Správa identit a přístupu pro Oracle Database@Azure
Tento článek vychází z pokynů v správy identit a přístupu. Tyto informace slouží ke kontrole aspektů návrhu a doporučení pro správu identit a přístupu, které jsou specifické pro nasazení Oracle Database@Azure. Požadavky na identitu pro Oracle Database@Azure se liší v závislosti na implementaci v Azure. Tento článek obsahuje informace založené na nejběžnějších scénářích.
Oracle Database@Azure je databázová služba Oracle, která běží na Oracle Cloud Infrastructure (OCI) a je umístěna v datacentrech Microsoft Azure. Microsoft a OCI společně poskytují tuto nabídku, která vyžaduje správu identit a řízení přístupu na základě role (RBAC) na obou platformách. Tato příručka popisuje osvědčené postupy pro správu identit a přístupu k vytváření konzistentních vzorů nasazení pro Database@Azure Oracle.
Úvahy
Přijměte a povolte privátní nabídku Oracle Database@Azure na Azure Marketplace pro vaše předplatné. Abyste mohli nasadit službu Oracle Database@Azure, musíte mít pro předplatné roli Přispěvatel. Další informace naleznete v tématu Nakonfigurovat federaci identit. Pokud je váš provozní model v souladu s principy Azure landing zone, proces spravuje jednotlivý tým pro vývoj aplikací, který vyžaduje služby Oracle Database@Azure. Pokud vaše organizace používá centralizovaný model, tým platformy může potřebovat zpracovat části procesu.
Když nasadíte počáteční instanci Oracle Exadata Database@Azure, automaticky se vytvoří konkrétní výchozí skupiny v rámci ID Microsoft Entra a odpovídajícího tenanta OCI. Některé z těchto skupin se replikují do OCI, kde se definují zásady. Pomocí těchto skupin můžete spravovat různé akce, které vyžadují služby Oracle Database@Azure. Další informace naleznete v tématu Skupiny a role v oracle Database@Azure.
Vlastní názvy skupin Oracle Exadata Database@Azure můžete přiřadit, ale je potřeba je nakonfigurovat ručně. Zásady jsou vytvářeny pro konkrétní názvy skupin . Pokud změníte název skupiny, musíte také změnit prohlášení o zásadách v OCI.
Pokud chcete zvýšit členitost přístupových oprávnění, obraťte se na správce OCI, aby vytvořil další skupiny a role v rámci tenanta OCI. OCI poskytuje kontrolu nad tím, kdo může vytvářet a spravovat prostředky Oracle Database@Azure.
U architektur, které mají více clusterů, se oprávnění skupiny RBAC použijí na všechny clustery v předplatném. Pokud chcete přiřadit RBAC jednotlivým clusterům samostatně, vytvořte přizpůsobené názvy skupin a zásady v OCI a Azure pro každý cluster.
Podporuje se federace zprostředkovatelů identity jiných společností než Microsoft nebo Microsoft Active Directory. Pro další informace o bezpečnostních doporučeních nad rámec federace identity a RBAC naleznete v dokumentaci bezpečnostních pokynů pro Oracle Database@Azure .
Doporučení k návrhu
Implementovat federaci mezi Azure aOCI, včetně jednotného přihlašování a replikace uživatelů a skupin.
Nakonfigurujte federaci mezi MICROSOFT Entra ID a OCI, aby se uživatelé mohli přihlásit k OCI pomocí svých přihlašovacích údajů Microsoft Entra ID. Další informace najdete v tématu Kroky nasazení Oracle Database@Azure).
Když zřídíte nový účet a tenanta, v OCI se vytvoří role uživatele správce. Nepoužívejte tuto identitu správce pro každodenní operace. Místo toho použijte skupiny správců Microsoft Entra k zajištění zvýšeného přístupu relevantním jednotlivcům.
Pomocí Azure RBAC můžete řídit přístup uživatelů k prostředkům Oracle Database@Azure. Při přiřazování uživatelů k rolím Database@Azure dodržujte princip nejnižšího oprávnění.
Pokud chcete zajistit zabezpečení uživatelů založených na Microsoft Entra ID, postupujte podle osvědčených postupů pro správu identit a řízení přístupu. Když pomůžete zabezpečit uživatele založené na ID Microsoft Entra, povolte identity Protection. K ověření bezpečnostních opatření použijte kontrolní seznam zabezpečení pro správu identit a přístupu.
Povolte protokolování auditu Microsoft Entra ID pro monitorování událostí souvisejících s přístupem.