Usar o Oracle API Access Control com o Oracle Exadata Database Service on Cloud@Customer e o Oracle Exadata Database Service on Dedicated Infrastructure

Introdução

O Oracle API Access Control permite que os clientes gerenciem o acesso às APIs REST expostas pelo Oracle Exadata Database Service on Dedicated Infrastructure e pelo Oracle Exadata Database Service on Cloud@Customer. Ao designar APIs específicas como privilegiadas, os clientes podem garantir que a chamada dessas APIs exija aprovação prévia de um grupo autorizado em sua tenancy.

O Oracle API Access Control também ajuda na integração de auditoria por meio da utilização da tecnologia Oracle Cloud Infrastructure (OCI) para impor um workflow específico.

Uma pessoa solicita acesso para executar uma operação privilegiada, um aprovador revisa e aprova a operação quando o plano de controle do OCI faz a transição de um recurso de aprovação especial para um estado aprovado. Isso permite que o solicitante envie uma API para um recurso de destino e execute a tarefa desejada.

Principais Benefícios:

• Risco Reduzido: Minimize exclusões acidentais ou maliciosas de serviços de banco de dados de missão crítica.
• Separação de Responsabilidades: Certifique-se de que a execução da API seja distinta da aprovação, aprimorando a segurança e a responsabilidade.

Objetivos

Configure e opere o serviço Oracle API Access Control para o Oracle Exadata Database Service on Cloud@Customer. Instruções semelhantes se aplicam ao Oracle Exadata Database Service on Dedicated Infrastructure.

• Configure usuários e grupos na tenancy do OCI.

• Configure a política do Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) para o Oracle API Access Control.

• Mantenha os recursos sob controle.

• Demonstrar a aplicação do controle da API.

• Criar e aprovar uma solicitação do acesso.

• Audite as operações aprovadas.

• Revogar solicitações do Oracle API Access Control.

• Edite ou remova controles.

• Conclua a auditoria final para exclusão do controle.

Pré-requisitos

• Acesso a uma tenancy da OCI com um Oracle Exadata Database Service on Cloud@Customer ou Oracle Exadata Database Service on Dedicated Infrastructure.

• Usuário criado na tenancy, em um grupo com políticas que concedem permissões do Oracle API Access Control (usuário ExaCC Approver neste tutorial).

• Um segundo usuário criado na tenancy, em um grupo com políticas que concedem permissões regulares de gerenciamento de infraestrutura e BD (usuário infra-db-admin-user neste tutorial).

Tarefa 1: Configurar Usuários e Grupos na Tenancy do OCI

A primeira etapa do Oracle API Access Control envolve a configuração de usuários e grupos na sua tenancy da OCI. A segunda etapa é que esses usuários e grupos configurem o controle e gerenciem solicitações.

1. Faça log-in na Console do OCI e navegue até Identidade e Segurança no seu domínio de identidades padrão.

2. Criar usuário e grupo. Um usuário chamado ExaCC Approver foi configurado e esse usuário é membro do grupo ExaCC-API-Approver-grp.

   

Tarefa 2: Configurar a Política do OCI IAM para o Oracle API Access Control

Nesta tarefa, configure a política do OCI IAM para permitir que o serviço Oracle API Access Control opere e que o grupo ExaCC-API-Approver-grp gerencie o serviço. As instruções de política fornecidas neste exemplo permitem que o serviço funcione. A sintaxe da política do OCI IAM oferece controle detalhado, permitindo maior separação de tarefas.

