Documentação do Oracle Cloud Infrastructure

Crie e Gerencie Usuários no Autonomous AI Database

Há várias opções para criar usuários no Autonomous AI Database. Você pode usar o cartão Usuários do Banco de Dados do Oracle Database Actions ou usar ferramentas do cliente que se conectam ao banco de dados para criar usuários do banco de dados.

Tópico principal: Gerenciar Usuários

Criar Usuários no Autonomous AI Database com o Database Actions

Você pode criar rapidamente usuários do Autonomous AI Database com o Database Actions.

Primeiro, acesse o Database Actions como o usuário ADMIN. Consulte Acessar o Database Actions como ADMIN para obter mais informações.

  1. Clique no canto superior esquerdo ícone de navegaçãoao lado do Oracle Database Actions.

    Mostra o menu do Database Actions, incluindo Desenvolvimento, Data Studio, Administração, Downloads, Monitoramento e Serviços Relacionados.

  2. Em Administração, clique em Usuários do Banco de Dados.
  3. Na página Usuários do Banco de Dados, na área Todos os Usuários, clique em + Criar Usuário.
  4. Para criar um novo usuário, informe um nome de usuário, uma senha e informe a senha novamente para confirmar a senha. Selecione também as opções que deseja ativar para o usuário: Gráfico, OML ou Acesso à Web.
  5. Defina um valor para a Cota no tablespace DATA para o usuário.
  6. Se quiser conceder atribuições ao novo usuário, clique na guia Atribuições Concedidas e selecione as atribuições do usuário. Por exemplo, selecione DWROLE e CONNECT.
  7. Clique em Criar Usuário.

    O Database Actions mostra a mensagem de confirmação Usuário Criado.

Consulte Gerenciar Atribuições e Privilégios do Usuário no Autonomous AI Database para obter mais informações sobre como conceder atribuições e adicionar ou atualizar privilégios de um usuário.

Consulte A Página Usuários do Banco de Dados para obter informações detalhadas sobre Usuários do Banco de Dados do Database Actions.

Se você fornecer o Web Access para o novo usuário, será necessário enviar um URL para o novo usuário. Consulte Fornecer Acesso ao Database Actions a Usuários de Bancos de Dados para obter mais informações.

O administrador precisa fornecer a wallet de credenciais ao novo usuário para acesso no lado do cliente. Consulte Estabelecer Conexão com o Autonomous AI Database para obter mais informações sobre credenciais de acesso no lado do cliente.

Observação

O Autonomous AI Database requer senhas fortes; a senha que você especifica deve atender às regras de complexidade da senha padrão. Consulte Sobre Senhas de Usuário no Autonomous AI Database para obter mais informações.

Consulte Criar Espaços de Trabalho do Oracle APEX no Autonomous AI Database para obter informações sobre como criar espaços de trabalho do APEX.

Consulte Criar e Atualizar Contas de Usuário para Componentes Oracle Machine Learning no Autonomous AI Database para adicionar contas de usuário para Oracle Machine Learning Notebooks.

Criar Usuários no Autonomous AI Database - Estabelecendo Conexão com uma Ferramenta Cliente

Você pode criar usuários estabelecendo conexão com o banco de dados como o usuário ADMIN usando qualquer ferramenta cliente SQL.

Por exemplo, conecte-se usando o Oracle SQL Developer (consulte Estabelecer Conexão com o Autonomous AI Database).

  1. Conecte-se como usuário ADMIN.
  2. Execute as seguintes instruções SQL:
    CREATE USER new_user IDENTIFIED BY password;
GRANT CREATE SESSION TO new_user;
    Observação

    O IDENTIFIED com a cláusula BY VALUES não é suportado com o Autonomous AI Database.

Isso cria new_user com privilégios de conexão. Este usuário agora pode se conectar ao banco de dados e executar consultas. Para conceder privilégios adicionais aos usuários, consulte Gerenciar Atribuições e Privilégios do Usuário no Autonomous AI Database.

