選擇並實行您的部署

使用本節提供的方法來保護 Oracle Autonomous Database Serverless@Azure：

1. 使用通透資料加密和 Azure Key Vault
2. 設定並啟用 Oracle Database Vault
3. 向 Oracle Data Safe 註冊資料庫
4. 與完整 ID 整合以集中使用者驗證和授權
5. 統一稽核和資料庫管線，將資料匯出至 Azure Blob 儲存體
6. 針對 Oracle Database 23ai 使用 Oracle SQL Firewall

選項 1：使用通透資料加密和 Azure Key Vault

Oracle Transparent Data Encryption (TDE) 預設會在所有 Oracle Autonomous Database Serverless 資料庫中設定並啟用。

以下步驟將顯示如何驗證預設 TDE 設定。接著，我們將逐步介紹使用 Oracle Autonomous Database Serverless 的 Azure Key Vault 導入客戶管理加密的步驟。

adbs-key-vault-arch.png 圖解描述

adbs-key-vault-arch-oracle.zip

若要導入此處提供的計畫，您必須先滿足以下先決條件：

• 使用 Microsoft Azure 主控台部署 Oracle Autonomous Database Serverless 執行處理
• 建立 Azure Key Vault (標準版或進階版)
• 在 Azure Key Vault 中建立 RSA 2048 位元金鑰
• 建立 Autonomous Database 的服務委派人

若要使用 TDE 和 Azure 金鑰保存庫，請執行下列步驟：

1. 將服務主要項目保存庫存取原則指定給 Oracle Autonomous Database Serverless 執行處理的方位服務主要項目：
   1. 前往 Azure Key Vault 執行處理。
   2. 按一下 [ 設定 ]，然後按一下 [ 存取組態 ]。
   3. 按一下「保存庫存取原則」。
   4. 按一下前往存取原則。
2. 建立保存庫存取原則：
   1. 選取權限：
      • 取得
      • 列出
      • 加密
      • Sign
      • 驗證
   2. 按下一步。
3. 選取為 Oracle Autonomous Database Serverless 執行處理建立的服務委派人
   1. 繼續按下一步，直到您進入「複查並建立」。
   2. 按一下建立。
4. 收集下列要在 Oracle Cloud Infrastructure (OCI) 中使用的資訊，以設定 Oracle Autonomous Database Serverless 進行金鑰管理。
   • 保存庫 URI
   • 金鑰名稱
5. 從 Azure Key Vault 執行處理內，複製金鑰的名稱。
6. 在 OCI 中，前往您的 Oracle Autonomous Database Serverless 執行處理。
   1. 按一下其他動作。
   2. 按一下「管理加密金鑰」。
   3. 按一下使用客戶管理的金鑰進行加密。
   4. 從「機碼類型」功能表中，選取 Azure 。
   5. 將 Azure 的資訊填入下列欄位：
      • 保存庫 URI (不包含尾端斜線)
      • 金鑰名稱
   6. 按一下「儲存」。
      Autonomous Database 將需要一些時間進行更新，當它再次顯示可用時，您將能夠在 Autonomous Database 詳細資訊中看到新指派的金鑰。

      金鑰歷史記錄也應顯示客戶管理的金鑰 (Microsoft Azure) 現在是 TDE 的主要加密金鑰。

7. 以管理員身分登入資料庫並驗證 TDE。

   開啟您的資料庫從屬端，並連線至您新佈建的資料庫。連線之後，請使用 CloudShell 或類似於執行此 SQL 查詢來驗證您的資料庫是否具有 TDE 主要金鑰，以及使用 AES256 加密您的表格空間。

   SQL> set page 900
   SQL> set linesize 900
   column activation_time format a40
   column tag format a150
   column pdb_name format a40
   column tablespace_name format a30
   column algorithm format a10SP2-0158: unknown SET option "page"
   SQL> SQL> SQL> SQL> SQL> SQL>
   SQL> select KEY_ID,ACTIVATION_TIME,KEY_USE from V$ENCRYPTION_KEYS;
   
