função, políticas e um relacionamento de confiança da AWS. Execute estas etapas antes de usar comDBMS_CLOUD.CREATE_CREDENTIAL
para criar uma credencial com um parâmetro ARN no Autonomous Database. - Executar Pré-requisitos do Autonomous Database para Usar ARNs da Amazon
Antes de usar um recurso da AWS comDBMS_CLOUD.CREATE_CREDENTIAL
e um parâmetro ARN, o usuário ADMIN deve ativar o ARN na instância do Autonomous Database. - Criar Credenciais com Parâmetros do ARN para Acessar Recursos da AWS
Depois que o uso do ARN for ativado para a instância do Autonomous Database e o ARN for configurado pelo administrador da AWS, no Autonomous Database, você poderá criar um objeto de credencial com parâmetros do ARN. - Atualizar Credenciais com Parâmetros ARN para Recursos da AWS
As credenciais ARN que você usa no Autonomous Database funcionam com o serviço de token da AWS que permite usar credenciais temporárias baseadas em atribuição para acessar recursos da AWS no Autonomous Database.
Tópico principal: Configurar Políticas e Atribuições para Acessar Recursos
Sobre o uso de Amazon Resource Names (ARNs) para Acessar Recursos da AWS
Ao usar a autenticação baseada em atribuição ARN com o Autonomous Database, você pode acessar com segurança os recursos da AWS sem criar e salvar credenciais com base em chaves de acesso de longo prazo do AWS IAM.
Por exemplo, talvez você queira carregar dados de um bucket do AWS S3 no seu Autonomous Database, executar alguma operação nos dados e, em seguida, gravar os dados modificados de volta no bucket do S3. Você poderá fazer isso sem usar um ARN se tiver credenciais de usuário da AWS para acessar o bucket S3. No entanto, o uso de ARNs baseados em atribuição para acessar recursos da AWS no Autonomous Database tem os seguintes benefícios:
- Você pode criar acesso baseado em atribuição, com diferentes políticas para diferentes usuários ou esquemas que precisam de acesso aos recursos da AWS de uma instância do Autonomous Database. Isso permite que você defina uma política para limitar o acesso aos recursos da AWS por função. Por exemplo, definindo uma política que se limita ao acesso somente leitura, por atribuição, para um bucket S3.
-
As credenciais baseadas em ARN fornecem melhor segurança, pois você não precisa fornecer credenciais de usuário da AWS de longo prazo no código para acessar os recursos da AWS. O Autonomous Database gerencia as credenciais temporárias geradas na Operação Assume Atribuição da AWS.
Etapas para Configurar o Uso do ARN com o Autonomous Database
Antes de criar uma credencial usando um ARN no Autonomous Database, no AWS, o administrador da conta deve definir uma política que permita acessar recursos do AWS, como um bucket S3. Por padrão, os serviços de credenciais ARN não são ativados no Autonomous Database. O usuário ADMIN ativa credenciais ARN para o usuário necessário, o que permite que ele crie e use credenciais ARN na instância do Autonomous Database.
Na AWS, a função ARN é o identificador do acesso fornecido e pode ser visualizada no console da AWS. Para segurança adicional, quando o administrador da AWS configura a função, as políticas e o relacionamento de confiança para a conta da AWS, ele também deve configurar um ID externo no relacionamento de confiança da função.
O ID Externo fornece proteção adicional para assumir funções. O administrador da AWS configura o ID Externo como um dos seguintes, com base na instância do Autonomous Database:
-
O OCID do compartimento
-
O OCID do banco de dados
-
O OCID da tenancy
Na AWS, a função só pode ser assumida por usuários confiáveis identificados pelo ID externo incluído no URL da solicitação, em que o ID externo fornecido na solicitação corresponde ao ID externo configurado no relacionamento de confiança da função.
A definição do ID Externo é obrigatória para a segurança.
A figura a seguir descreve as etapas de configuração:

Descrição da ilustração adb_arn_config_steps.eps
Etapas para Usar ARNs com DBMS_CLOUD
Cada recurso da AWS tem sua própria identidade e o recurso se autentica com a instância do Autonomous Database usando uma credencial DBMS_CLOUD
que você cria com parâmetros que identificam o ARN. O Autonomous Database cria e protege as credenciais principais usadas para acessar os recursos da AWS.
Para criar uma credencial com parâmetros ARN para acessar os recursos da AWS:
-
Execute as etapas de pré-requisito na Conta da AWS: Na sua conta da AWS, no Console de Gerenciamento da AWS ou usando a CLI, crie as atribuições e políticas para o ARN que você usa com o Autonomous Database e atualize o relacionamento de confiança da atribuição. O ARN do usuário Oracle é configurado quando a relação de confiança da função é atualizada.
Consulte Executar Pré-requisitos do AWS Management para Usar ADNs (Amazon Resource Names) para obter mais informações.
-
Executar etapas de pré-requisito no Autonomous Database: No Autonomous Database, você deve permitir que o usuário ADMIN ou outro usuário use credenciais com parâmetros ARN para acessar os recursos da AWS.
Consulte Executar Pré-requisitos de Autonomous Database para Usar ARNs da Amazon para obter mais informações.