O administrador precisa fornecer a wallet de credenciais para o usuário new_user. Consulte Estabelecer Conexão com o Autonomous AI Database para obter mais informações sobre credenciais do cliente.

Observação

O Autonomous AI Database requer senhas fortes; a senha que você especifica deve atender às regras de complexidade da senha padrão. Consulte Sobre Senhas de Usuário no Autonomous AI Database para obter mais informações.

Consulte Fornecer Acesso ao Database Actions a Usuários de Banco de Dados para adicionar usuários ao Database Actions.

Consulte Criar Espaços de Trabalho do Oracle APEX no Autonomous AI Database para obter informações sobre como criar espaços de trabalho do APEX.

Consulte Criar e Atualizar Contas de Usuário para Componentes Oracle Machine Learning no Autonomous AI Database para adicionar contas de usuário para componentes do Oracle Machine Learning.

Tópico principal: Criar e Gerenciar Usuários no Autonomous AI Database

Criar Usuários com Autenticação por Senha Baseada em Segredo

Você pode armazenar senhas de usuários com segurança em um vault externo e referenciá-las no banco de dados, em vez de gerenciar senhas diretamente no banco de dados.

Nesse método, quando um usuário se conecta ao Autonomous AI Database com base em um cliente suportado, a autenticação acontece validando o usuário com base na senha armazenada no segredo do vault. No momento do log-in, o banco de dados recupera a senha do vault, gera verificadores de autenticação e conclui o processo de autenticação. A senha do usuário nunca é armazenada no banco de dados.

A autenticação de usuário baseada em segredo permite:
  • Armazene senhas de usuário do banco de dados com segurança em serviços externos do vault
  • Rotação de senha de suporte
  • Manter a segurança da senha
    • Evite armazenar as senhas do usuário do banco de dados como texto sem formatação em scripts de aplicativo
  • Ative implantações de banco de dados multicloud com gerenciamento seguro de credenciais

O Autonomous AI Database suporta os seguintes provedores de vault para credenciais de segredo de vault:

  • Oracle Cloud Infrastructure Vault
  • Vault de Chaves do Azure
  • AWS Secrets Manager
  • Gerenciador de Segredos do GCP

Você pode criar usuários de banco de dados no Autonomous AI Database que se autentiquem usando uma senha armazenada com segurança em um segredo no cloud vault suportado.

A seção a seguir descreve o provisionamento de um segredo do vault, a definição de uma credencial e a criação de um usuário de banco de dados que extrai detalhes de autenticação com segurança do vault:

Pré-requisitos:

  • Antes de criar usuários com credenciais de segredo do vault, você deve criar um segredo no vault que contenha a senha desejada com base nos provedores de vault selecionados. Anote o identificador secreto e os detalhes do local, como região, nome do vault ou ID do projeto, com base no provedor selecionado.

  • Certifique-se também de configurar a permissão do lado da nuvem necessária para que o Autonomous AI Database possa ler o segredo. Por exemplo, se você escolher o vault do OCI, o Autonomous AI Database deverá ter permissão para ler o segredo usando um grupo dinâmico e uma política do serviço IAM que conceda acesso a pacotes de segredos no compartimento que contém o segredo.

    Consulte Usar Credenciais do Segredo do Vault para obter detalhes sobre como criar um segredo nos provedores de vault suportados, juntamente com as permissões necessárias com base no provedor de vault selecionado.

Observação

O Autonomous AI Database requer senhas fortes; a senha que você especifica deve atender às regras de complexidade da senha padrão. Consulte Sobre Senhas de Usuário no Autonomous AI Database para obter mais informações.
  1. Crie a credencial de segredo do vault:
    Após criar o segredo, crie um objeto de credencial de segredo do vault que armazene os metadados necessários para acessar o segredo:
    BEGIN
DBMS_CLOUD.CREATE_CREDENTIAL(
credential_name => 'vault_credential_name',
params => JSON_OBJECT(
'username' VALUE 'database_username',
'secret_id' VALUE 'vault_secret_identifier',
'region' VALUE 'vault_region'
)
);
END;
/
    • credential_name: Especifica o nome que você designa ao objeto de credencial dentro do banco de dados. Este é o parâmetro que você faz referência ao criar o usuário.
    • username: Especifica o nome de usuário do banco de dados associado à senha armazenada no segredo externo.
    • secret_id: Especifica o identificador exclusivo do segredo no vault externo. Para o Oracle Cloud Infrastructure Vault, este é o segredo do vault OCID. Esse valor de parâmetro varia com diferentes provedores de vault.
    • region: Especifica o banco de dados cuja região contém o segredo do vault.