   KEY_ID
   ------------------------------------------------------------
   ACTIVATION_TIME                          KEY_USE
   ---------------------------------------- -----------------
   ATAQECQ0Q8NaSEBa0dDOQ8EPMAAAAAAAAAAAAAAAAAA== 06-MAY-25 01.41.04.516182 PM +00:00  TDE IN PDB
   AVAK/QOQ6Bac3xAJEBAQDAUAAAAAAAAAAAAAAAAAAA== 06-MAY-25 01.58.34.616781 PM +00:00  TDE IN PDB
   
   SQL> select a.name pdb_name, b.name tablespace_name, c.ENCRYPTIONALG algorithm
     2    from v$pdbs a, v$tablespace b, v$encrypted_tablespaces c
     3   where a.con_id = b.con_id
     4     and b.con_id = c.con_id
     5     and b.ts# = c.ts#;
        2    3    4    5
   
   PDB_NAME                                 TABLESPACE_NAME                ALGORITHM
   ---------------------------------------- ------------------------------ ----------
   G283BFEA6ED35C8_MULTICLOUDWEBINAR01      SYSTEM                         AES256
   G283BFEA6ED35C8_MULTICLOUDWEBINAR01      SYSAUX                         AES256
   G283BFEA6ED35C8_MULTICLOUDWEBINAR01      UNDOTBS1                       AES256
   G283BFEA6ED35C8_MULTICLOUDWEBINAR01      USERS                          AES256
   G283BFEA6ED35C8_MULTICLOUDWEBINAR01      DBFS_DATA                      AES256
   G283BFEA6ED35C8_MULTICLOUDWEBINAR01      TEMP                           AES256
   
   6 rows selected.
   
   SQL>

選項 2：設定和啟用 Oracle Database Vault

在您的 Oracle Autonomous Database Serverless 執行處理中設定並啟用 Oracle Database Vault ，以保護資料免受未經授權的帳戶存取。

您需要建立一些其他資料庫帳戶，以便區分 Oracle Database Vault 的職責。啟用 Oracle Database Vault 之後，請建立 Oracle Database Vault 範圍，將機密資料與資料庫中具有高度權限的帳戶分開。

若要設定及啟用 Oracle Database Vault ：

1. 建立 Oracle Database Vault 組態的必要帳戶。

   Oracle 建議您建立多個帳戶，以確保永遠不會鎖定您的資料。遺失這些帳號的密碼可能會造成資料無法被存取。

   登入您的 Oracle Autonomous Database Serverless 資料庫並建立四個資料庫帳戶：將指派「Database Vault 擁有者」角色給兩個帳戶，並指派兩個帳戶給「Database Vault 帳戶管理員」角色。

   使用下列範例代碼來建立帳戶，其中 <user_name> 是用來識別相關聯帳戶的名稱。

   Connected to:
   Oracle Database 23ai Enterprise Edition Release 23.0.0.0.0 - for Oracle Cloud and Engineered Systems
   Version 23.8.0.25.05
   
   SQL> create user DBOWNER identified by "<user_name>";
   User created.
   
   SQL> create user DBVACCTMGR identified by "<user_name>";
   User created.
   
   SQL> create user DBOWNER_BACKUP identified by "<user_name>";
   User created.
   
   SQL> create user DBVACCTMGR_BACKUP identified by "<user_name>";
   User created.
   
   SQL> grant connect, resource to DBOWNER;
   Grant succeeded.
   
   SQL> grant connect, resource to DBOWNER_BACKUP;
   Grant succeeded.
   
   SQL> grant connect, resource to DBVACCTMGR;
   Grant succeeded.
   
   SQL> grant connect, resource to DBVACCTMGR_BACKUP;
   Grant succeeded.
   
