專用 Exadata 基礎架構上的自治式 AI 資料庫內存取控制

Oracle Cloud 使用者存取控制

您可以控制租用戶中 Oracle Cloud 使用者對雲端資源的存取，這些資源會組成專用 Exadata 基礎架構上的自治式 AI 資料庫。

您可以使用 Identity and Access Management (IAM) 服務，確保您的雲端使用者只能建立和使用適當種類的 Autonomous AI Database 資源來執行工作職責。若要建立雲端使用者的存取控制，您必須定義原則，將特定群組的使用者特定存取權限授予特定區間中的特定資源種類。

IAM 服務提供數種元件，協助您定義和實作安全的雲端使用者存取策略：

區間：相關資源的集合。區間是 Oracle Cloud Infrastructure 的基本元件，可用來組織及隔離您的雲端資源。
群組：一組使用者，所有使用者都需要一組特定資源或區間的相同類型存取權。
動態群組：特殊類型的群組，其中包含符合您定義之規則的資源。因此，建立或刪除相符的資源時，成員可以動態變更。
原則：指定誰可以存取哪些資源以及如何存取的敘述句群組。存取權是在群組和區間層級授予，這表示您撰寫原則陳述式，讓特定群組對特定區間內的特定資源類型存取特定類型。

原則和原則敘述句

您用來定義雲端使用者存取控制的主要工具是原則、IAM (識別與存取管理) 資源，其中包含原則敘述句，可指定「誰」、「如何」、「什麼」以及「何處」等存取。

原則敘述句的格式為：

Allow 
  group <group-name> 
  to <control-verb> 
  <resource-type> 
  in compartment <compartment-name>

group <group-name> 指定「Who」，方法是提供可指派個別雲端使用者的現有 IAM 群組名稱。
to <control-verb> 使用下列其中一個預先定義的控制動詞來指定「如何」：
- inspect ：可列出指定類型的資源，但無法存取可能屬於該資源的任何機密資訊或使用者指定的描述資料。
- read ：inspect 加上取得使用者指定的描述資料和實際資源本身的功能。
- use ：read 加上使用現有資源的功能，但無法建立或刪除這些資源。此外，「處理」代表不同資源類型的不同作業。
- manage ：資源類型的所有權限，包括建立和刪除。
在專用基礎架構功能的相關資訊環境中，機組管理員可以 manage 自治式容器資料庫，而資料庫管理員只能 use 建立 Autonomous AI Database 。
<resource-type> 使用預先定義的資源類型指定「什麼」。專用基礎架構資源的資源類型值為：
- exadata-infrastructures
- autonomous-container-databases
- autonomous-databases
- autonomous-backups
因為專用基礎架構資源使用網路資源，所以您建立的某些原則敘述句會參照 virtual-network-family 資源類型值。此外，如果您的租用戶使用標記功能，您可以建立參照 tag-namespaces 資源類型值的原則敘述句。
in compartment <compartment-name> 提供現有 IAM 區間的名稱，也就是建立資源的 IAM 資源，以指定「位置」。區間是 Oracle Cloud Infrastructure 的基礎元件，可用於組織和隔離雲端資源。

如需 Autonomous AI Database 的原則詳細資訊，請參閱 IAM Policies for Autonomous AI Database on Dedicated Exadata Infrastructure 。

如需有關 IAM 服務及其元件如何運作以及如何使用它們的資訊，請參閱 Oracle Cloud Infrastructure Identity and Access Management 簡介。如需有關 IAM 常見問題的快速解答，請參閱身分識別與存取管理常見問題。

規劃和建立存取控制時的最佳做法

針對專屬基礎架構功能規劃和建立存取控制時，請考量這些最佳做法。

建立只包含專用子網路的個別 VCN。在幾乎每一種狀況中， Autonomous AI Database 是建立在公司敏感的專用基礎架構房屋資料上，通常只能從公司的專用網路內存取。即使是與合作夥伴、供應商、消費者和客戶共用的資料，也可透過受監管的安全管道提供給他們。