    Dependendo do provedor de vault, talvez você precise fornecer campos específicos do provedor equivalente, como region, azure_vault_name ou gcp_project_id. Consulte Usar Credenciais do Segredo do Vault para obter mais detalhes.

  2. Crie o usuário do banco de dados:
    Após a criação da credencial de segredo do vault, crie o usuário do banco de dados e faça referência à credencial:
    CREATE USER database_username IDENTIFIED BY CREDENTIAL
"credential_schema"."vault_credential_name";
GRANT CREATE SESSION TO database_username;
    • database_username: Especifica o nome do novo usuário do banco de dados que você cria.
    • IDENTIFIED BY CREDENTIAL: Especifica que o usuário fará a autenticação usando autenticação baseada em segredo, extraindo a senha do vault em vez de armazená-la localmente.
    • credential_schema: Especifica o esquema que possui o objeto de credencial.
    • vault_credential_name: Especifica o nome da credencial que aponta para o segredo do vault que você criou no procedimento DBMS_CLOUD.CREATE_CREDENTIAL anterior.

    Depois que você cria o usuário, o Autonomous AI Database usa o segredo do vault referenciado durante a autenticação para que o usuário acesse o sistema com a senha armazenada no gerenciador de segredos externo.

Quando você cria um usuário com autenticação baseada em segredo, as seguintes colunas de dicionário de dados de views de dicionário DBA_USERS e USER_USERS exibem as informações de credencial associadas:
  • LOGON_CREDENTIAL_OWNER - Esquema que possui o objeto de credencial
  • LOGON_CREDENTIAL_NAME - Nome do objeto de credencial do vault

    As colunas do dicionário de dados se referem às colunas nas views incorporadas do dicionário de dados que descrevem suas tabelas, colunas, restrições e outros objetos.

Atualizar Usuários no Autonomous AI Database - Estabelecendo Conexão com uma Ferramenta Cliente

Você pode criar usuários estabelecendo conexão com o banco de dados como o usuário ADMIN usando qualquer ferramenta cliente SQL.

Por exemplo, conecte-se usando o Oracle SQL Developer (consulte Estabelecer Conexão com o Autonomous AI Database).

  1. Conecte-se como usuário ADMIN.
  2. Execute as seguintes instruções SQL:
    ALTER USER username IDENTIFIED BY new_password;
    Observação

    O Autonomous AI Database requer senhas fortes; a senha que você especifica deve atender às regras de complexidade da senha padrão. Consulte Sobre Senhas de Usuário no Autonomous AI Database para obter mais informações.

Isso atualiza a senha username para o new_password.

Tópico principal: Criar e Gerenciar Usuários no Autonomous AI Database

Atualizar Senha do Usuário com Autenticação de Senha Baseada em Segredo

Esta seção abrange a atualização da senha de um usuário existente fazendo referência a uma credencial de segredo do vault.

Nesse método, quando um usuário se conecta ao Autonomous AI Database com base em um cliente suportado, a autenticação acontece validando o usuário com base na senha armazenada no segredo do vault. No momento do log-in, o banco de dados recupera a senha do vault, gera verificadores de autenticação e conclui o processo de autenticação. A senha do usuário nunca é armazenada no banco de dados.

O uso de autenticação baseada em segredo melhora a segurança ao eliminar senhas de texto simples das operações do banco de dados, reduzindo o risco de exposição acidental em scripts, logs ou trilhas de auditoria. Ele também simplifica a rotação de senhas e o gerenciamento centralizado de credenciais, pois as atualizações podem ser tratadas no vault sem exigir alterações nas definições de usuário do banco de dados.