Exemplo de políticas do OCI IAM para o Oracle API Access Control:

allow group <admin_group/approver_group/managers> to manage privileged-api-family in tenancy
allow any-user TO use database-family IN tenancy where ALL { request.principal.type in ('pactlprivilegedapirequest', 'pactlprivilegedapicontrol') }
allow any-user TO use ons-topics IN tenancy where ALL { request.principal.type in ('pactlprivilegedapirequest', 'pactlprivilegedapicontrol') }
allow group <admin_group/approver_group/managers> to use database-family in tenancy
allow group <admin_group/approver_group/access_request_group> to read domains in tenancy
allow group <admin_group/approver_group/access_request_group> to inspect compartments in tenancy
allow group <admin_group/approver_group/access_request_group> to use ons-topics in tenancy

• A primeira linha de política concede ao grupo ExaCC-API-Approver-grp permissão para gerenciar o privileged-api-family. Isso significa que eles podem criar controles, aplicá-los a serviços e aprovar solicitações de acesso.

• A segunda linha de política permite que o software Oracle API Access Control interaja com o serviço de banco de dados na sua tenancy.

• A terceira linha de política permite que o software Oracle API Access Control interaja com os tópicos do OCI Notification em sua tenancy. Isso é crucial para notificar sua equipe quando as solicitações de acesso alteram seus estados de ciclo de vida.

Seu grupo de aprovadores precisa da capacidade de usar a família de bancos de dados, mas não precisa gerenciá-la. Além disso, o grupo de aprovação deve poder ler domínios, inspecionar compartimentos e usar os tópicos de Notificação do OCI para notificações.

Para obter mais informações sobre políticas do OCI IAM, consulte Sobre Tipos de Recursos e Delegar Políticas de Controle de Acesso.

Tarefa 3: Controlar Recursos

Com o Oracle API Access Control e suas políticas em vigor, faça log-in como um usuário do Oracle API Access Control para controlar os recursos.

1. Vá para a Console do OCI, navegue até Oracle Database, API Access Control e clique em Criar controle de API privilegiado.

   

2. Selecione o compartimento (ExaCC) e crie um novo controle.

3. Informe o Nome e a Descrição do seu controle.

4. Selecionar um tipo de recurso: Selecione Infraestrutura Exadata para este tutorial.

   • Exadata Cloud Infrastructure para um Oracle Exadata Database Service on Dedicated Infrastructure na OCI ou Oracle Multicloud.
   • Infraestrutura Exadata para o Oracle Exadata Database Service on Cloud@Customer.

   

5. Selecionar compartimento do Exadata Infrastructure: A Infraestrutura do Exadata está localizada em um compartimento separado (eccw-infrastructure).

6. Selecionar Infraestrutura do Exadata: A infraestrutura a ser controlada é eccw-infrastructure.

7. Selecione as APIs que você deseja controlar para sua infraestrutura.

   Por exemplo:

   • Você pode proteger exclusões da infraestrutura.
   • Para um cluster de Máquina Virtual (VM), você pode proteger atualizações, exclusões, adicionar/remover VMs e alterar compartimentos.
   • Para atualizações de cluster de VMs, vários atributos podem ser selecionados como privilegiados, como a alteração de contagens de núcleos de CPU (que afeta o software de dimensionamento automático) ou chaves públicas SSH.
   • Você também pode controlar:
     • APIs do home do banco de dados, como exclusões.
     • APIs de máquina virtual, como atualizações e criação de conexões de console.
     • APIs da rede de clusters de VMs, incluindo redimensionamentos, atualizações e deleções.
     • APIs de banco de dados contêiner, que incluem exclusões, rotações de chaves de gerenciamento de chaves de Criptografia de Dados Transparente, atualizações e upgrades.
     • APIs de banco de dados plugável, com ações como iniciar/interromper, atualizar, atualizar e excluir bancos de dados plugáveis. Neste exemplo, queremos aplicar controles na alteração de contagens de núcleos de CPU (7a) e exclusão do CDB (7b).

   Observação: os controles atribuídos podem ser modificados após a criação do controle inicial, mas as modificações também exigem o processo de aprovação do Controle de Acesso da API Oracle.

8. Em Informações de Aprovação, selecione Usar política do serviço IAM para obter informações de aprovação. Isso é obrigatório ao operar em uma tenancy com domínios de identidades.