因此，您提供給這類資料庫的網路存取應該是貴公司的專用存取。您可以建立使用專用子網路和 IPSec VPN 或 FastConnect 連線至您公司的專用網路的 VCN，以確保達到此目的。如需有關設定這類組態的資訊，請參閱 Oracle Cloud Infrastructure 文件中的 Scenario B：Private Subnets with a VPN 。

如需有關保護資料庫網路連線的其他資訊，請參閱 Oracle Cloud Infrastructure 文件中的保護網路的方式。
至少建立兩個子網路。您至少應該建立兩個子網路：一個用於自治式 Exadata VM 叢集和自治式容器資料庫資源，另一個用於與自治式 AI 資料庫從屬端和應用程式關聯的資源。
至少建立兩個區間。您至少應該建立兩個區間：一個用於 Exadata 基礎架構、自治式 Exadata VM 叢集和自治式容器資料庫資源，另一個用於自治式 AI 資料庫資源。
請至少建立兩個群組。您至少應建立兩個群組：一個用於機組管理員，一個用於資料庫管理員。

從屬端存取控制

用戶端存取控制透過控制網路存取控制和用戶端連線，在 Autonomous AI Database 中實作。

網路存取控制

當您設定並設定 Oracle Autonomous AI Database on Dedicated Exadata Infrastructure 的專用部署時，可以定義 Autonomous AI Database 的網路存取控制。方法取決於您的專用部署是在 Oracle Public Cloud 或 Exadata Cloud@Customer 上：

在 Oracle Public Cloud 上，您可以使用網路服務的元件來定義網路存取控制。您可以建立一個包含專用子網路的虛擬雲端網路 (VCN)，讓自治式 AI 資料庫可在其中進行網路存取。此外，您還可以建立安全規則，以允許特定類型的流量進入或退出子網路中的 IP 位址。

For detailed information about creating these resources, run Lab 1: Prepare Private Network for OCI Implementation in Oracle Autonomous AI Database Dedicated for Fleet Administrators.
在 Exadata Cloud@Customer 上，您可以透過在資料中心內指定從屬端網路並將其記錄在 Exadata 基礎架構資源內的 VM 叢集網路資源，來定義網路存取控制。

零信任封包路由 (ZPR)

適用於：僅限 Oracle Public Cloud

Oracle Cloud Infrastructure Zero Trust Packet Routing (ZPR) 透過您為資源 (例如自治式 Exadata VM 叢集 (AVMC) 編寫的意圖式安全原則，保護機密資料免於未經授權的存取。

安全性屬性是 ZPR 用來識別與組織資源的標籤。ZPR 在每次要求存取時都強制實施網路層級的策略，而不管潛在的網路架構變更或配置錯誤。ZPR 建立在現有的網路安全群組 (NSG) 和安全控制清單 (SCL) 規則上。若要讓封包到達目標，必須傳送所有 NSG 和 SCL 規則和 ZPR 原則。如果任何 NSG、SCL 或 ZPR 規則或原則不允許流量，就會捨棄要求。

您可以使用 ZPR 來保護網路，只需三個步驟：

建立 ZPR 使用者自建物件，即安全屬性命名空間和安全屬性。
寫入 ZPR 原則以使用安全屬性連線資源。ZPR 使用 ZPR 政策語言 (ZPL)，並強制限制對已定義資源的存取。身為專用 Exadata 基礎架構上的自治式 AI 資料庫客戶，您可以在租用戶中撰寫以 ZPL 為基礎的原則，以確保只有授權的使用者和資源才能存取來自 AVMC 的資料。
指定資源的安全屬性以啟用 ZPR 原則。

附註：

透過 Oracle Cloud Infrastructure 主控台、API 或 CLI 指派描述、標記、安全性屬性或易記名稱給雲端資源時，請避免輸入機密資訊。

如需詳細資訊，請參閱 Zero Trust Packet Routing 入門。

您有下列選項可將 ZPR 安全性屬性套用至 AVMC：

佈建 AVMC 時，請套用安全屬性。請參閱建立自治式 Exadata VM 叢集以瞭解詳細資訊。
將安全屬性套用至現有的 AVMC 資源。如需詳細資訊，請參閱設定 AVMC 的零信任封包路由 (ZPR) 。