A instrução ALTER USER permite que você atualize um usuário existente para usar uma credencial baseada em vault sem eliminar e recriar a conta. Isso preserva privilégios e funções existentes.

Por exemplo, conecte-se usando o Oracle SQL Developer (consulte Estabelecer Conexão com o Autonomous AI Database).
  1. Conecte-se como usuário ADMIN.
  2. Certifique-se de que a credencial secreta do vault seja criada e configurada no Autonomous AI Database. Consulte Usar Credenciais do Segredo do Vault para obter mais informações.
    Execute a seguinte instrução SQL para atualizar um usuário e usar uma credencial de vault:
    ALTER USER database_username IDENTIFIED BY CREDENTIAL
"credential_schema"."credential_name";
    • database_username: Especifica o usuário do banco de dados existente cuja senha você deseja atualizar.
    • IDENTIFIED BY CREDENTIAL: Especifica a autenticação baseada em segredo, extraindo a senha do vault em vez de armazená-la localmente.
    • credential_schema: Especifica o esquema que contém o objeto de credencial.
    • credential_name: Especifica o nome da credencial específica que aponta para o segredo do vault.
    Observação

    O Autonomous AI Database requer senhas fortes; a senha que você especifica deve atender às regras de complexidade da senha padrão. Consulte Sobre Senhas de Usuário no Autonomous AI Database para obter mais informações.
    Quando você cria um usuário com autenticação baseada em segredo, as seguintes colunas de dicionário de dados das views de dicionário DBA_USERS e USER_USERS exibem as informações de credencial associadas:
    • LOGON_CREDENTIAL_OWNER - Esquema que possui o objeto de credencial
    • LOGON_CREDENTIAL_NAME - Nome do objeto de credencial do vault

      As colunas do dicionário de dados se referem às colunas nas views incorporadas do dicionário de dados que descrevem suas tabelas, colunas, restrições e outros objetos. Consulte Dicionário de Dados para obter mais informações.

Rotação da Senha

Você pode rotacionar a senha em dois métodos que usam autenticação baseada em segredo:
  1. Criar uma nova versão de segredo no mesmo segredo: Você pode criar várias versões do mesmo segredo no seu vault. Quando você rotaciona o segredo criando uma nova versão e executa a instrução a seguir, a versão mais recente do segredo será usada para autenticar o usuário. Se a substituição de senha global estiver configurada, a senha anterior permanecerá válida pelo tempo especificado pelo limite PASSWORD_ROLLOVER_TIME.
    ALTER USER database_username IDENTIFIED BY CREDENTIAL
"credential_schema"."vault_credential_name";
  2. Criar um novo segredo:

    Você pode criar um novo segredo de vault e um novo objeto de credencial para sua nova senha.

    Se a substituição de senha global estiver configurada, a senha anterior permanecerá válida pelo tempo especificado pelo limite PASSWORD_ROLLOVER_TIME. Consulte Rolagem de Senha do Banco de Dados Gradual para Aplicativos para obter mais detalhes.

    Para girar sua senha de usuário, execute a seguinte instrução que usa o novo objeto de credencial que aponta para o novo segredo:
    ALTER USER database_username IDENTIFIED BY CREDENTIAL
"credential_schema"."new_vault_credential_name";
Observação

A rotação ou criação de uma nova versão de um segredo no vault não rotaciona automaticamente a senha do usuário do banco de dados. Você precisa seguir qualquer uma das abordagens descritas acima para rotacionar sua senha de usuário do banco de dados.

Você poderá criar ou modificar um usuário com credenciais baseadas em segredo, se tiver o privilégio EXECUTE no objeto de credencial do vault.

Observação

Se você não tiver o privilégio necessário, a instrução CREATE USER ou ALTER USER falhará.

