Stellt euch vor: Ihr möchtet Ihre Infrastruktur in der Oracle Cloud Infrastructure (OCI) automatisiert skalieren, um den Anforderungen Ihrer Anwendungen gerecht zu werden oder ihr wollt eine CI/CD-Pipeline einrichten, die neue Umgebungen blitzschnell bereitstellt. Doch wie könnt ihr diese Prozesse sicher und effizient gestalten, ohne eure persönlichen Zugangsdaten zu gefährden?
Die Antwort liegt in der Verwendung von Service-Accounts. Diese speziellen Benutzerkonten ermöglichen es, automatisierte Aufgaben in der OCI auszuführen, ohne eure persönlichen Anmeldedaten preisgeben zu müssen. In diesem Artikel zeigen wir euch, wie ihr Service-Accounts in der OCI ganz einfach einrichten und nutzen könnt, um eure DevOps-Workflows zu optimieren und gleichzeitig die Sicherheit eurer Cloud-Umgebung zu erhöhen.
Warum Service-Accounts?
Bevor wir uns den Details in der OCI widmen, müssen wir klären, was ein Service-Account eigentlich ist. Ein Service-Account wird in der Regel genutzt, wenn automatisierte Prozesse (wie CI/CD-Pipelines) auf Cloud-Ressourcen zugreifen müssen. Statt einen persönlichen Account zu verwenden, kann so ein separater „User“ eingerichtet werden, der keine E-Mail-Adresse oder Passwort benötigt. Diese Accounts bekommen API-Keys, mit denen ihr in eurem Namen handeln könnt – aber nur für die Aufgaben, für die ihr explizit berechtigt seid. Das sorgt nicht nur für Sicherheit, sondern auch für eine bessere Übersicht, besonders in Teams.
Das Problem in der Oracle Cloud
Anders als bei der Google Cloud, Azure oder AWS gibt es in der OCI nicht direkt die Möglichkeit, Service-Accounts anzulegen. Solange man allein arbeitet und lokale Tools wie die OCI CLI oder Infrastructure as Code (z. B. Ansible) verwendet, ist das kein Problem – dort kann der eigene User und API-Key genutzt werden. Aber was, wenn das Team wächst? Sobald mehrere Entwickler:innen oder DevOps-Engineers an einem Projekt beteiligt sind, soll sicher kein privater API-Key herumgereicht werden. Es braucht also etwas, das wie ein Service-Account funktioniert.
Die Lösung in der OCI
Auch wenn es keine „offiziellen“ Service-Accounts gibt, lässt sich die gleiche Funktionalität in der OCI sehr einfach nachbilden. Der Trick liegt in der sogenannten Default-Domain. In jeder Tenancy gibt es diese Domain und genau hier können Benutzer:innen erstellt werden, die weder eine E-Mail-Adresse noch ein Passwort benötigen. Diese User agieren wie Service-Accounts und das Beste daran ist: Ihr könnt gezielt Policies erhalten, die genau definieren, auf welche Ressourcen ihr zugreifen dürft.
Um eine:n neue:n Benutzer:in in der Default-Domain zu erstellen, kann im OCI-Dashboard unter der Option „Create User“ ein:e neue:r Benutzer:in angelegt werden. Dabei wird bewusst auf die Angabe einer E-Mail-Adresse verzichtet, da diese:r Benutzer:in keine klassische Identität besitzt. Stattdessen wird dem User direkt ein API-Key zugewiesen, welcher als Authentifizierungsmethode für automatisierte Prozesse, wie beispielsweise in einer CI/CD-Pipeline, dient.
Durch die Nutzung eines dedizierten API-Keys für jeden „Service-Account“ entfällt die Notwendigkeit, persönliche API-Keys in Pipelines zu verwenden. Dies ermöglicht eine präzise Kontrolle des Zugriffs, da den Service-Accounts spezifische Berechtigungen zugewiesen werden können, sodass diese nur auf die freigegebenen Ressourcen zugreifen können. Zudem lässt sich der API-Key problemlos in CI/CD-Pipelines integrieren, was eine automatisierte Erstellung und Verwaltung von Ressourcen in der OCI ermöglicht.
Fazit
Auch wenn die Oracle Cloud keine Service-Accounts im klassischen Sinne kennt, bietet sie dennoch alle Werkzeuge, um ähnliche Konten zu erstellen und sicher zu verwalten. Durch die Nutzung der Default Domain und die Vergabe von API-Keys bieten sie eine flexible und sichere Möglichkeit, Infrastrukturen in der OCI zu automatisieren und das ohne persönliche Zugangsdaten einem Risiko auszusetzen.
Seid ihr bereit, Ihre DevOps-Prozesse auf das nächste Level zu heben? Kontaktiert uns noch heute und lasst euch von unseren IT-Expert:innen beraten!
Seminarempfehlung
ORACLE CLOUD INFRASTRUCTURE (OCI) FÜR ORACLE DBAS ORA-OCI-01
Mehr erfahren