先決條件是必須定義下列 IAM 原則，才能順利將 ZPR 安全屬性新增至 AVMC：

allow group <group_name>
to { ZPR_TAG_NAMESPACE_USE, SECURITY_ATTRIBUTE_NAMESPACE_USE }
in tenancy

allow group <group_name>
to manage autonomous-database-family
in tenancy

allow group <group_name>
to read security-attribute-namespaces
in tenancy

Access Control Lists (ACLs) - 存取控制清單 (ACL)

為了提高安全性，您可以同時在 Oracle Public Cloud 和 Exadata Cloud@Customer 專用部署中啟用存取控制清單 (ACL)。ACL 只允許具有特定 IP 位址的從屬端連線至資料庫，為您的資料庫提供額外的保護。您可以個別新增 IP 位址，或在 CIDR 區塊中新增 IP 位址。支援 IPv4 和 IPv6 型 IP 的 / CIDR。這可讓您限制 Autonomous AI Database 對特定應用程式或用戶端的網路存取，以制定精細的存取控制原則。

您可以在佈建資料庫時或之後的任何時間，選擇性地建立 ACL。您也可以隨時編輯 ACL。啟用 IP 位址清單空白的 ACL 會讓資料庫無法存取。如需詳細資訊，請參閱設定專用 Autonomous AI Database 的存取控制清單。

請注意下列有關使用具有 Autonomous AI Database 的 ACL 的資訊：

Autonomous AI Database 服務主控台不受 ACL 規則限制。
Oracle Application Express (APEX)、RESTful 服務、SQL Developer Web 和 Performance Hub 不受 ACL 規範。
建立自治式 AI 資料庫時，如果設定 ACL 失敗，則佈建資料庫也會失敗。
資料庫為「可用」狀態時，才允許更新 ACL。
回復資料庫並不會覆寫現有的 ACL。
複製資料庫 (完整和描述資料) 將會與來源資料庫具有相同的存取控制設定值。您可以視需要進行變更。
備份不受 ACL 規則影響。
在 ACL 更新期間，允許執行所有自治式容器資料庫 (CDB) 作業，但不允許執行自治式 AI 資料庫作業。

Web 應用程式防火牆 (WAF)

對於存取控制清單以外的進階網路控制，專用 Exadata 基礎架構上的 Oracle Autonomous AI Database 支援使用 Web 應用程式防火牆 (WAF)。WAF 可保護應用程式免於惡意和不需要的網際網路流量。WAF 可以保護所有面對網際網路的端點，確保在客戶的應用程式之間實施一致的規則。WAF 可讓您建立及管理網際網路威脅規則，包括跨網站命令檔 (XSS)、SQL 資料隱碼 (SQL Injection) 以及其他 OWASP 定義的漏洞。存取規則可以根據要求的地理位置或簽名來限制。如需如何設定 WAF 的步驟，請參閱 Web 應用程式防火牆原則入門。

從屬端連線控制

專用 Exadata 基礎架構上的 Oracle Autonomous AI Database 使用標準 TLS 1.2 和 TLS 1.3 憑證型認證實行從屬端連線控制，以認證從屬端連線。不過，只有 Oracle Database 23ai 或更新版本支援 TLS 1.3。

Autonomous AI Database 預設會使用自行簽署憑證。不過，您可以從 Oracle Cloud Infrastructure (OCI) 主控台安裝 CA 簽署的伺服器端憑證。若要使用自己的憑證，您必須先使用 Oracle Cloud Infrastructure (OCI) 憑證服務建立憑證，如建立憑證中所示。這些憑證必須已簽署，且必須採用 PEM 格式，亦即，其副檔名必須僅為 .pem、.cer 或 .crt。如需詳細資訊，請參閱專用 Autonomous AI Database 中的憑證管理。

資料庫使用者存取控制

專用 Exadata 基礎架構上的 Oracle Autonomous AI Database 會設定您建立的資料庫，以使用 Oracle AI Database 的標準使用者管理功能。它會建立一個管理使用者帳戶 ADMIN，用於建立其他使用者帳戶以及提供帳戶的存取控制。

