專用 Exadata 基礎架構上的自治式 AI 資料庫內存取控制

在專用 Exadata 基礎架構上設定自治式 AI 資料庫時，您必須確保雲端使用者能夠使用並建立適當的雲端資源，以執行工作職責。此外，您必須確保只有獲得授權的人員和應用程式，才能存取在專用基礎架構上建立的自治式 AI 資料庫。否則，您將使用專屬基礎架構資源或不適當的存取關鍵任務資料，而面臨「失控」風險。

在開始建立和使用提供專用基礎架構功能的雲端資源之前，您需要先制定存取控制計畫，然後建立適當的 IAM (身分識別與存取管理) 和網路資源來進行學會。因此，自治式 AI 資料庫內的存取控制會在各種層級實行：

Oracle 雲端使用者存取控制
用戶端存取控制
資料庫使用者存取控制

Oracle Cloud 使用者存取控制

您可以控制租用戶中 Oracle Cloud 使用者對雲端資源的存取，這些資源會組成您在專用 Exadata 基礎架構上部署的自治式 AI 資料庫。

您可以使用 Identity and Access Management (IAM) 服務，確保您的雲端使用者能夠建立及僅使用適當種類的 Autonomous AI 資料庫資源來執行工作職責。若要建立雲端使用者的存取控制，您必須定義原則，將特定群組的使用者特定存取權限授予特定區間中的特定資源種類。

IAM 服務提供數種元件，協助您定義和實作安全的雲端使用者存取策略：

區間：相關資源的集合。區間是 Oracle Cloud Infrastructure 的基本元件，可用來組織及隔離您的雲端資源。
群組：使用者集合，所有使用者都需要一組特定資源或區間的相同存取類型。
動態群組：特殊類型的群組，其中包含符合您定義之規則的資源。因此，建立或刪除相符的資源時，成員身分可以動態變更。
原則：一組敘述句，指定誰可以存取哪些資源以及存取方式。在群組和區間層級授予存取權，這表示您編寫原則敘述句，為特定群組提供特定類型資源在特定區間內的存取。

政策與政策聲明

您用來定義雲端使用者存取控制的主要工具是原則，一種 IAM (身分識別與存取管理) 資源，其中包含以「對象」、「如何」、「何處」和「何處」指定存取的原則敘述句。

原則敘述句的格式如下：

Allow
  group <group-name>
  to <control-verb>
  <resource-type>
  in compartment <compartment-name>

群組 <group-name> 會提供現有 IAM 群組的名稱 (可指定個別雲端使用者的 IAM 資源)，以指定「誰」。
至 <control-verb> 使用下列其中一個預先定義的控制動詞來指定「如何」：
- 檢查：列出指定類型之資源的功能，不需存取任何可能屬於該資源的機密資訊或使用者指定的描述資料。
- read ：inspect 加上取得使用者指定之描述資料和實際資源本身的功能。
- 使用：read 加上使用現有資源的功能，但無法建立或刪除這些資源。此外，「使用」表示不同資源類型的不同作業。
- 管理：資源類型的所有權限，包括建立和刪除。
在專用基礎架構功能的相關資訊環境中，機組管理員可以 manage 自治式容器資料庫，而資料庫管理員只能 use 建立自治式 AI 資料庫。
<resource-type> 會使用預先定義的資源類型指定「什麼」。專用基礎架構資源的資源類型值為：
- exadata 基礎架構
- 自治式容器資料庫
- 自治資料庫
- 自主備份
由於專用基礎架構資源使用網路資源，因此您所建立的部分原則敘述句會參照 virtual-network-family 資源類型值。此外，如果您的租用戶使用標記功能，您可以建立參照 tag-namespaces 資源類型值的原則敘述句。
在 <compartment-name> 區間中提供現有 IAM 區間的名稱，此區間是建立資源的 IAM 資源。區間是 Oracle Cloud Infrastructure 的基本元件，可用來組織及隔離雲端資源。

如需自治式 AI 資料庫的原則詳細資訊，請參閱 IAM 專用 Exadata 基礎架構上的自治式 AI 資料庫原則。

如需 IAM 服務及其元件的運作方式與其使用方式的相關資訊，請參閱Oracle Cloud Infrastructure Identity and Access Management 概要。如需有關 IAM 常見問題的快速解答，請參閱身分識別與存取管理常見問題。