Execute a seguinte instrução SQL para conceder o privilégio EXECUTE:
GRANT EXECUTE ON vault_credential_name TO user_or_role;

A instrução acima concede ao usuário ou à atribuição especificada permissão para usar um objeto de credencial do serviço Vault chamado vault_credential_name.

Desbloqueie Contas de Usuário no Autonomous AI Database

Se uma conta de usuário estiver bloqueada, como o usuário ADMIN, você poderá desbloquear a conta.

Para desbloquear um conta, conecte-se ao seu banco de Dados como o usuário ADMIN e execute o seguinte comando: 

ALTER USER username IDENTIFIED BY password ACCOUNT UNLOCK;

Consulte Referência de Linguagem SQL para obter informações sobre o comando ALTER USER.

Sobre Senhas de Usuário no Autonomous AI Database

O Autonomous AI Database requer senhas fortes; a senha especificada para um usuário deve atender às regras mínimas de complexidade de senhas padrão.

O Autonomous AI Database define padrões mínimos para senhas e o perfil padrão define parâmetros para limitar o número de tentativas de log-in com falha.

  • A senha deve ter de 12 a 30 caracteres e deve incluir pelo menos uma letra maiúscula, uma letra minúscula e um caractere numérico.

    Observe que o limite de senha é mostrado como 60 caracteres em alguns pop-ups de dica de ferramenta de ajuda. Limite as senhas a um máximo de 30 caracteres.

  • A senha não pode conter o nome de usuário.

  • A senha não pode ser uma das quatro últimas senhas usadas para o mesmo nome de usuário.

  • A senha não pode conter aspas duplas (") ou aspas simples (').

  • A senha não deve ser a mesma que foi definida há menos de 24 horas.

Para alterar as regras de complexidade de senhas e os valores de parâmetros de senhas, você pode alterar o perfil padrão ou criar um novo perfil e atribuí-lo aos usuários. Consulte Gerenciar Perfis de Usuário com o Autonomous AI Database para obter mais informações.

Estes são os valores de parâmetro de senha de perfil padrão do Autonomous AI Database:

Parâmetro de Senha Descrição Valor
FAILED_LOGIN_ATTEMPTS

O máximo de vezes que um usuário pode tentar fazer log-in e falhar antes de bloquear a conta. Esse limite se aplica a contas de usuário regulares do banco de dados.

10
PASSWORD_GRACE_TIME

O número de dias após o início do período de tolerância durante o qual um aviso é emitido e o log-in é permitido.

 30
PASSWORD_LIFE_TIME

O número de dias que a mesma senha pode ser usada para autenticação.

 360
PASSWORD_LOCK_TIME

O número de dias que uma conta será bloqueada após o número especificado das tentativas consecutivas de log-in com falha.

 1
PASSWORD_REUSE_MAX

O número de alterações de senha necessárias para que a senha atual possa ser reutilizada.

 4
PASSWORD_REUSE_TIME

O número de dias antes de uma senha não ser reutilizada.

 1

Consulte Gerenciar Perfis de Usuário com o Autonomous AI Database para obter informações sobre como usar o CREATE USER ou o ALTER USER com uma cláusula de perfil.

Consulte Referência de Linguagem SQL para obter informações sobre o comando ALTER USER.

Gerenciar a Conta do Administrador no Autonomous AI Database

O usuário administrador do Autonomous AI Database é ADMIN e essa conta de administrador tem vários privilégios de sistema concedidos para gerenciar usuários e outras áreas do banco de dados.

Você pode alterar a senha do usuário administrador (ADMIN) e, quando bloqueado, desbloquear a conta do usuário administrador no Autonomous AI Database. Quando você usa as APIs para criar um Autonomous AI Database ou para redefinir a senha de ADMIN, tem a opção de usar um segredo do Oracle Cloud Infrastructure Vault para armazenar a senha.

Consulte CreateAutonomousDatabase para obter mais informações.

Consulte Atribuições e Privilégios do Usuário ADMIN para obter mais informações sobre o usuário ADMIN.