標準使用者管理提供一組完善的功能和控制項，例如系統和物件權限、角色、使用者設定檔以及密碼制定原則，可讓您在大多數情況下定義和實行安全的資料庫使用者存取策略。如需詳細指示，請參閱建立及管理資料庫使用者。

如需標準使用者管理的基本資訊，請參閱 Oracle AI Database Concepts 中的 User Accounts 。如需詳細資訊和指引，請參閱 Oracle Database 19c Security Guide 或 Oracle Database 26ai Security Guide 中的 Managing Security for Oracle Database Users 。

如果您的資料庫使用者存取策略需要的控制比標準使用者管理還要多，您可以將 Autonomous AI Database 設定為使用下列任何工具來滿足更嚴格的需求。

工具	描述
Database Vault	Oracle Database Vault 已預先設定並可在 Autonomous AI Database 中使用。您可以使用其強大的安全控制，依授權的資料庫使用者限制對應用程式資料的存取，降低內部和外部威脅的風險，並滿足常見的規範需求。如需詳細資訊，請參閱 Autonomous AI Database 的安全性功能中的資料保護。
Oracle Cloud Infrastructure Identity and Access Management (IAM)	您可以將 Autonomous AI Database 設定為使用 Oracle Cloud Infrastructure Identity and Access Management (IAM) 認證和授權，讓 IAM 使用者能夠使用 IAM 證明資料存取 Autonomous AI Database 。請參考搭配 Autonomous AI Database 使用身分識別與存取管理 (IAM) 認證，以便在資料庫使用此選項。
Azure OAuth2 存取權杖	在 Microsoft Azure Active Directory (Azure AD) 服務中，您可以透過 Azure `oAuth2` 存取權杖的協助，集中管理 Oracle Autonomous AI Database on Dedicated Exadata Infrastructure 使用者。此類型的整合可讓 Azure AD 使用者存取 Oracle Autonomous AI Database on Dedicated Exadata Infrastructure 執行處理。Azure AD 使用者和應用程式可以使用 Azure AD 單一登入 (SSO) 證明資料登入，以取得要傳送至資料庫的 Azure AD `OAuth2` 存取權杖。如需有關將 Microsoft Azure Active Directory 與資料庫整合的詳細資訊，請參閱驗證並授權 Autonomous AI Database 的 Microsoft Azure Active Directory 使用者。
Microsoft Active Directory (CMU-AD)	如果您使用 Microsoft Active Directory 作為使用者儲存區域，可以將 Autonomous AI Database 設定為認證並授權 Microsoft Active Directory 使用者。無論您是使用標準使用者管理、Database Vault、Real Application Security 或 Virtual Private Database，此整合都可讓您在導入嚴謹的資料庫使用者存取策略的同時，整合使用者儲存庫。如需有關將 Microsoft Active Directory 與資料庫整合的詳細資訊，請參閱 Microsoft Active Directory 與 Autonomous AI Database。
Kerberos	Kerberos 是受信任的第三方認證系統，依賴共用的密碼。它假設協力廠商是安全的，並且提供單一登入功能、集中式密碼儲存、資料庫連結驗證，以及增強的 PC 安全性。此動作會透過 Kerberos 認證伺服器來進行。 Kerberos 的自治式 AI 資料庫支援為 Oracle 使用者提供單一登入和集中式認證的優點。如需詳細資訊，請參閱使用 Kerberos 驗證 Autonomous AI Database 使用者。
Kerberos 與 CMU-AD	Kerberos 認證可以在 CMU-AD 上設定，為 Microsoft Active Directory 使用者提供 CMU-AD Kerberos 認證。若要為 Microsoft Active Directory 使用者提供 CMU-AD Kerberos 認證，您可以在啟用外部認證的同時，將 `type` 設定為 `CMU`，以在 CMU-AD 上啟用 Kerberos 認證，如在 Autonomous AI Database 上啟用 Kerberos 認證中所述。
Real Application Security 和虛擬專用資料庫	Oracle Real Application Security (RAS) 提供宣告式模型，可讓安全原則不僅涵蓋受保護的業務物件，還包括具有在這些業務物件上操作權限的主要項目 (使用者和角色)。RAS 比之前的 Oracle Virtual Private Database 更安全、可擴展且符合成本效益。使用 Oracle RAS 時，會在應用程式層以及資料庫中認證應用程式使用者。不論資料存取路徑為何，系統都會根據資料庫中的一般使用者原生階段作業，在資料庫核心中強制實行資料安全原則。指派給使用者的權限，可控制可以在資料庫物件的資料列與資料欄執行的作業類型 (選取、插入、更新以及刪除)。如需有關 Oracle RAS 的詳細資訊，請參閱 Oracle Database 19c Real Application Security Administrator's and Developer's Guide 中的 Introducing Oracle Database Real Application Security 或 Oracle Database 26ai Real Application Security Administrator's and Developer's Guide 。專用 Exadata 基礎架構上的 Oracle Autonomous AI Database 也支援 Oracle RAS 前身的 Oracle Virtual Private Database (VPD)。如果您已經熟悉並使用 Oracle VPD，您可以將它與 Autonomous AI Database 一起設定和使用。如需有關「虛擬專用資料庫」的詳細資訊，請參閱 Oracle Database 19c Security Guide 中的 Using Oracle Virtual Private Database to Control Data Access 或 Oracle Database 26ai Security Guide 。

