O controle de acesso do cliente para uma instância do Autonomous Database é imposto por políticas de controle de acesso à rede, por meio de protocolos de conexão do cliente e pelos direitos de acesso do usuário do banco de dados que o cliente usa para estabelecer conexão.

O Oracle Autonomous Database é configurado com uma conta administrativa, ADMIN, que é usada para criar e gerenciar outras contas de banco de dados. O Oracle Autonomous Database fornece um conjunto robusto de recursos e controles, que incluem privilégios e atribuições de sistema e objeto. Os perfis de usuário permitem que você personalize políticas de senha para definir e implementar uma estratégia segura de acesso do usuário do banco de dados.

Para obter informações básicas sobre gerenciamento de usuário padrão, consulte Contas de Usuário em Conceitos do Oracle Database. Para obter informações e orientações detalhadas, consulte Managing Security for Oracle Database Users no Oracle Database Security Guide.

Se a sua estratégia de acesso do usuário do banco de dados exigir mais controles do que o fornecido pelo gerenciamento padrão de usuários, você poderá configurar o Oracle Autonomous Database para usar o Database Vault para atender a requisitos mais rigorosos.

Você usa os serviços IAM (Identity and Access Management) para controlar os privilégios dos usuários do Oracle Cloud especificando as ações que esses usuários podem executar no Oracle Autonomous Database.

O serviço IAM fornece vários tipos de componentes para ajudá-lo a definir e implementar uma estratégia segura de acesso do usuário à nuvem:

• Compartimento: Um conjunto de recursos relacionados. Compartimentos são um componente fundamental do Oracle Cloud Infrastructure para organizar e isolar seus recursos na nuvem.

• Grupo: Um conjunto de usuários que precisam do mesmo tipo de acesso a um determinado conjunto de recursos ou compartimento.

• Grupo Dinâmico: Um tipo especial de grupo que contém recursos que correspondem às regras definidas por você. Dessa forma, a associação pode ser alterada dinamicamente à medida que os recursos correspondentes são criados ou excluídos.

• Política: Um grupo de instruções que especificam quem pode acessar quais recursos e como. O acesso é concedido no nível do grupo e do compartimento, o que significa que você escreve uma instrução de política que fornece a um grupo específico um tipo específico de acesso a um tipo específico de recurso em um compartimento específico.

Desses, a política é a principal ferramenta usada para controlar o acesso porque ela fornece as opções "Quem", "Como", "O que" e "Onde" de uma única restrição de acesso. Uma instrução de política tem este formato:

O formato de uma instrução de política é:

Allow 
  group <group-name> 
  to <control-verb> 
  <resource-type> 
  in compartment <compartment-name>

• group <group-name> especifica "Quem" fornecendo o nome de um grupo existente do serviço IAM.

• to <control-verb> especifica "Como" usando um destes verbos de controle predefinidos:

  • inspect: a capacidade de listar recursos do tipo fornecido, sem acesso a informações confidenciais ou a metadados especificados pelo usuário que possam fazer parte desses recursos.
  • read: inspect mais a capacidade de obter metadados especificados pelo usuário e o próprio recurso real.
  • use: read mais a capacidade de trabalhar com recursos existentes, mas não de criá-los ou excluí-los. Além disso, "trabalhar com" significa operações distintas para diferentes tipos de recursos.
  • manage: todas as permissões para o tipo de recurso, incluindo criação e exclusão.

• <resource-type> especifica o item "O que" usando um tipo de recurso predefinido. Os valores de tipo de recursos de infraestrutura são:

  • autonomous-databases
  • autonomous-backups

  Você poderá criar instruções de política que mencionem o valor de tipo de recurso tag-namespaces se a marcação com tag for usada em sua tenancy.

• in compartment <compartment-name> especifica "Onde" fornecendo o nome de um compartimento existente do IAM.