   SQL> show con_name;
   
   CON_NAME
   ------------------------------
   G283BFEA6ED35C8_MULTICLOUDWEBI
   NAR01
   
   SQL> select * from dba_dv_status;
   
   NAME                STATUS
   ------------------  ----------------
   DV_APP_PROTECTION   NOT CONFIGURED
   DV_CONFIGURE_STATUS FALSE
   DV_ENABLE_STATUS    FALSE
   SQL>
   

2. 設定並啟用 Oracle Database Vault 。
   1. 以 admin 身分登入資料庫，然後執行下列套裝程式來設定 Oracle Database Vault 。

      SQL>
      SQL> EXEC DBMS_CLOUD_MCADM.CONFIGURE_DATABASE_VAULT('DBVOWNER', 'DBVACCTMGR');
       
      PL/SQL procedure successfully completed.

      在您設定 Oracle Database Vault 之後，請啟用它。啟用 Oracle Database Vault 後，具有「Database Vault 擁有者」角色的帳戶可以管理 Vault 組態和具有「Database Vault 帳戶管理員」角色的帳戶，以建立和管理資料庫中的帳戶。現在，您可以利用資料庫中的不同職責。
   2. 重新啟動資料庫。
      從 OCI 的資料庫執行處理頁面中，按一下其他動作並選取重新啟動。
   3. 驗證已使用下列範例程式碼設定並啟用 Oracle Database Vault 。

      Connected to:
      Oracle Database 23ai Enterprise Edition Release 23.0.0.0.0 - for Oracle Cloud and Engineered Systems
      Version 23.0.0.25.0
      
      SQL> SELECT * FROM DBA_DV_STATUS;
      
      NAME                     STATUS
      ------------------------ ----------------
      DV_APP_PROTECTION        NOT CONFIGURED
      DV_CONFIGURE_STATUS      TRUE
      DV_ENABLE_STATUS         TRUE
      
      SQL>

   4. 授予 Oracle Database Vault 角色以備份帳戶：

      
      SQL> grant DV_OWNER to DBOWNER_BACKUP;
      
      Grant succeeded.
      
      SQL> grant DV_ACCTMGR to DBVACCTMGR_BACKUP;
      
      Grant succeeded.
      
      SQL>  

3. 建立範圍，以將機密資料與授權帳戶分開。
   1. 建立範圍之前，請以 admin 身分登入並驗證授權的帳戶是否可以存取機密資料，在此情況下，人力資源 (HR) 資料如下：

      SQL> show user;
      USER is "ADMIN"
      SQL> select EMPLOYEE_ID,FIRST_NAME,LAST_NAME,SALARY from HR.EMPLOYEES where ROWNUM < 8;
      
      EMPLOYEE_ID FIRST_NAME      LAST_NAME                 SALARY
      ----------- --------------- ------------------------- ----------
              100 Steven          King                         24000
              101 Neena           Yang                         17000
              102 Lex             Garcia                       17000
              103 Alexander       James                         9000
              104 Bruce           Miller                        6000
              105 David           Williams                      4800
              106 Valli           Jackson                       4800
      
      7 rows selected.
      
      SQL>

   2. 以具備「Database Vault 擁有者」角色的使用者身分登入 Oracle Autonomous Database Serverless 。執行此 PL/SQL 區塊以建立名為 Protect HR Data 的範圍：

      SQL> begin
        2  DVSYS.DBMS_MACADM.CREATE_REALM(
        3     realm_name => 'Protect HR Data'
        4    , description => 'This Realm will protect HR data from unauthorized privileged user access'
        5    , enabled => 'Y'
        6    , realm_type => DBMS_MACADM.MANDATORY_REALM );
        7  end;
        8  /
      PL/SQL procedure successfully completed.
      