9. Opcionalmente, você pode exigir uma segunda aprovação para sistemas particularmente confidenciais, exigindo duas identidades separadas para aprovar uma solicitação de acesso.

10. Selecionar um tópico de notificação: Selecione um tópico de Notificação do OCI para notificações de solicitação de acesso e clique em Criar. Depois de criar o controle, leva alguns minutos para ficar on-line.

    As imagens a seguir mostram a criação de um tópico de Notificação do OCI, a criação e a configuração de uma assinatura.

    

    

Observação: os registros de auditoria do OCI são vinculados aos compartimentos nos quais os recursos residem. Portanto, ao criar esse Oracle API Access Control no compartimento ExaCC, os registros de auditoria relacionados ao gerenciamento do ciclo de vida nos controles da API serão encontrados lá. As atualizações na infraestrutura do Exadata, localizada no compartimento eccw-infrastructure, farão com que seus registros de auditoria sejam exibidos no compartimento eccw-infrastructure.

Tarefa 4: Demonstrar Aplicação de Controle de API

Para demonstrar como a API controla o sistema, siga as etapas:

1. Faça log-in na Console do OCI como usuário infra-db-admin-user.

2. Selecione Oracle Database Service on Cloud at Customer.

3. Selecione seu cluster de máquina virtual e sua infraestrutura do Exadata.

4. Você verá o cluster de VMs da eccw-cl3, com o Oracle API Access Control ativado.

5. Se você tentar alterar a contagem de ECPUs por VM diretamente no menu, a operação será negada, pois não é permitida para o recurso atual.

   

6. Da mesma forma, se você tentar encerrar um banco de dados, a operação não será permitida.

7. Para verificar o registro de auditoria na Console do OCI.

   1. Navegue até Observabilidade e Gerenciamento.

   2. Selecione Log e clique em Auditoria.

   3. Selecione o compartimento ExaCC.

   4. Auditoria para ações como PUT e POST ou alterações de estado.

   No compartimento eccw-infrastructure, você verá um erro Not Found (404) indicando que a verificação de aprovação do Oracle API Access Control falhou na solicitação.

   

Tarefa 5: Criar e Aprovar uma Solicitação de Acesso

1. Vá para a Console do OCI, navegue até o Oracle Database e clique em API Access Control.

2. Clique em Criar Solicitação de Acesso Privilegiada, onde você pode criar uma solicitação para atualizar a contagem de núcleos de CPU.

   1. Compartimento: Selecione o ExaCC compartimento.

   2. Números de ticket: Adicione uma referência a um ticket (este é um texto de formato livre).

   3. Tipo de recurso: O tipo de recurso é o cluster de VMs.

   4. Selecionar operações privilegiadas: Solicitação para atualizar o cluster de VMs cpuCoreCount. Você pode adicionar mais operações, se necessário, para uma única janela de acesso.

      

   5. Você pode solicitar acesso para uma data futura para manutenção planejada ou imediatamente.

   6. Selecionar um tópico de notificação: Selecione um tópico a ser notificado e clique em Criar.

      

   No compartimento no qual a solicitação de acesso é criada, você a verá em um estado Raised.

   

   Se você mesmo tentar aprová-lo, receberá um erro indicando que um usuário diferente deve aprová-lo.

3. Acesse o sistema como seu usuário aprovador ExaCC Approver. Você pode ver as solicitações de acesso no compartimento.

   

   Uma notificação por e-mail será enviada aos membros do ExaCC-API-Approver-grp.

   

4. Você pode acessar a solicitação gerada.

   

5. Revise a solicitação para UpdateVmCluster cpuCoreCount e aprove a solicitação imediatamente ou selecione um horário futuro.

   

   

6. Depois que a solicitação de acesso for aprovada, retorne ao recurso de cluster de VMs e atualize a contagem de ECPUs por VM. O sistema agora permitirá a alteração da contagem de ECPUs por VM.