權限存取管理 (PAM)

Oracle Access Control 中記載了 Oracle 對其產品和服務之使用者存取和權限管理的安全性狀態。

專用 Exadata 基礎架構上的自治式 AI 資料庫旨在隔離及保護客戶服務和資料庫資料，避免未經授權的存取。Autonomous AI Database 將客戶和 Oracle 之間的職責分開。客戶控制對資料庫綱要的存取。Oracle 控制對 Oracle 管理之基礎架構和軟體元件的存取。

專用 Exadata 基礎架構上的自治式 AI 資料庫旨在協助保護資料以供客戶授權使用，並協助保護資料免於未經授權的存取，包括防止 Oracle Cloud Ops 員工存取客戶資料。旨在防止對 Exadata 基礎架構、自治式 VM 及 Oracle 資料庫資料進行未經授權存取的安全措施如下：

Oracle Database 資料受到 Oracle 透明資料加密 (TDE) 金鑰保護。
客戶控制對 TDE 加密金鑰的存取，並可以選擇將這類金鑰儲存在外部 Oracle Key Vault 金鑰管理系統中。
Oracle Database Vault 已預先設定，可防止有權限的使用者存取 Autonomous AI Database 中的客戶資料。
客戶可以選擇透過「操作員存取控制」服務註冊來核准操作員存取。
所有操作員存取均基於 FIPS 140-2 等級 3 硬體多重因素認證 (使用 Oracle 核准的裝置實作的硬體 YubiKey 實作)。
所有操作員動作都會記錄在命令層次，而且可以近乎即時地傳送至 OCI 日誌記錄服務或客戶 SIEM。
Oracle Operations Access Control 可確保使用者帳戶 Oracle Cloud 作業和支援人員用來監督和分析效能，無法存取 Autonomous AI Database 中的資料。Oracle Cloud 作業和支援人員無法存取 Autonomous AI Database 中的資料。當您建立自治式容器資料庫時，專用 Exadata 基礎架構上的自治式 AI 資料庫會啟用並設定 Oracle Database Vault 的作業控制功能，以封鎖一般使用者存取容器資料庫中建立之自治式 AI 資料庫中的資料。
您可以在自治式 AI 資料庫中輸入此 SQL 敘述句，以確認「作業控制」為作用中：
```
SELECT * FROM DBA_DV_STATUS;
```
APPLICATION CONTROL 的狀態表示「作業控制」為作用中。

附註：
「作業控制」先前稱為「應用程式控制」。

如 Autonomous AI Database 的安全性功能所述，PAM 也與 Database Vault 一起實作以提供資料保護功能。