規劃和建立存取控制的最佳做法

針對專用基礎架構功能規劃與建立存取控制時，您應該考慮這些最佳做法。

建立只包含專用子網路的個別 VCN。 在幾乎每一種狀況中，在專用基礎架構上建立的自治式 AI 資料庫會儲存公司敏感的資料，且通常只能從公司的專用網路內存取。即使是與合作夥伴、供應商、消費者和客戶共用的資料，也可透過受監管的安全管道提供給他們。

因此，您提供給這類資料庫的網路存取應該是貴公司專用的。您可以建立使用專用子網路和 IPSec VPN 或 FastConnect 連線至公司專用網路的 VCN 來確保這一點。如需有關設定這類組態的資訊，請參閱 Oracle Cloud Infrastructure 文件中的 Scenario B：Private Subnets with a VPN 。

如需有關保護資料庫網路連線的其他資訊，請參閱 Oracle Cloud Infrastructure 文件中的保護網路的方式。
至少建立兩個子網路。 您至少應該建立兩個子網路：一個用於自治式 Exadata VM 叢集和自治式容器資料庫資源，另一個用於與自治式 AI 資料庫從屬端和應用程式關聯的資源。
至少建立兩個區間。 您至少應該建立兩個區間：一個用於 Exadata 基礎架構、自治式 Exadata VM 叢集和自治式容器資料庫資源，另一個用於自治式 AI 資料庫資源。
建立至少兩個群組。 您至少應該建立兩個群組：一個用於機組管理員，一個用於資料庫管理員。

從屬端存取控制

自治式 AI 資料庫藉由控制網路存取控制和從屬端連線，實行從屬端存取控制。

網路存取控制

在專用 Exadata 基礎架構上設定並設定專用部署 Oracle Autonomous AI Database 時，您可以定義自治式 AI 資料庫的網路存取控制。這麼做取決於您的專用部署是在 Oracle Public Cloud 或 Exadata Cloud@Customer 上：

在 Oracle Public Cloud 上，您可以使用網路服務的元件來定義網路存取控制。您會建立一個虛擬雲端網路 (VCN)，其中包含可從網路存取自治式 AI 資料庫的專用子網路。此外，您還可以建立安全規則，以允許特定類型的流量進入或退出子網路中的 IP 位址。

如需有關建立這些資源的詳細資訊，請執行 Oracle Autonomous AI Database Dedicated for Fleet Administrators 中的 Lab 1：Prepare Private Network for OCI Implementation 。
在 Exadata Cloud@Customer 上，您可以在資料中心內指定從屬端網路，並將它記錄在 Exadata 基礎架構資源內的 VM 叢集網路資源，以定義網路存取控制。

零信任封包路由 (ZPR)

套用至：僅限 Oracle Public Cloud

Oracle Cloud Infrastructure Zero Trust Packet Routing (ZPR) 透過您為資源 (例如指定安全屬性的自治式 Exadata VM 叢集 (AVMC)) 寫入的意圖式安全原則，保護機密資料免於未經授權的存取。

安全屬性是 ZPR 用來識別及組織資源的標籤。ZPR 會在每次要求存取時強制實行網路層次的原則，無論可能的網路架構變更或組態錯誤為何。ZPR 建立在現有的網路安全群組 (NSG) 和安全控制清單 (SCL) 規則上。若要讓封包到達目標，必須傳送所有 NSG 和 SCL 規則和 ZPR 原則。如果有任何 NSG、SCL 或 ZPR 規則或原則不允許流量，就會刪除要求。

您可以使用 ZPR 保護網路的三個步驟：

建立 ZPR 使用者自建物件，亦即安全屬性命名空間和安全屬性。
寫入 ZPR 原則以使用安全屬性連線資源。ZPR 使用 ZPR 政策語言 (ZPL)，並強制限制對已定義資源的存取。作為專用 Exadata 基礎架構客戶的自治式 AI 資料庫，您可以在租用戶中編寫以 ZPL 為基礎的原則，以確保只有授權的使用者和資源才能存取來自 AVMC 的資料。
指定資源的安全屬性以啟用 ZPR 原則。

