Управление удостоверениями и доступом для Oracle Database@Azure
Эта статья основана на руководстве по управлению удостоверениями и доступом . Используйте эту информацию для изучения аспектов проектирования, а также рекомендаций по управлению удостоверениями и доступа, которые относятся к развертыванию Oracle Database@Azure. Требования к удостоверениям для Oracle Database@Azure зависят от его реализации в Azure. В этой статье содержатся сведения на основе наиболее типичных сценариев.
Oracle Database@Azure — это служба базы данных Oracle, которая работает в Oracle Cloud Infrastructure (OCI) и находится в центрах обработки данных Azure в Корпорации Майкрософт. Корпорация Майкрософт и OCI совместно предоставляют это предложение, которое требует управления удостоверениями и контроля доступа на основе ролей (RBAC) на обеих платформах. В этом руководстве описаны рекомендации по управлению удостоверениями и доступом для создания согласованных шаблонов развертывания для Oracle Database@Azure.
Соображения
Примите и включите частное предложение Oracle Database@Azure в Azure Marketplace для вашей подписки. Для того чтобы развернуть службу Oracle Database@Azure, в вашей подписке должна быть роль с правами участника. Дополнительные сведения см. в разделе Настройка федерации удостоверений. Если ваша операционная модель соответствует принципам целевой зоны Azure, команда разработчиков приложений, нуждающаяся в услугах Oracle Database@Azure, управляет процессом. Если ваша организация использует централизованную модель, команда платформы может потребоваться обработать части процесса.
При развертывании начального экземпляра Oracle Exadata Database@Azure определенные группы по умолчанию автоматически создаются в идентификаторе Microsoft Entra и соответствующем клиенте OCI. Некоторые из этих групп дублируются в OCI, где задаются политики. Используйте эти группы для управления различными действиями, которые требуются службам Oracle Database@Azure. Дополнительные сведения см. в разделе Группы и роли в Oracle Database@Azure.
Вы можете назначить пользовательские имена групп Oracle Exadata Database@Azure, но их необходимо настроить вручную. Правила создаются для конкретных имен групп . При изменении имени группы также необходимо изменить инструкцию политики в OCI.
Чтобы повысить степень детализации разрешений доступа, обратитесь к администратору OCI, чтобы установить другие группы и роли в клиенте OCI. OCI предоставляет контроль над тем, кто может создавать ресурсы Oracle Database@Azure и управлять ими.
Для архитектур с несколькими кластерами разрешения группы RBAC применяются ко всем кластерам в подписке. Чтобы назначить RBAC отдельным кластерам отдельно, создайте настраиваемые имена групп и политики в OCI и Azure для каждого кластера.
Поддерживается федерация с поставщиками удостоверений, не относящимися к Microsoft, или с Microsoft Active Directory. Дополнительные сведения о рекомендациях по безопасности за пределами федерации удостоверений и RBAC см. в рекомендации по безопасности для Oracle Database@Azure.
Рекомендации по проектированию
Реализовать федерацию между Azure и OCI, включая единый вход и репликацию пользователей и групп.
Настройте федерацию между идентификатором Microsoft Entra и OCI, чтобы пользователи могли войти в OCI с помощью учетных данных идентификатора Microsoft Entra. Дополнительные сведения см. в разделе «Шаги по подключению Oracle Database в Azure» ().
При подготовке новой учетной записи и клиента роль администратора создается в OCI. Избегайте использования этого удостоверения администратора для повседневных операций. Вместо этого используйте группы администраторов Microsoft Entra, чтобы предоставить повышенный доступ для соответствующих лиц.
Используйте Azure RBAC для управления доступом пользователей к ресурсам Oracle Database@Azure. Следуйте принципу наименьших привилегий при назначении пользователей ролям в Database@Azure.
Чтобы обеспечить безопасность пользователей на основе идентификаторов Microsoft Entra, следуйте рекомендациям по управлению удостоверениями и управлению доступом. Если вы помогаете защитить пользователей на основе идентификаторов Microsoft Entra, включите защиту идентификации. Проверьте меры безопасности с помощью контрольного списка безопасности для управления удостоверениями и доступом.
Включите ведение журнала аудита идентификатора Microsoft Entra для мониторинга событий, связанных с доступом.