Tarefa 6: Auditar Operações Aprovadas

Do ponto de vista da auditoria.

1. Vá para a Console do OCI, navegue até Observabilidade e Gerenciamento e selecione Auditoria.

2. Navegue até o compartimento no qual a solicitação de acesso do Oracle API Access Control está configurada. Consulte POSTs e PUTs.

3. Você verá que o usuário do infra-db-admin-user criou uma solicitação de acesso do Oracle API Access Control.

   

4. Você verá as Solicitações Inadequadas (400) quando você mesmo tentou aprová-las.

   

   

5. Você verá que o ExaCC Approver aprovou a solicitação de acesso.

   

Da mesma forma, ao observar o compartimento eccw-infrastructure, você observará a atualização do cluster de VMs que ocorreu após a aprovação. Você pode ver o início da atualização do cluster de VMs e a verificação de controle de acesso da API aprovada, indicando que as APIs serão enviadas para frente.

Tarefa 7: Revogar Solicitações de Controle de Acesso da API Oracle

Uma solicitação de Controle de Acesso da API Oracle pode ser revogada pela pessoa que a enviou ou pelo aprovador. Assim que uma solicitação for revogada, qualquer tentativa de executar a ação será proibida.

De uma perspectiva de auditoria no compartimento eccw-infrastructure, você pode observar os métodos PUT e POST. Você verá atualizações de cluster de VMs que foram permitidas após a aprovação, bem como falhas nas atualizações de cluster de VMs que ocorreram porque a solicitação de acesso não foi aprovada. Ao revisar o gerenciamento do ciclo de vida das próprias solicitações de acesso, você pode ver quando a solicitação foi aberta, o Erro 400 para autoaprovação e a aprovação bem-sucedida por outro usuário.

Tarefa 8: Editar ou Remover Controles

• Se você tentar remover um controle, o software criará automaticamente uma solicitação de Controle de Acesso da API Oracle em seu nome para removê-lo.

  

• Se você tentar aprovar sua própria ação para remover o controle, as mesmas regras de imposição serão aplicadas (ela será negada).

  

• Se um usuário diferente (por exemplo, outro usuário de teste com direitos para aprovar solicitações de acesso) aprovar a solicitação de acesso, ele poderá excluir ou remover o recurso.

Tarefa 9: Concluir Auditoria Final para Exclusão de Controle

De uma perspectiva de auditoria para exclusão de controle.

• Você pode ver a tentativa do infra-db-admin-user de excluir o controle de API privilegiado e receber um Erro 400.

• Em seguida, você poderá ver outro usuário ExaCC Approver aprovando a solicitação de acesso à API privilegiada, resultando em um status 200 (bem-sucedido).

• Por fim, infra-db-admin-user emite o comando delete e você verá que a exclusão foi bem-sucedida com um status OK (202).

Links Relacionados

• Oracle Exadata Database Service on Cloud@Customer

• Controle de Acesso à API da Oracle

• Vídeo de Demonstração do API Access Control

Confirmações

• Autor - Filip Vercauteren (Exadata Cloud@Customer Black Belt)

• Contribuidores - Matthieu Bordonne (Consultor de Vendas Principal - Centro de Soluções da EMEA), Zsolt Szokol (Exadata Cloud@Customer Black Belt), Jeffrey Wright (Gerente de Produtos Distintos)

Mais Recursos de Aprendizado

Explore outros laboratórios em docs.oracle.com/learn ou acesse mais conteúdo de aprendizado gratuito no canal do Oracle Learning YouTube. Além disso, acesse education.oracle.com/learning-explorer para se tornar um Oracle Learning Explorer.

Para obter a documentação do produto, visite o Oracle Help Center.

---

Título e Informações de Copyright

Use Oracle API Access Control with Oracle Exadata Database Service on Cloud@Customer and Oracle Exadata Database Service on Dedicated Infrastructure

G39128-01

Copyright ©2025, Oracle and/or its affiliates.