注意：透過 Oracle Cloud Infrastructure 主控台、API 或 CLI，將描述、標記、安全屬性或易記名稱指定給雲端資源時，請勿輸入機密資訊。

請參閱零信任封包路由入門以瞭解詳細資訊。

您有下列選項可將 ZPR 安全屬性套用至 AVMC：

佈建 AVMC 時套用安全屬性。請參閱建立自治式 Exadata VM 叢集以瞭解詳細資訊。
將安全屬性套用至現有的 AVMC 資源。如需詳細資訊，請參閱設定 AVMC 的零信任封包路由 (ZPR) 。

必須先定義下列 IAM 原則，才能順利將 ZPR 安全屬性新增至 AVMC：

allow group <group_name>
to { ZPR_TAG_NAMESPACE_USE, SECURITY_ATTRIBUTE_NAMESPACE_USE }
in tenancy

allow group <group_name>
to manage autonomous-database-family
in tenancy

allow group <group_name>
to read security-attribute-namespaces
in tenancy

Access Control Lists (ACLs) - 存取控制清單 (ACL)

為了提高安全性，您可以同時在 Oracle Public Cloud 和 Exadata Cloud@Customer 專用部署中啟用存取控制清單 (ACL)。ACL 只允許具有特定 IP 位址的從屬端連線至資料庫，以提供額外的資料庫保護。您可以個別新增 IP 位址，或在 CIDR 區塊中新增 IP 位址。支援 IPv4 和 IPv6 型 IP 的 / CIDR。這可讓您透過限制自治式 AI 資料庫對特定應用程式或用戶端的網路存取，來制定精細的存取控制原則。

您可以在佈建資料庫時或之後的任何時間，選擇性地建立 ACL。您也可以隨時編輯 ACL。啟用 IP 位址清單空白的 ACL 會讓資料庫無法存取。如需詳細資訊，請參閱設定專用自治式 AI 資料庫的存取控制清單。

請注意下列有關使用 ACL 搭配自治式 AI 資料庫的資訊：

自治式 AI 資料庫服務主控台不受 ACL 規則限制。
Oracle Application Express (APEX)、RESTful 服務、SQL Developer Web 及效能中心不受 ACL 限制。
建立自治式 AI 資料庫時，如果設定 ACL 失敗，則佈建資料庫也會失敗。
只有當資料庫處於「可用」狀態時，才允許更新 ACL。
回復資料庫並不會覆寫現有的 ACL。
複製資料庫 (完整和描述資料) 將具有與來源資料庫相同的存取控制設定值。您可以視需求進行變更。
備份不受 ACL 規則限制。
在 ACL 更新期間，允許執行所有自治式容器資料庫 (CDB) 作業，但不允許執行自治式 AI 資料庫作業。

Web 應用程式防火牆 (WAF)

對於存取控制清單以外的進階網路控制，專用 Exadata 基礎架構上的 Oracle Autonomous AI Database 支援使用 Web 應用程式防火牆 (WAF)。WAF 可保護應用程式免於惡意和不需要的網際網路流量。WAF 可以保護所有面對網際網路的端點，確保客戶在應用系統上實施一致的規則。WAF 可讓您建立及管理網際網路威脅規則，包括跨網站命令檔 (XSS)、SQL 資料隱碼 (SQL Injection) 以及其他 OWASP 定義的漏洞。存取規則可以根據要求的地理位置或簽名來限制。如需如何設定 WAF 的步驟，請參閱 Web 應用程式防火牆原則入門。

從屬端連線控制

專用 Exadata 基礎架構上的 Oracle Autonomous AI Database 會使用標準 TLS 1.2 和 TLS 1.3 憑證型認證實行從屬端連線控制，以認證從屬端連線。不過，只有 Oracle Database 23ai 或更新版本支援 TLS 1.3。

自治式 AI 資料庫預設會使用自行簽署的憑證。不過，您可以從 Oracle Cloud Infrastructure (OCI) 主控台安裝 CA 簽署的伺服器端憑證。若要使用自己的憑證，您必須先使用 Oracle Cloud Infrastructure (OCI) 憑證服務建立憑證，如建立憑證中所示。這些憑證必須已簽署，且必須採用 PEM 格式，也就是說，其副檔名必須是 .pem、.cer 或 .crt。如需詳細資訊，請參閱專用自治式 AI 資料庫中的憑證管理。