      SQL>

   3. 新增要由範圍保護的資料庫物件。執行此 PL/SQL 區塊，將 HR 綱要中的所有表格新增至「保護 HR 資料」範圍：

      SQL> begin
        DVSYS.DBMS_MACADM.ADD_OBJECT_TO_REALM(
          realm_name => 'Protect HR Data',
          object_owner => 'HR',
          object_name => '%',
          object_type => 'TABLE');
      end;
      / 
      2    3    4    5    6    7    8
      
      PL/SQL procedure successfully completed.
      
      SQL>

   4. 執行此 PL/SQL 區塊以新增 HR 綱要帳戶，以及將 HR 經理 hr_debra 新增為「領域授權參與者」。這將確保只有應用服務帳戶與「HR 經理」可以存取 HR 結構中的資料。在資料庫中，沒有任何 DBA 帳號或任何其他具有高度權限的帳號可以存取「Database Vault 範圍」保護的資料。

      SQL> begin
        DVSYS.DBMS_MACADM.ADD_OBJECT_TO_REALM(
          realm_name => 'Protect HR Data',
          object_owner => 'HR',
          object_name => '%',
          object_type => 'TABLE');
      end;
      /  2    3    4    5    6    7    8
      
      PL/SQL procedure successfully completed.
      
      SQL>

   5. 驗證 ADMIN 無法再存取 HR 資料：

      SQL> 
      SQL> show user;
      USER is "ADMIN"
      SQL> select EMPLOYEE_ID,FIRST_NAME,LAST_NAME,SALARY from HR.EMPLOYEES where ROWNUM < 8;
      select EMPLOYEE_ID,FIRST_NAME,LAST_NAME,SALARY from HR.EMPLOYEES where ROWNUM < 8
                                                                                       *
      ERROR at line 1:
      ORA-01031: insufficient privileges
      
      
      SQL>

選項 3：向 Oracle Data Safe 註冊資料庫

Oracle Data Safe 是 Oracle 資料庫的統一控制中心，可協助您瞭解資料的敏感性、評估資料的風險、遮蔽機密資料、實行和監控安全控制、評估使用者安全、監控使用者活動，以及滿足資料安全規範需求。

在此選項中，您可以使用 Oracle Data Safe 註冊目標執行處理。成功註冊之後，請複查「安全評估」和「使用者評估」結果，並為每個項目設定基準。

若要向 Oracle Data Safe 註冊資料庫，請執行下列步驟：

1. 在 Oracle Data Safe 註冊目標資料庫：
   1. 在 OCI 主控台中，依序按一下 Oracle Database 和「資料安全」底下的總覽。按一下左側導覽窗格中的目標資料庫，然後按一下註冊資料庫。
   2. 選取 Oracle Autonomous Database Serverless ，輸入必要資訊並按一下註冊。
   3. 目標註冊成功後，Oracle Data Safe 會同時起始「安全評估」掃描和「使用者評估」掃描。
2. 複查安全評估：
   1. 從「資料安全總覽」頁面，按一下左側導覽窗格中的安全評估。選取目標摘要頁籤，然後按一下資料庫的目標摘要。
   2. 向下捲動並複查每個發現項目。必要時，請採取更正動作並啟動其他掃瞄。如果您滿意目前的掃描結果並接受發現項目，請按一下設為基準。未來所有掃描都會與基準進行比較，如果資料庫組態與設定的基準不同，您就會收到通知。
3. 複查使用者評估：
   1. 從「資料安全總覽」頁面，按一下左側導覽窗格中的「安全評估」。選取目標摘要頁籤，然後按一下資料庫的目標摘要。
   2. 向下捲動並複查每個發現項目。必要時，請採取更正動作並啟動其他掃瞄。如果您滿意目前的掃描結果並接受發現項目，請按一下設為基準。未來的掃描將會與基準進行比較，如果資料庫組態偏離設定的基準，您就會收到通知。