-
Crie credenciais com o
DBMS_CLOUD.CREATE_CREDENTIAL
e forneça os parâmetros que identificam uma atribuição AWS. Usando o objeto de credencial, o Autonomous Database pode acessar os recursos da AWS conforme especificado nas políticas definidas para a atribuição na conta da AWS.Consulte Criar Credenciais com Parâmetros ARN para Acessar Recursos da AWS para obter detalhes sobre essas etapas.
-
Use o objeto de credencial criado na etapa anterior com um procedimento ou uma função
DBMS_CLOUD
que usa um parâmetro de credencial, comoDBMS_CLOUD.COPY_DATA
ouDBMS_CLOUD.LIST_OBJECTS
.
Tópico principal: Usar ADNs (Amazon Resource Names) para Acessar Recursos do AWS
Executar Pré-requisitos do AWS Management para Usar Amazon Resource Names (ARNs)
Usando o Console de Gerenciamento da AWS ou usando as APIs, crie um usuário, função, políticas e relacionamento de confiança da AWS. Execute estas etapas antes de usar com DBMS_CLOUD.CREATE_CREDENTIAL
para criar uma credencial com um parâmetro ARN no Autonomous Database.
Para usar um ARN para acessar recursos da AWS, o administrador da AWS define as políticas e um principal que permite acessar recursos da AWS. Por exemplo, ao usar o Autonomous Database, talvez você queira acessar dados de um bucket S3, executar alguma operação nos dados e, em seguida, gravar os dados modificados de volta no bucket S3.
Dependendo da configuração existente da AWS e do ID Externo que você usa, não será necessário criar uma nova atribuição e política para cada instância do Autonomous Database. Se você já tiver uma atribuição da AWS que contenha a política necessária para acessar um recurso, por exemplo, para acessar o armazenamento na nuvem S3, poderá modificar o relacionamento de confiança para incluir os detalhes na Etapa 3. Da mesma forma, se você já tiver uma atribuição com a relação de confiança necessária, poderá usar essa atribuição para acessar todos os seus bancos de dados em um compartimento ou tenancy do OCI se usar um ID externo que especifique o OCID do compartimento ou o OCID da tenancy.
No Console de gerenciamento da AWS ou usando as APIs, um administrador da AWS executa as seguintes etapas:
Depois que a configuração da função ARN for concluída, você poderá ativar o ARN na instância. Consulte Executar Pré-requisitos de Autonomous Database para Usar ARNs da Amazon para obter mais informações.
Tópico principal: Usar ADNs (Amazon Resource Names) para Acessar Recursos do AWS
Executar Pré-requisitos do Autonomous Database para Usar ARNs da Amazon
Antes de usar um recurso da AWS com DBMS_CLOUD.CREATE_CREDENTIAL
com um parâmetro ARN, o usuário ADMIN deve ativar o ARN na instância do Autonomous Database.
Por padrão, os serviços de credenciais ARN não são ativados no Autonomous Database. O usuário ADMIN executa o procedimento DBMS_CLOUD_ADMIN.ENABLE_PRINCIPAL_AUTH
para permitir que o usuário ADMIN ou outros usuários criem credenciais com parâmetros ARN.
Depois que você ativar o ARN na instância do Autonomous Database executando DBMS_CLOUD_ADMIN.ENABLE_PRINCIPAL_AUTH
, a credencial chamada AWS$ARN
estará disponível para uso com qualquer API DBMS_CLOUD
que obtenha uma credencial como entrada. Com exceção da credencial chamada AWS$ARN
, você também pode criar credenciais adicionais com parâmetros ARN para acessar os recursos da AWS. Consulte Criar Credenciais com Parâmetros do ARN para Acessar Recursos do AWS para obter mais informações.
Tópico principal: Usar ADNs (Amazon Resource Names) para Acessar Recursos do AWS
Criar Credenciais com Parâmetros ARN para Acessar Recursos da AWS
Após o uso do ARN ser ativado para a instância do Autonomous Database e o ARN ser configurado pelo administrador da AWS, no Autonomous Database, você poderá criar um objeto de credencial com parâmetros do ARN.
O Autonomous Database cria e protege as credenciais principais usadas para acessar os recursos da Amazon quando você fornece o objeto de credencial com procedimentos e funções DBMS_CLOUD
.
Para usar recursos da Amazon com o Autonomous Database, faça o seguinte:
Tópico principal: Usar ADNs (Amazon Resource Names) para Acessar Recursos do AWS
Atualizar Credenciais com Parâmetros ARN para Recursos da AWS
As credenciais ARN que você usa no Autonomous Database funcionam com o serviço de token da AWS que permite usar credenciais baseadas em atribuição temporária para acessar recursos da AWS no Autonomous Database.
Quando um Administrador da AWS revoga as políticas, as funções ou o relacionamento de confiança, você precisa atualizar as credenciais ou criar novas credenciais para acessar os recursos da AWS.
Execute as seguintes etapas para atualizar as credenciais:
Consulte UPDATE_CREDENTIAL Procedure e CREATE_CREDENTIAL Procedure para obter mais informações.
Tópico principal: Usar ADNs (Amazon Resource Names) para Acessar Recursos do AWS