資料庫使用者存取控管

Oracle Autonomous AI Database on Dedicated Exadata Infrastructure 會設定您建立的資料庫，以使用 Oracle AI Database 的標準使用者管理功能。它會建立一個管理使用者帳戶 ADMIN，用於建立其他使用者帳戶以及提供帳戶的存取控制。

標準使用者管理提供一組強大的功能和控制，例如系統和物件權限、角色、使用者設定檔以及密碼原則，讓您在大多數情況下定義和實行安全的資料庫使用者存取策略。如需詳細指示，請參閱建立及管理資料庫使用者。

如需標準使用者管理的基本資訊，請參閱 Oracle AI Database Concepts 中的 User Accounts 。如需詳細資訊和指引，請參閱 Oracle Database 19c Security Guide 或 Oracle Database 26ai Security Guide 中的 Managing Security for Oracle Database Users 。

如果資料庫使用者存取策略需要的控制比標準使用者管理還要多，您可以將自治式 AI 資料庫設定為使用下列任何工具來滿足更嚴格的需求。

工具	描述
Database Vault	Oracle Database Vault 已預先設定並可在自治式 AI 資料庫中使用。您可以使用其強大的安全控制，依授權的資料庫使用者限制對應用程式資料的存取，降低內部和外部威脅的風險，並滿足常見的規範需求。如需詳細資訊，請參閱 Autonomous AI Database 的安全性功能中的資料保護。
Oracle Cloud Infrastructure Identity and Access Management (IAM)	您可以設定讓自治式 AI 資料庫使用 Oracle Cloud Infrastructure Identity and Access Management (IAM) 認證和授權，讓 IAM 使用者能夠存取具備 IAM 證明資料的自治式 AI 資料庫。請參考搭配自治式 AI 資料庫使用身分識別與存取管理 (IAM) 認證，以將此選項與您的資料庫搭配使用。
Azure OAuth2 存取權杖	在 Azure `oAuth2` 存取權杖的協助下，您可以集中管理 Microsoft Azure Active Directory (Azure AD) 服務中的 Oracle Autonomous AI Database on Dedicated Exadata Infrastructure 使用者。此類型的整合可讓 Azure AD 使用者存取 Oracle Autonomous AI Database on Dedicated Exadata Infrastructure 執行處理。Azure AD 使用者和應用程式可以使用 Azure AD 單一登入 (SSO) 證明資料登入，以取得要傳送至資料庫的 Azure AD `OAuth2` 存取權杖。如需有關將 Microsoft Azure Active Directory 與資料庫整合的詳細資訊，請參閱驗證並授權適用於自治式 AI 資料庫的 Microsoft Azure Active Directory 使用者。
Microsoft Active Directory (CMU-AD)	如果您使用 Microsoft Active Directory 作為使用者儲存區域，可以將「自治式 AI 資料庫」設定為認證並授權 Microsoft Active Directory 使用者。無論您是使用標準使用者管理、Database Vault、Real Application Security 或 Virtual Private Database，此整合都可讓您在導入嚴謹的資料庫使用者存取策略的同時，整合使用者儲存庫。如需有關將 Microsoft Active Directory 與資料庫整合的詳細資訊，請參閱 Microsoft Active Directory 與 Autonomous AI 資料庫。
Kerberos	Kerberos 是信任的第三方認證系統，依賴共用密碼。它假定第三方是安全的，並且提供單一登入功能、集中式密碼儲存、資料庫連結認證和增強的 PC 安全。它會透過 Kerberos 認證伺服器來進行。 Kerberos 的自治式 AI 資料庫支援提供 Oracle 使用者的單一登入和集中式認證的優點。如需詳細資訊，請參閱使用 Kerberos 驗證自治式 AI 資料庫使用者。
具備 CMU-AD 的 Kerberos	您可以在 CMU-AD 上設定 Kerberos 認證，為 Microsoft Active Directory 使用者提供 CMU-AD Kerberos 認證。若要為 Microsoft Active Directory 使用者提供 CMU-AD Kerberos 認證，您可以在啟用外部認證的同時，將 `type` 設定為 `CMU`，以在 CMU-AD 上啟用 Kerberos 認證，如在自治式 AI 資料庫上啟用 Kerberos 認證所述。
Real Application Security 與虛擬專用資料庫	Oracle Real Application Security (RAS) 提供宣告式模型，此模型不僅包含受保護的業務物件，還包含具有在這些業務物件上操作權限的主要項目 (使用者和角色)。相較於前身的 Oracle Virtual Private Database，RAS 更安全、可擴展且符合成本效益。使用 Oracle RAS 時，應用程式使用者也會在應用程式層和資料庫中驗證。無論資料存取路徑為何，資料安全原則都是根據資料庫中的一般使用者原生階段作業在資料庫核心中強制實行。指派給使用者的權限，可控制可在資料庫物件的資料列與資料欄上執行的作業類型 (選取、插入、更新以及刪除)。如需有關 Oracle RAS 的詳細資訊，請參閱 Oracle Database 19c Real Application Security Administrator's and Developer's Guide 中的 Introducing Oracle Database Real Application Security 或 Oracle Database 26ai Real Application Security Administrator's and Developer's Guide 。 Oracle Autonomous AI Database on Dedicated Exadata Infrastructure 也支援 Oracle Virtual Private Database (VPD)，這是 Oracle RAS 的前身。如果您已經熟悉並使用 Oracle VPD，您可以將它與自治式 AI 資料庫搭配使用。如需有關虛擬專用資料庫的詳細資訊，請參閱 Oracle Database 19c Security Guide 或 Oracle Database 26ai Security Guide 中的 Using Oracle Virtual Private Database to Control Data Access 。