選項 4：透過與 Entra ID 整合來集中使用者驗證和授權

由於資料庫執行處理的數目相乘，因此管理 Oracle Database 使用者的使用者和證明資料可以快速成為具挑戰性的管理負擔。

數十年來，Oracle 一直在打造創新解決方案，以減輕這個問題。Oracle Autonomous Database 榮獲 Microsoft 雲端身分識別平台 Entra ID (前身為 Active Directory) 發出的 OAuth2 權杖。此功能可讓您在中央雲端識別解決方案中管理使用者和角色，而 Oracle Autonomous Database 則會在原則型存取控制中使用這些證明資料。

下圖顯示認證流程，並說明下列步驟：

azure-authentication.png 圖解描述

azure 認證 -oracle.zip

1. Azure 使用者要求存取 Oracle Autonomous Database Serverless 執行處理。
2. 資料庫用戶端或應用程式要求來自 Entra ID 的授權碼。
3. Entra ID 會認證使用者並傳回授權碼。
4. 協助程式工具或應用程式使用具有 Entra ID 的授權碼來交換 OAuth2 記號。
5. 資料庫從屬端會將 OAuth2 存取權杖傳送至 Oracle 資料庫。此權杖包含使用者在 Entra ID 應用程式註冊中，指派給資料庫的資料庫 App 角色。
6. Oracle Autonomous Database Serverless 執行處理使用 Entra ID 公開金鑰來驗證存取權杖是由 Entra ID 建立。

若要導入此處提供的計畫，您必須先滿足以下先決條件：

• 將 Oracle Autonomous Database Serverless 設定為 Microsoft Azure Entra ID 企業應用程式 (教學課程會在「瀏覽更多」段落中參照)。
• 設定 SQL Developer Client 以進行無縫接軌的 Azure Entra ID 認證。

若要將驗證與 Microsoft Entra ID 整合，請執行下列步驟：

1. 設定 Oracle Autonomous Database Serverless 使用 Azure Entra ID 中的企業應用程式進行認證。

   下列程序指示 Oracle Autonomous Database Serverless 使用 Entra ID 租用戶作為身分識別提供者，並特別將企業應用程式發出的 OAuth2 權杖連結至資料庫。

   1. 登入您的 Oracle Database Actions (SQL Developer Web) 執行處理。
   2. 在左側面板中，選取適當的連線。
   3. 按一下搜尋列上方功能表中的檢視。
   4. 在搜尋列中，輸入檢視的名稱 (例如 MULTICLOUD_DEMO_AZURE_CONFIGS)，以快速尋找您的檢視，然後按一下檢視名稱。
   5. 輸入下列具有相關租用戶 ID 和應用程式 URI 的 SQL 程式碼：

      BEGIN
          DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
              type   => 'AZURE_AD',
              params => JSON_OBJECT('tenant_id' VALUE '<tenant_id>',
                                    'application_id' VALUE 'f2c359b4-c3f9-4415-a333-332340376e59',
                                    'application_id_uri' VALUE '<application_id_uri>'),
              force => TRUE
          );
      END;

2. 建立使用者關聯：
   1. 在 Oracle Autonomous Database Serverless 中建立使用者綱要，並將該使用者與 Entra ID 中的使用者主體 ID 建立關聯。定義全域使用者即表示使用 Entra ID 記號主體來宣告資料庫使用者的識別。
      在此使用案例中，會使用「Entra ID 主體與資料庫」的一對一對應。對於較大的部署，管理員可以選擇根據 Entra ID 中的角色和群組成員來設定共用綱要使用者對應。
   2. 將「Oracle Database 動作 (SQL Developer Web)」執行處理中的連線功能授予資料庫使用者：

      CREATE USER <azure_user_name> IDENTIFIED GLOBALLY AS 'AZURE_USER=<azure_user_name>';
      
      grant connect to <azure_user_name>;

