プライベートIPアドレスでData SafeにDBを登録する

4012 ワード

oracle oraclecloud oci Security oracle テキストリンク

Database Cloud Service、Exadata Cloud ServiceにプライベートIPアドレスしかアクセスできない場合でも、Data Safeを利用することが可能になりました。
ここでは新たに追加されたPrivate Endpointという機能で、それらのクラウドデータベースを登録・監視する方法を紹介します。

OCI IAMに必要な追加の権限

Database Cloud Servcie、Exadata Cloud ServiceをData Safeに登録するためには、以下の権限をグループに付与する必要があります

allow group グループ名 to inspect db-nodes in tenancy
allow group グループ名 to inspect db-nodes in tenancy
allow group グループ名 to inspect vnics in tenancy
allow group グループ名 to manage virtual-network-family in compartment コンパートメント名
allow group グループ名 to manage virtual-network-family in compartment コンパートメント名
allow group グループ名 to manage data-safe-family in compartment コンパートメント名

以降は、上記を付与されたグループのユーザーでData Safeを操作します

Private Endpointを作成する

Data Safe -> プライベート・エンドポイントの作成
以下の項目を指定し、プライベート・エンドポイントの作成をクリック
- コンパートメント: プライベート・エンドポイントを作成するコンパートメントを指定
- 仮想クラウドネットワーク: DBCS/ExaCSと同じ仮想クラウドネットワーク
- サブネット: DBCS/ExaCSと同じサブネット
- セキュリティリスト: Ingress/Exgressともポート1521をOPENしておく
作成完了

データベースをData Safeに登録

Data Safeが接続するためのユーザーをデータベースに作成

CREATE USER DATASAFE identified by password;
GRANT CONNECT, RESOURCE TO DATASAFE;

Targets -> Registerをクリック
登録するデータベースの情報を入力する。また、Download Privilege ScriptをクリックしてSQLスクリプトをダウンロード、作成したDATASAFEユーザーに必要な権限を付与する
- Database with Private IP: Yes
- OCID: Database CloudのOCID
- Connection Type: 今回はTCP
- ID Address: ホスト名ではなくPrivate IPアドレス
- UB User Name:作成したDBユーザー
SYSユーザーでスクリプトの実行

SQL> @dscs_privileges.sql
Enter value for USERNAME (case sensitive matching the username from dba_users)
-> DATASAFE
Setting USERNAME to DATASAFE
Enter value for TYPE (grant/revoke)
-> grant
Setting TYPE to grant
Enter value for MODE (audit_collection/audit_setting/data_discovery/masking/assessment/all)
-> all
Setting MODE to all
Granting AUDIT_COLLECTION privileges to "DATASAFE" ...
Granting AUDIT_SETTING privileges to "DATASAFE" ...
Granting DATA_DISCOVERY role to "DATASAFE" ...
Granting MASKING role to "DATASAFE" ...
Granting ASSESSMENT role to "DATASAFE" ...
Done.
Disconnected from Oracle Database 19c EE High Perf Release 19.0.0.0.0 - Production
Version 19.7.0.0.0

登録完了

Private Endpointでデータベースを登録できるのはOracle Cloud DatabaseとExadata Cloud Serviceです。Autonomous Databaseは、まだPrivate IPでは登録できず、Public IPのみとなっています。(2020/7時点)

Oracle Data Safeの関連情報はこちら

Author And Source

この問題について(プライベートIPアドレスでData SafeにDBを登録する), 我々は、より多くの情報をここで見つけました https://qiita.com/western24/items/d3b10acf3fcb15b8687c

著者帰属：元の著者の情報は、元のURLに含まれています。著作権は原作者に属する。

Content is automatically searched and collected through network algorithms . If there is a violation . Please contact us . We will adjust (correct author information ,or delete content ) as soon as possible .