リソース・プリンシパル
データベース・ツールのアイデンティティを使用して、リソース・プリンシパルを使用してOracle Cloud Infrastructure (OCI)リソースを認証およびアクセスできます。このアプローチにより、ユーザー資格証明の格納、公開または手動更新の必要が回避され、セキュリティが向上します。データベース・ツール・アイデンティティは、ランタイム・アイデンティティとしてリソース・プリンシパルを使用して作成したデータベース・ツール接続とのみ使用できます。
認証済プリンシパルおよびリソース・プリンシパルは、データベース接続を確立するためのデータベース接続パスワードおよび接続ウォレット情報へのアクセスを提供する様々な方法です。認証済プリンシパルを使用すると、現在OCIにログインしているユーザーがパスワードを取得します。この場合、管理者は、ユーザーにアクセス権を付与するために必要なポリシーを作成する必要があります。リソース・プリンシパルを使用すると、リソースはパスワードを取得します。そのため、管理者はパスワードへのアクセス権をユーザーに付与する必要はなく、より安全です。
リソース・プリンシパルでデータベース・ツール接続を使用する場合、OCIリソースにアクセスするために資格証明オブジェクトを作成する必要はありません。データベース・ツール・アイデンティティ・オブジェクトを作成する必要があります。これにより、指定したOCIリソースへのアクセスに使用するリソース・プリンシパル資格証明が作成され、保護されます。
リソース・プリンシパルは、一時セッション・トークンと、リソースが他のOCIサービスに対して自身を認証できるようにするセキュアな資格証明で構成されます。データベース・ツール接続では、リソース・プリンシパルを使用して、接続で使用されるシークレットにアクセスできます。この方法では、シークレットへのアクセスがユーザーではなく接続リソースに付与されるため、利点があります。そのため、データベース・ツールの接続管理者は、ユーザーがシークレットにアクセスできないように制限できます。リソース・プリンシパルでデータベース・ツール接続を使用する場合、OCIリソースにアクセスするために資格証明オブジェクトを作成する必要はありません。データベース・ツールは、指定されたOCIリソースへのアクセスに使用するリソース・プリンシパル資格証明を作成および保護します。
リソース・プリンシパルを使用するには、テナンシ管理者が、リソース・プリンシパルがOCIリソースにアクセスできるようにする適切なOCIポリシーおよび動的グループを定義する必要があります。リソース・プリンシパルを使用してサービスにアクセスする場合、生成されたセッション・トークンおよび資格証明は、動的グループにアクセス権が付与されているOCIリソースに対してのみ有効です。
リソース・プリンシパルを使用するためのデータベース・ツール接続の作成の詳細は、Oracle Cloud Infrastructure Consoleの使用を参照してください。
リソース・プリンシパルのコンポーネントは次のとおりです。