3. 使用 Oracle SQL Developer 和 Entra ID 登入資料庫。
   開啟 Oracle SQL Developer ，並使用允許以 Azure Entra ID 進行互動式登入的最新 JDBC 程式庫，來設定 Oracle Autonomous Database Serverless 執行處理的連線。
   1. 在「Oracle SQL Developer 連線」面板上，按一下「新連線」。
   2. 指定連線名稱。
   3. 選取 OS 作為認證類型。
   4. 選取自訂 JDBC 作為連線類型。
   5. 輸入您的 JDBC URL：

      jdbc:oracle:thin:@config=<jdbc_url>

   6. 按一下測試來驗證連線，該測試會開啟瀏覽器以進行互動登入 Entra ID。
   7. 使用您對應為「資料庫全域使用者」的使用者進行認證。
      成功登入後，就會建立開啟的 SQL 連線。
   8. 執行 show user 以傳回綱要使用者。

      show user;
      select sys_context('USERENV', 'AUTHENTICATED_IDENTITY') from dual;

   9. 檢查階段作業的相關資訊環境，以顯示已認證的主要項目保留 Entra ID 主要項目。
      這是由統一稽核歷程檔用來建立 Entra ID 使用者與已認證主要項目進行之交易的關聯。
   10. 按一下資料庫連線視窗中的儲存。

選項 5：將資料匯出至 Azure Blob 儲存的稽核和資料庫管線統一

擁有強大的預防性安全控管措施，僅是戰爭的一半；公司也必須稽核和監控系統，即使系統未受到攻擊也一樣。

建立資料庫交易的稽核歷程檔是確保您具有可追蹤性的強大方法。Oracle Autonomous Database 包含可設定和部署的管線，可以將這些稽核日誌發送到您選擇的多雲端儲存。本節顯示如何輕鬆地使用現有的 Entra ID 服務主體 (在上一節中建立)，將稽核歷程檔以持續的時間間隔推送至 Azure Blob 儲存體。

adbs-pipeline-export-arch.png 圖解描述

adbs-pipeline-export-arch-oracle.zip

若要導入此處提供的計畫，您必須先滿足以下先決條件：

• 使用 Oracle Data Safe 啟用統一稽核歷程檔。
• 建立 Oracle Autonomous Database Serverless 的服務委派人。
• 建立 Azure 儲存帳戶。
• 在 Azure 儲存帳戶中，為 Oracle Autonomous Database Serverless 稽核日誌建立專用容器。

如果要使用和儲存稽核記錄，請執行下列步驟：

1. 將「儲存 Blob 資料提供者」角色指派給 Oracle Autonomous Database Serverless 服務主體：
   1. 在 Azure 入口網站中，選取先前建立的儲存體帳戶。
   2. 按一下「存取控制 (IAM)」。
   3. 按一下新增，然後按一下新增角色指派。
   4. 使用搜尋列來搜尋儲存 Blob 資料提供者。
   5. 按一下「儲存 Blob 資料提供者」角色。
   6. 按下一步。
2. 將 Oracle Autonomous Database Serverless 服務委派人新增至角色指派。
   1. 在「成員」段落中，搜尋 Oracle Autonomous Database Serverless 服務主體。
   2. 指派成員資格。
   3. 按一下複查 + 指定。
3. 從 Azure 儲存體容器位置設定管線屬性。

   開啟「SQL 工作表」並執行下列 SQL 程序，其中 <storage_location_url> 是 Azure 儲存體位置的 URL：

   BEGIN
   DBMS_CLOUD_PIPELINE.SET_ATTRIBUTE( pipeline_name => 'ORA$AUDIT_EXPORT',
     attribute_name => 'credential_name',
     attribute_value => 'AZURE$PA' );
   
   DBMS_CLOUD_PIPELINE.SET_ATTRIBUTE( pipeline_name => 'ORA$AUDIT_EXPORT',
     attribute_name => 'location',
     attribute_value => '<storage_location_url>' );
   
   DBMS_CLOUD_PIPELINE.SET_ATTRIBUTE( pipeline_name => 'ORA$AUDIT_EXPORT',
     attribute_name => 'interval',
     attribute_value => '15' );
   