有權限的存取管理 (PAM)

Oracle Access Control 記載了 Oracle 在其產品和服務中關於使用者存取和權限管理的安全性狀態。

專用 Exadata 基礎架構上的 Autonomous AI Database 旨在隔離及保護客戶服務和資料庫資料，避免未經授權的存取。自主 AI 資料庫將客戶與 Oracle 之間的職責區分開來。客戶控制對資料庫綱要的存取。Oracle 控制對 Oracle 管理之基礎架構和軟體元件的存取。

專用 Exadata 基礎架構上的 Autonomous AI Database 旨在協助保護資料以供客戶授權使用，並協助保護資料免於未經授權的存取，包括防止 Oracle Cloud Ops 員工存取客戶資料。旨在防止對 Exadata 基礎架構、自治式 VM 及 Oracle 資料庫資料進行未經授權存取的安全措施如下：

Oracle Database 資料受到 Oracle Transparent Data Encryption (TDE) 金鑰保護。
客戶可控制對 TDE 加密金鑰的存取，並可選擇將這類金鑰儲存在外部 Oracle Key Vault 金鑰管理系統中。
Oracle Database Vault 已預先設定，可防止有權限的使用者存取自治式 AI 資料庫中的客戶資料。
客戶可以選擇透過「操作員存取控制」服務註冊來核准操作員存取。
所有的操作員存取都是以 FIPS 140-2 等級 3 硬體多重因素認證為基礎，並搭配 Oracle 核准的裝置實作的硬體 YubiKey。
所有操作員動作都記錄在命令層級，而且可以近乎即時地傳送至 OCI 日誌記錄服務或客戶 SIEM。
Oracle Operations Access Control 可確保 Oracle Cloud 作業和支援人員用來監督和分析效能的使用者帳戶無法存取「自治式 AI 資料庫」中的資料。Oracle Cloud 營運和支援人員無法存取您自治式 AI 資料庫中的資料。建立自治式容器資料庫時，專用 Exadata 基礎架構上的自治式 AI 資料庫會啟用並設定 Oracle Database Vault 的作業控制功能，以禁止一般使用者存取容器資料庫中建立之自治式 AI 資料庫中的資料。

您可以在自治式 AI 資料庫中輸入此 SQL 敘述句，以確認「作業控制」為作用中：
```
SELECT * FROM DBA_DV_STATUS;
```
APPLICATION CONTROL 的狀態表示「作業控制」為作用中。

注意：「作業控制」之前稱為「應用程式控制」。

如自治式 AI 資料庫的安全性功能所述，PAM 也與 Database Vault 一起實作以提供資料保護。