Para obter informações sobre como o serviço IAM e seus componentes funcionam e como usá-los, consulte Visão Geral do Oracle Cloud Infrastructure Identity and Access Management. Para obter respostas rápidas para perguntas comuns sobre o serviço IAM, consulte as Perguntas Mais Frequentes sobre o Identity and Access Management.

Somente usuários autorizados têm permissão para acessar uma instância do Autonomous Database.

Os Operadores do Oracle Cloud não têm autorização para acessar seu Autonomous Database. Quando o acesso ao seu banco de dados for necessário para solucionar ou mitigar um problema, você poderá permitir que um Operador da Nuvem acesse um banco de dados por tempo limitado.

Você permite que um Operador de Nuvem acesse o banco de dados executando o procedimento DBMS_CLOUD_ADMIN.ENABLE_OPERATOR_ACCESS. Isso significa que, se você registrar uma solicitação de serviço no Suporte do Oracle Cloud ou entrar em contato com seu representante de suporte e os Operadores do Oracle Cloud precisarem acessar seu banco de dados, você também deverá ativar o acesso do operador executando DBMS_CLOUD_ADMIN.ENABLE_OPERATOR_ACCESS.

Cada acesso ao banco de dados pelos Operadores do Oracle Cloud é registrado com um ID e um motivo de solicitação.

Consulte Gerenciar Acesso do Operador do Oracle Cloud e Exibir Ações de Operações do Oracle Cloud Infrastructure para obter mais informações.

O Autonomous Database é um serviço totalmente gerenciado e a Oracle usa suas próprias tenancies do Oracle Cloud Infrastructure para executar o serviço Autonomous Database.

Os Operadores do Oracle Cloud não têm acesso às tenancies dos clientes e os operadores de nuvem não podem acessar a rede.

Todas as ações que os usuários do Oracle Cloud executam nos recursos que compõem sua implantação do Oracle Autonomous Database são registradas pelo serviço Audit, independentemente da interface usada: a Console do Oracle Cloud Infrastructure, a API REST, a CLI (Interface de Linha de Comando), os SDKs (Kits de Desenvolvimento de Software) e assim por diante.

Você pode usar o serviço Audit para executar diagnósticos, rastrear o uso de recursos, monitorar a conformidade e coletar eventos relacionados à segurança. Para obter mais informações sobre o serviço Audit, consulte Visão Geral do Serviço Audit na Documentação do Oracle Cloud Infrastructure.

Além disso, quando os usuários executam operações no Oracle Autonomous Database, o banco de dados publica eventos no serviço Oracle Cloud Events. O serviço Oracle Cloud Events permite criar regras para capturar esses eventos e executar ações.

Para obter mais informações sobre como o serviço Events funciona e como configurar as regras e ações que ele usa, consulte Visão Geral do Serviço Events. Para obter as listas de operações do Oracle Autonomous Database que geram eventos, consulte Autonomous Database Event Types.

O Oracle Autonomous Database configura os bancos de dados autônomos que você cria para usar o recurso de auditoria unificada do Oracle Database.

Esse recurso captura registros de auditoria das seguintes origens e os reúne em uma única trilha de auditoria em um formato uniforme:

• Registros de auditoria (incluindo registros de auditoria SYS) de políticas de auditoria unificadas e definições AUDIT
• Registros de auditoria detalhados do pacote PL/SQL DBMS_FGA
• Registros de auditoria do Oracle Database Real Application Security
• Registros de auditoria do Oracle Recovery Manager
• Registros de auditoria do Oracle Database Vault
• Registros de auditoria do Oracle Label Security
• Registros do Oracle Data Mining
• Oracle Data Pump
• Carga Direta do Oracle SQL*Loader

As informações de auditoria são mantidas por até 14 dias, após os quais são expurgadas automaticamente. Para manter as informações de auditoria por mais tempo e analisar e relatar facilmente a atividade do banco de dados, use o Oracle Data Safe (incluindo sua assinatura do Oracle Autonomous Database).

Consulte Sobre a Auditoria do Autonomous Database para obter mais informações.