   END;
   /

4. 若要測試匯出管線並將其設為執行，請執行下列敘述句：

   /* THIS RUNS THE PIPELINE ONCE*/
   /
   BEGIN DBMS_CLOUD_PIPELINE.RUN_PIPELINE_ONCE( pipeline_name => 'ORA$AUDIT_EXPORT' );
   END;
   /
   
   /* IF SUCCESSFUL - THIS WILL RESET THE PIPELINE*/
   /
   BEGIN DBMS_CLOUD_PIPELINE.RESET_PIPELINE( pipeline_name => 'ORA$AUDIT_EXPORT', purge_data => TRUE);
   END;
   /
   
   /* THIS WILL MAKE IT ACTIVE AND RUNNING ON THE SET INTERVAL */
   /
   BEGIN DBMS_CLOUD_PIPELINE.START_PIPELINE( pipeline_name => 'ORA$AUDIT_EXPORT' );
   END;
   /

   如果管線已正確設定，您將會在管線屬性中設定的 Azure Blob 儲存體容器中看到一個檔案。一段時間後，它會在儲存容器中建立只包含最新統一稽核歷程檔記錄的增量檔案。

選項 6：使用 Oracle SQL Firewall 進行 Oracle Autonomous Database Serverless 23ai

除了虛擬網路安全清單和網路安全群組之外，Oracle Autonomous Database Serverless 23ai 還隨附 Oracle SQL Firewall。

Oracle SQL Firewall 為深入防禦功能，會在資料庫程式實際執行中執行，並對資料強制實行以原則為基礎和相關資訊環境的存取控制。

對於 Oracle Database@Azure ，SQL 防火牆原則可針對未經授權的存取提供最後一哩的保護，不論其進入點為何。

adbs-sqlfirewall-flow.png 圖解描述

adbs-sqlfirewall-flow-oracle.zip

adbs-sqlfirewall-arch.png 圖解描述

adbs-sqlfirewall-arch-oracle.zip

若要導入此處提供的計畫，您必須先滿足以下先決條件：

• 在 Oracle Autonomous Database Serverless 23ai 執行處理中註冊 Oracle Data Safe 。
• 在 Oracle Data Safe 中啟用 SQL 防火牆 (可在「瀏覽更多」段落中提供指示連結)。

若要在 Oracle Autonomous Database Serverless 23ai 使用 Oracle SQL Firewall，請執行下列步驟：

1. 開始收集您為 Entra ID 認證建立之使用者的 SQL 流量：
   1. 從「SQL 防火牆儀表板」，按一下 SQL 收集。
   2. 指定要建立 SQL 防火牆原則的使用者。
   3. 按一下建立與啟動 SQL 集合。
2. 使用選取的使用者產生部分 SQL 流量之後，請根據擷取的 SQL 敘述句設定原則：
   1. 在 SQL 收集詳細資訊頁面上，按一下停止。
   2. 按一下產生防火牆原則。
   3. 視需要複查並選擇性地更新允許的 SQL 階段作業相關資訊環境值。
      例如，對於允許的陳述式，請選取列，按一下更新，然後按一下列結尾的 X 以移除允許的陳述式。對於測試瞳孔，您可以對所有允許的敘述句執行此動作。
   4. 按一下建置並強制實行以啟用原則。
3. 測試啟用的 SQL 防火牆原則。
   使用 SQL Developer (或任何 SQL 用戶端) 登入資料庫，並認證為針對 SQL 防火牆原則強制實行建立的 Entra ID 使用者 (移除所有允許的 SQL 陳述式)。認證之後，錯誤訊息會指示資料庫已順利通過安全清單和網路安全群組，但是 SQL 連線層次的要求會被拒絕。
4. 若要檢視違規報表，請按一下 SQL 防火牆儀表板左邊導覽窗格中的違規報表。