Tópico principal: Criar e Gerenciar Usuários no Autonomous AI Database

Definir a Senha ADMIN no Autonomous AI Database

Fornece as etapas para definir a senha ADMIN.

Na Console do Oracle Cloud Infrastructure, altere a senha do usuário ADMIN seguindo estas etapas:

  1. Na página Detalhes, na lista drop-down Mais ações, selecione Senha de administrador.
  2. No painel Senha do administrador, informe a nova senha e confirme.
  3. Clique em Alterar.
Observação

Você também pode usar o Database Actions para alterar a senha do usuário ADMIN. Consulte Gerenciar Usuários e Atribuições de Usuário no Autonomous AI Database - Estabelecendo Conexão com o Database Actions para obter mais informações.

A senha da conta de administrador padrão, ADMIN, tem as mesmas regras de complexidade de senha mencionadas na seção Sobre Senhas de Usuário no Autonomous AI Database.

Desbloqueie a Conta ADMIN no Autonomous AI Database

Mostra as etapas para desbloquear a conta de usuário ADMIN.

Execute as seguintes etapas de pré-requisito conforme necessário:

  • Abra a Console do Oracle Cloud Infrastructure clicando no ícone de navegação ao lado da Nuvem.

  • No menu de navegação esquerdo do Oracle Cloud Infrastructure, clique em Oracle Database e depois clique em Autonomous AI Database.

  • Na página Autonomous AI Databases, selecione um Autonomous AI Database nos links da coluna Nome para exibição.

Use as seguintes etapas para desbloquear a conta ADMIN, atualizando a senha ADMIN:

  1. Na página Detalhes, na lista drop-down Mais ações, selecione Senha de administrador.
  2. Em Senha do administrador, informe a nova senha e confirme.
  3. Clique em Alterar.

Esta operação desbloqueará a conta ADMIN se ela tiver sido bloqueada.

A senha da conta de administrador padrão, ADMIN, tem as mesmas regras de complexidade de senha mencionadas na seção Sobre Senhas de Usuário no Autonomous AI Database.

Usar o Segredo do Oracle Cloud Infrastructure Vault para Senha de ADMIN

Ao criar ou clonar uma instância do Autonomous AI Database ou ao redefinir a senha ADMIN, você pode usar um segredo do vault do Oracle Cloud Infrastructure para especificar a senha ADMIN.

O Autonomous AI Database permite que você use as APIs para fornecer um segredo de vault protegido como senha ADMIN, com acesso seguro ao segredo de vault concedido por meio das políticas do Oracle Cloud Infrastructure IAM.

Observação

O uso de um segredo de vault do Oracle Cloud Infrastructure para a senha ADMIN só é suportado com as APIs.

Os segredos do Oracle Cloud Infrastructure Vault são credenciais usadas com os serviços do Oracle Cloud Infrastructure. O arquivamento de segredos em um vault fornece maior segurança do que você pode conseguir armazená-los em outro lugar, como em código ou em arquivos de configuração. Chamando APIs de banco de dados, você pode usar segredos do Serviço Vault para definir a senha ADMIN. A opção de senha secreta do vault está disponível quando você cria ou clona uma instância do Autonomous AI Database ou quando define ou redefine a senha ADMIN.

Você cria segredos usando a Console, a CLI ou a API do Oracle Cloud Infrastructure.

Observações sobre o uso de um segredo do vault para definir ou redefinir a senha ADMIN:

  • Para que o Autonomous AI Database atinja o segredo em um vault, as seguintes condições devem ser aplicadas:

    • O segredo deve estar no estado current ou previous.

    • Se você especificar uma versão de segredo na chamada de API, a versão de segredo especificada será usada. Se você não especificar uma versão de segredo, a chamada usará a versão de segredo mais recente.

    • Você deve ter a política de grupo de usuários adequada que permita ao READ acesso ao segredo específico em um determinado compartimento. Por exemplo: 

      Allow userGroup1 to read secret-bundles in compartment training

  • A senha armazenada no segredo deve estar em conformidade com os requisitos de senha do Autonomous AI Database.

Para obter mais informações, consulte: