Oracle Database Vaultオブジェクトには2つのスキーマがあり、これらのスキーマにはOracle Database Vaultの管理処理およびランタイム処理をサポートするデータベース表、順序、ビュー、トリガー、ロール、パッケージ、プロシージャ、ファンクションおよびコンテキストが含まれます。
Oracle Database Vaultには、次のスキーマがあります。
DVSYSスキーマ: Oracle Database Vaultのスキーマおよび関連オブジェクトを所有します。
DVFスキーマ: ファクタ・アイデンティティを取得するために作成されるOracle Database Vaultのファンクションを所有します。
DVSYS
スキーマには、Oracle Database Vaultデータベース・オブジェクトが含まれます。このオブジェクトは、Oracle Database Vault構成情報を格納し、Oracle Database Vaultの管理処理およびランタイム処理をサポートします。デフォルト・インストールでは、DVSYS
スキーマはロックされています。DVSYS
スキーマは、AUDIT_TRAIL$
表も所有します。
Oracle Database Vaultでは、保護スキーマ設計を使用してDVSYS
スキーマを保護します。保護スキーマ設計により、スキーマはシステム権限(SELECT ANY TABLE
、CREATE ANY VIEW
、DROP ANY
など)の不正使用から保護されます。
DVSYS
スキーマは、Oracle Database Vaultによって次のように保護されます。
DVSYS
保護スキーマとその管理ロールは削除できません。デフォルトで、DVSYS
アカウントはロックされています。
CREATE USER
、ALTER USER
、DROP USER
、CREATE PROFILE
、ALTER PROFILE
、DROP PROFILE
などの文は、DV_ACCTMGR
ロールを持つユーザーのみが発行できます。SYSDBA
は、「アカウント/プロファイルを保守可能」ルール・セットを変更して発行できるようにした場合にかぎり、これらの文を発行できます。
データベース定義言語(DDL)およびデータ操作言語(DML)のコマンドに対する強力なANY
システム権限は、保護スキーマではブロックされます。つまり、DVSYS
スキーマのオブジェクトは、スキーマ・アカウント自体によって作成される必要があります。また、スキーマ・オブジェクトへのアクセスは、オブジェクト権限の付与により認可される必要があります。
DVSYS
スキーマのオブジェクト権限は、スキーマの管理ロールにのみ付与できます。つまり、ユーザーは、事前定義済管理ロールによってのみ保護スキーマにアクセスできます。
スキーマの事前定義済管理ロールに対してALTER ROLE
文を発行できるのは、保護スキーマのDVSYS
アカウントのみです。Oracle Database Vaultの管理ロールの詳細は、「Oracle Database Vaultロール」を参照してください。
事前定義済ロールをADMIN OPTION
とともにユーザーに付与できるのは、保護スキーマのDVSYS
アカウントのみです。つまり、ADMIN OPTION
が指定された権限受領者が、ADMIN OPTION
を指定せずにロールを別のユーザーに付与できます。
SQL文の実行に、SYS.DBMS_SYS_SQL.PARSE_AS_USER
プロシージャを保護スキーマDVSYS
のかわりに使用することはできません。
注意: データベース・ユーザーは、Oracle Database Vaultの管理ロール(たとえばDV_ADMIN およびDV_OWNER )に、追加のオブジェクト権限およびロールを付与できます。ただし、付与に必要な権限がある場合にかぎります。 |
この項では、Oracle Database Vaultに用意されているデフォルト・ロールについて説明します。次のトピックが含まれています。
Oracle Database Vaultでは、Oracle Database Vaultの管理に必要な一連のロールが提供されます。
図11-1は、これらのロールがデータベース内の職務分離の第1段階を実現するために設計されていることを示しています。これらのロールをどのように使用するかは、会社の要件によって異なります。
関連項目: ロール管理の一般的なガイドラインについては、『Oracle Databaseセキュリティ・ガイド』を参照してください。 |
注意: 追加のオブジェクト権限およびロールをOracle Database Vaultロールに付与して、権限の範囲を拡大できます。たとえば、SYSDBA は、オブジェクトがDVSYS スキーマまたはレルムになければ、オブジェクト権限をOracle Database Vaultロールに付与できます。 |
表11-1に、Oracle Database Vaultロールで使用できる権限をまとめています。(DV_PATCH_ADMIN
、DV_STREAMS_ADMIN
、DV_XSTREAM
、DV_GOLDENGATE_ADMIN
およびDV_GOLDENGATE_REDO_ACCESS
ロールはシステム権限がないため、入っていません。)
表11-1 Oracle Database Vaultロールの権限
権限 | DV_OWNER | DV_ADMIN | DV_MONITOR | DV_SECANALYST | DV_ACCTMGR | DV_REALM_OWNER | DV_REALM_RESOURCE | DV_PUBLIC | DV_AUDIT_CLEANUP |
---|---|---|---|---|---|---|---|---|---|
|
あり脚注1 |
あり脚注2 |
なし |
なし |
なし |
なし |
なし |
なし |
なし |
|
あり |
あり |
なし |
なし |
なし |
なし |
なし |
なし |
なし |
|
あり |
あり |
あり |
あり(一部のDatabase Vaultビュー)脚注3 |
なし |
なし |
なし |
なし脚注4 |
あり(一部のDatabase Vault表およびビュー)脚注5 |
|
なし |
なし |
なし |
なし |
なし |
なし |
なし |
なし |
なし |
|
あり |
なし |
なし |
なし |
なし |
なし |
なし |
なし |
なし |
|
なし |
なし |
なし |
あり |
なし |
なし |
なし |
なし |
なし |
Database Vaultの監視 |
あり |
あり |
あり |
あり |
なし |
なし |
なし |
なし |
なし |
Database Vaultレポートの実行 |
あり |
あり |
なし |
あり |
なし |
なし |
なし |
なし |
なし |
|
あり |
なし |
あり |
あり( |
なし |
なし |
なし |
なし |
なし |
|
なし |
なし |
なし |
あり(一部) |
なし |
なし |
なし |
なし |
なし |
|
なし |
なし |
なし |
なし |
あり |
なし |
なし |
なし |
なし |
レルムを定義するスキーマ内のオブジェクトの管理脚注7 |
なし |
なし |
なし |
なし |
なし |
あり脚注8 |
なし |
なし |
なし |
|
なし |
なし |
なし |
なし |
なし |
なし |
あり |
なし |
なし |
脚注1 すべてのOracle Database Vault PL/SQLパッケージに対するEXECUTE
権限が含まれます。
脚注2 すべてのOracle Database Vault PL/SQLパッケージに対するEXECUTE
権限が含まれます。
脚注3 DV_SECANALYST
は、Oracle Database Vaultで提供されるビューを使用した場合のみ、DVSYS
スキーマ・オブジェクトに問い合せることができます。
脚注4 DV_PUBLIC
は、Oracle Database Vaultで提供されるビューを使用した場合のみ、DVSYS
スキーマ・オブジェクトに問い合せることができます。
脚注5 DV_AUDIT_CLEANUP
は、AUDIT_TRAIL
$表でSELECT
文を実行できます。
脚注6 この権限には、DVSYS
アカウントの削除や変更、およびDVSYS
パスワードの変更のための権限は含まれません。
脚注7 この権限には、CREATE ANY
、ALTER ANY
およびDROP ANY
などのANY
権限が含まれます。
脚注8 また、このロールを持つユーザーがシステム権限を実行するには、レルム参加者またはレルム所有者であることが必要です。
脚注9 RESOURCE
ロールは、CREATE CLUSTER
、CREATE INDEXTYPE
、CREATE OPERATOR
、CREATE PROCEDURE
、CREATE SEQUENCE
、CREATE TABLE
、CREATE TRIGGER
、CREATE TYPE
の各システム権限を提供します。
DV_OWNER
ロールを使用して、Oracle Database Vaultロールおよびその構成を管理します。このマニュアルで、このロールを使用するサンプル・アカウントはlbrown_dvowner
です。
DV_OWNERロールに関連付けられた権限
DV_OWNER
ロールには、DV_ADMIN
ロールによって提供される管理機能とDV_SECANALYST
ロールによって提供されるレポート機能が含まれます。Oracle Database Vaultを監視する権限も備わっています。Oracle Database Vaultのインストール時に作成され、DVSYS
スキーマに対するほとんどの権限を有します。DV_ADMIN
ロール以外に、DV_OWNER
ロールは、GRANT ANY ROLE
、ADMINISTER DATABASE TRIGGER
およびALTER ANY TRIGGER
権限を持ちます。
ヒント: DV_OWNER ユーザーに、別個の名前付きアカウントを作成することを検討してください。これにより、ユーザーが使用できなくなった場合(退社した場合など)、このユーザー・アカウントを再作成して、このユーザーにDV_OWNER ロールを付与できます。 |
DV_OWNER
ロールに関連付けられたシステム権限とオブジェクト権限の完全なリストを検索するには、SQL*Plusに管理者権限でログインし、次の問合せを入力します。
SELECT TABLE_NAME, OWNER, PRIVILEGE FROM DBA_TAB_PRIVS WHERE GRANTEE = 'DV_OWNER'; SELECT PRIVILEGE FROM DBA_SYS_PRIVS WHERE GRANTEE = 'DV_OWNER';
Oracle Database Vaultをインストールして登録すると、DV_OWNER
アカウントが作成されます。このロールを付与されたユーザーはADMIN
オプションも付与され、ADMIN OPTION
を使用せずに、任意のOracle Database Vaultロール(DV_ACCTMGR
を除く)を任意のアカウントに対して実行できます。また、このロールを付与されたユーザーは、Oracle Database Vaultレポートの実行およびOracle Database Vaultの監視ができます。
DV_OWNERロールがGRANT操作とREVOKE操作に及ぼす影響
DV_OWNER
ロールを持つすべてのユーザーは、別のユーザーにDV_OWNER
およびDV_ADMIN
ロールを付与できます。このロールを付与されたアカウントは、付与された保護スキーマ・ロールを別のアカウントから取り消すことができます。SYS
やSYSTEM
など、GRANT ANY ROLE
システム権限のみを持つ(直接またはロールを使用して間接的に付与された)アカウントには、他のデータベース・アカウントに対してDV_OWNER
ロールを付与する権限または取り消す権限がありません。また、DV_OWNER
ロールを持つユーザーは、DV_ACCTMGR
ロールの付与または取消しを実行できません。
DV_OWNERロールを持つユーザーのパスワード変更の管理
DV_OWNER
ロールを付与されている他のユーザーのパスワードを変更するには、あらかじめ、そのユーザー・アカウントからDV_OWNER
ロールを取り消しておく必要があります。ただし、DV_OWNER
ロールの取消しには注意が必要です。サイトの少なくとも1人のユーザーに、このロールが付与されている必要があります。このロールが付与されている他のDV_OWNER
ユーザーのパスワードを変更する必要がある場合は、そのユーザーから一時的にDV_OWNER
を取り消すことができます。また、DV_OWNER
ロールを付与されているユーザーは、自分自身からロールを取り消さなくても、自分のパスワードを変更できます。
DV_OWNER
ユーザー・パスワードを変更するには、次のようにします。
DV_OWNER
ロールを付与されているアカウントを使用して、SQL*Plusにログインします。
パスワード変更が必要なユーザー・アカウントからDV_OWNER
ロールを取り消します。
DV_ACCTMGR
ロールを付与されているユーザーとして接続し、このユーザーのパスワードを変更します。
DV_OWNER
ユーザーとして接続し、DV_OWNER
ロールをパスワードを変更したユーザーに再び付与します。
一時的にOracle Database Vaultを無効にして、ALTER USER
権限を付与されているユーザーとしてログオンし、DV_OWNER
ユーザー・パスワードを変更することもできます。その後、Database Vaultを再び有効にします。詳細は、付録B「Oracle Database Vaultの無効化および有効化」を参照してください。
Oracle Database Vaultセキュリティを無効にした場合の処理
すべての保護スキーマ・ロール(DV_OWNER
を含む)の付与および取消しは、Oracle Database Vaultが有効になっている場合にのみ実施されます。Oracle Database Vaultが無効になっている場合、GRANT ANY ROLE
システム権限を持つアカウントはすべて、保護スキーマ・ロールに対してGRANT
操作およびREVOKE
操作を実行できます。
Oracle Database Vaultを無効化および有効化する方法は、付録B「Oracle Database Vaultの無効化および有効化」を参照してください。
DV_ADMIN
ロールはOracle Database VaultのPL/SQLパッケージを制御します。
DV_ADMINロールに関連付けられた権限
DV_ADMIN
ロールは、DVSYS
パッケージ(DBMS_MACADM
、DBMS_MACSECROLES
およびDBMS_MACUTL
)に対するEXECUTE
権限を保持します。また、DV_ADMIN
にはDV_SECANALYST
ロールによって提供された機能が含まれるため、これを使用するとOracle Database Vaultレポートの実行やOracle Database Vaultの監視が可能になります。インストール中、DV_ADMIN
ロールがDV_OWNER
ロールにADMIN OPTION
付きで付与されます。
DV_ADMIN
ロールに関連付けられたシステム権限とオブジェクト権限の完全なリストを検索するには、SQL*Plusに管理者権限でログインし、次の問合せを入力します。
SELECT TABLE_NAME, OWNER, PRIVILEGE FROM DBA_TAB_PRIVS WHERE GRANTEE = 'DV_ADMIN'; SELECT PRIVILEGE FROM DBA_SYS_PRIVS WHERE GRANTEE = 'DV_ADMIN';
DV_ADMINロールがGRANT操作とREVOKE操作に及ぼす影響
SYS
やSYSTEM
など、GRANT ANY ROLE
システム権限のみを持つアカウントには、他のデータベース・アカウントに対してDV_ADMIN
を付与する権限または取り消す権限がありません。DV_OWNER
またはDV_ADMIN
ロールを持つユーザーは、任意のデータベース・アカウントに対してこのロールを付与する、または取り消すことができます。
DV_ADMINロールを持つユーザーのパスワード変更の管理
DV_ADMIN
ロールを付与されているユーザーのパスワードを変更するには、あらかじめ、このアカウントからDV_ADMIN
ロールを取り消しておく必要があります。DV_ADMIN
ロールを付与されているユーザーは、自分自身からロールを取り消さなくても、自分のパスワードを変更できます。
DV_ADMIN
ユーザー・パスワードを変更するには、次のようにします。
DV_OWNER
ロールを付与されているアカウントを使用して、SQL*Plusにログインします。
パスワード変更が必要なユーザー・アカウントからDV_ADMIN
ロールを取り消します。
DV_ACCTMGR
ロールを付与されているユーザーとして接続し、このユーザーのパスワードを変更します。
DV_OWNER
ユーザーとして接続し、DV_ADMIN
ロールをパスワードを変更したユーザーに再び付与します。
一時的にOracle Database Vaultを無効にして、ALTER USER
権限を付与されているユーザーとしてログオンし、DV_ADMIN
ユーザー・パスワードを変更することもできます。その後、Database Vaultを再び有効にします。詳細は、付録B「Oracle Database Vaultの無効化および有効化」を参照してください。
Oracle Database Vaultセキュリティを無効にした場合の処理
すべての保護スキーマ・ロール(DV_OWNER
を含む)の付与および取消しは、Oracle Database Vaultが有効になっている場合にのみ実施されます。Oracle Database Vaultが無効になっている場合、GRANT ANY ROLE
システム権限を持つアカウントはすべて、保護スキーマ・ロールに対してGRANT
操作およびREVOKE
操作を実行できます。
Oracle Database Vaultを無効化および有効化する方法は、付録B「Oracle Database Vaultの無効化および有効化」を参照してください。
DV_MONITOR
ロールにより、Oracle Enterprise Manager Grid Controlエージェントは、Oracle Database Vaultでレルムまたはコマンド・ルール定義に関する違反未遂および構成の問題を監視できます。これにより、Grid Controlでは、レルム定義およびコマンド・ルール定義を読み取ってデータベース間で伝播できます。
DV_MONITORロールに関連付けられた権限
DV_MONITOR
ロールに関連付けられているシステム権限はありませんが、一部のSYS
オブジェクトとDVSYS
オブジェクトに対するSELECT
権限を持ちます。DV_MONITOR
オブジェクト権限の完全なリストを確認するには、SQL*Plusに管理者権限でログインし、次の問合せを入力します。
SELECT TABLE_NAME, OWNER, PRIVILEGE FROM DBA_TAB_PRIVS WHERE GRANTEE = 'DV_MONITOR';
DV_MONITORロールがGRANT操作とREVOKE操作に及ぼす影響
デフォルトでは、このロールはDV_OWNER
ロール、DV_ADMIN
ロール、DV_SECANALYST
ロールおよびDBSNMP
ユーザーに付与されます。DV_OWNER
権限を付与されているユーザーのみ、別のユーザーに対してDV_MONITOR
ロールを付与する、または取り消すことができます。このロールをADMIN
オプション付きで付与することはできません。
Oracle Database Vaultセキュリティを無効にした場合の処理
すべての保護スキーマ・ロール(DV_OWNER
を含む)の付与および取消しは、Oracle Database Vaultが有効になっている場合にのみ実施されます。Oracle Database Vaultが無効になっている場合、GRANT ANY ROLE
システム権限を持つアカウントはすべて、保護スキーマ・ロールに対してGRANT
操作およびREVOKE
操作を実行できます。
Oracle Database Vaultを無効化および有効化する方法は、付録B「Oracle Database Vaultの無効化および有効化」を参照してください。
DV_SECANALYST
を使用して、Oracle Database Vaultレポートの実行およびOracle Database Vaultの監視を行います。このロールは、データベース関連のレポートにも使用されます。また、第16章「Oracle Database Vaultのデータ・ディクショナリ・ビュー」
の説明にあるように、このロールを使用すると、DVSYS
ビューに問い合せることでDVSYS構成をチェックできます。
DV_SECANALYSTロールに関連付けられた権限
DV_SECANALYST
ロールに関連付けられているシステム権限はありませんが、DVSYS
およびDVF
に関連するエンティティについてレポートするために、DVSYS
オブジェクト・スキーマと一部のSYS
およびSYSMAN
スキーマ・オブジェクトに対するSELECT
権限を持ちます。DV_SECANALYST
オブジェクト権限の完全なリストを確認するには、SQL*Plusに管理者権限でログインし、次の問合せを入力します。
SELECT TABLE_NAME, OWNER, PRIVILEGE FROM DBA_TAB_PRIVS WHERE GRANTEE = 'DV_SECANALYST';
DV_SECANALYSTロールがGRANT操作とREVOKE操作に及ぼす影響
SYS
やSYSTEM
など、GRANT ANY ROLE
システム権限のみを持つアカウントには、他のデータベース・アカウントに対してこのロールを付与する権限または取り消す権限がありません。DV_OWNER
ロールを持つユーザーのみ、他のユーザーに対してこのロールを付与する、または取り消すことができます。
DV_SECANALYSTロールを持つユーザーのパスワード変更の管理
DV_SECANALYST
ロールを付与されているユーザーのパスワードを変更するには、あらかじめ、このアカウントからDV_SECANALYST
ロールを取り消しておく必要があります。DV_SECANALYST
ロールを付与されているユーザーは、自分自身からロールを取り消さなくても、自分のパスワードを変更できます。
DV_SECANALYST
ユーザー・パスワードを変更するには、次のようにします。
DV_OWNER
ロールを付与されているアカウントを使用して、SQL*Plusにログインします。
パスワード変更が必要なユーザー・アカウントからDV_SECANALYST
ロールを取り消します。
DV_ACCTMGR
ロールを付与されているユーザーとして接続し、このユーザーのパスワードを変更します。
DV_OWNER
ユーザーとして接続し、DV_SECANALYST
ロールをパスワードを変更したユーザーに再び付与します。
一時的にOracle Database Vaultを無効にして、ALTER USER
権限を付与されているユーザーとしてログオンし、DV_SECANALYST
ユーザー・パスワードを変更することもできます。その後、Database Vaultを再び有効にします。詳細は、付録B「Oracle Database Vaultの無効化および有効化」を参照してください。
Oracle Database Vaultセキュリティを無効にした場合の処理
すべての保護スキーマ・ロール(DV_OWNER
を含む)の付与および取消しは、Oracle Database Vaultが有効になっている場合にのみ実施されます。Oracle Database Vaultが無効になっている場合、GRANT ANY ROLE
システム権限を持つアカウントはすべて、保護スキーマ・ロールに対してGRANT
操作およびREVOKE
操作を実行できます。
Oracle Database Vaultを無効化および有効化する方法は、付録B「Oracle Database Vaultの無効化および有効化」を参照してください。
非統合監査環境でDatabase Vault監査証跡のパージを担当するユーザーにDV_AUDIT_CLEANUP
ロールを付与します。
DV_AUDIT_CLEANUPロールに関連付けられた権限
DV_AUDIT_CLEANUP
ロールには、DVSYS.AUDIT_TRAIL$
表に対するSELECT
権限およびDELETE
権限があります。
DV_AUDIT_CLEANUPロールによってGRANT操作とREVOKE操作はどのような影響を受けますか。
デフォルトでは、このロールは、ADMIN OPTION
付きのDV_OWNER
ロールに付与されます。DV_OWNER
ロールを付与されているユーザーのみ、別のユーザーに対してDV_AUDIT_CLEANUP
ロールを付与する、または取り消すことができます。
DV_AUDIT_CLEANUPロールを持つユーザーのパスワード変更の管理
DV_AUDIT_CLEANUP
ロールを付与されているユーザーのパスワードを変更するには、あらかじめ、このアカウントからDV_AUDIT_CLEANUP
ロールを取り消しておく必要があります。DV_AUDIT_CLEANUP
ロールを付与されているユーザーは、自分自身からロールを取り消さなくても、自分のパスワードを変更できます。
DV_AUDIT_CLEANUP
ユーザー・パスワードを変更するには、次のようにします。
DV_OWNER
ロールを付与されているアカウントを使用して、データベース・インスタンスにログインします。
パスワード変更が必要なユーザー・アカウントからDV_AUDIT_CLEANUP
ロールを取り消します。
DV_ACCTMGR
ロールを付与されているユーザーとして接続し、このユーザーのパスワードを変更します。
DV_OWNER
ユーザーとして接続し、パスワードを変更したユーザーに再びDV_AUDIT_CLEANUP
ロールを付与します。
Oracle Database Vaultセキュリティを無効にした場合の処理
すべてのOracle Database Vaultロールの保護は、Oracle Database Vaultが有効な場合のみ実施されます。Oracle Database Vaultが無効になっている場合、GRANT ANY ROLE
システム権限を持つアカウントはすべて、保護対象のDatabase Vaultロールに対してGRANT
操作およびREVOKE
操作を実行できます。
Oracle Database Vaultを無効化および有効化する方法は、付録B「Oracle Database Vaultの無効化および有効化」を参照してください。
DV_STREAMS_ADMIN
ロールを、Oracle Database Vault環境でOracle Streamsの構成を行う任意のユーザーに付与します。これにより、Oracle Streamsプロセスの管理をDatabase Vaultで厳格に制御できます。ただし、管理者が通常Oracle Streamsを管理する方法は変更または制限されません。
DV_STREAMS_ADMINロールに関連付けられた権限
DV_STREAMS_ADMIN
ロールに関連付けられているシステム権限はありませんが、DVSYS
オブジェクトに対するSELECT
権限を持ちます。DV_STREAMS_ADMIN
オブジェクト権限の完全なリストを確認するには、SQL*Plusに管理者権限でログインし、次の問合せを入力します。
SELECT TABLE_NAME, OWNER, PRIVILEGE FROM DBA_TAB_PRIVS WHERE GRANTEE = 'DV_STREAMS_ADMIN';
DV_STREAMS_ADMIN
ロールは、Oracle Streamsを構成するための十分なデータベース権限は提供しません。DV_STREAMS_ADMIN
ロールは、データベース管理者がOracle Database Vault環境でOracle Streamsを構成するための追加要件(Oracle Streamsで現在必要な権限を補うもの)です。
DV_STREAMS_ADMINロールがGRANT操作とREVOKE操作に及ぼす影響
DV_STREAMS_ADMIN
ロールをADMIN OPTION
付きで付与することはできません。DV_OWNER
ロールを付与されているユーザーのみ、別のユーザーに対してDV_STREAMS_ADMIN
ロールを付与する、または取り消すことができます。
Oracle Database Vaultセキュリティを無効にした場合の処理
すべての保護スキーマ・ロール(DV_OWNER
を含む)の付与および取消しは、Oracle Database Vaultが有効になっている場合にのみ実施されます。Oracle Database Vaultが無効になっている場合、GRANT ANY ROLE
システム権限を持つアカウントはすべて、保護スキーマ・ロールに対してGRANT
操作およびREVOKE
操作を実行できます。
DV_XSTREAM_ADMIN
ロールを、Oracle Database Vault環境でXStreamの構成を行う任意のユーザーに付与します。これにより、XStreamプロセスの管理をDatabase Vaultで厳格に制御できます。ただし、管理者が通常XStreamを管理する方法は変更または制限されません。
DV_XSTREAM_ADMINロールに関連付けられた権限
DV_XSTREAM_ADMIN
ロールに関連付けられた権限はありません。
DV_XSTREAM_ADMIN
ロールは、XStreamを構成するための十分なデータベース権限は提供しません。DV_XSTREAM_ADMIN
ロールは、データベース管理者がOracle Database Vault環境でXStreamを構成するための追加要件(XStreamで現在必要な権限を補うもの)です。
DV_XSTREAM_ADMINロールがGRANT操作とREVOKE操作に及ぼす影響
DV_XSTREAM_ADMIN
ロールをADMIN OPTION
付きで付与することはできません。DV_OWNER
ロールを付与されているユーザーのみ、別のユーザーに対してDV_XSTREAM_ADMIN
ロールを付与する、または取り消すことができます。
Oracle Database Vaultセキュリティを無効にした場合の処理
すべての保護スキーマ・ロール(DV_OWNER
を含む)の付与および取消しは、Oracle Database Vaultが有効になっている場合にのみ実施されます。Oracle Database Vaultが無効になっている場合、GRANT ANY ROLE
システム権限を持つアカウントはすべて、保護スキーマ・ロールに対してGRANT
操作およびREVOKE
操作を実行できます。
DV_GOLDENGATE_ADMIN
ロールを、Oracle Database Vault環境でOracle GoldenGateの構成を行う任意のユーザーに付与します。これにより、Oracle GoldenGateプロセスの管理をDatabase Vaultで厳格に制御できます。ただし、管理者が通常Oracle GoldenGateを管理する方法は変更または制限されません。
DV_GOLDENGATE_ADMINロールに関連付けられた権限
DV_GOLDENGATE_ADMIN
ロールに関連付けられた権限はありません。
DV_GOLDENGATE_ADMIN
ロールは、Oracle GoldenGateを構成するための十分なデータベース権限は提供しません。DV_GOLDENGATE_ADMIN
ロールは、データベース管理者がOracle Database Vault環境でXStreamを構成するための追加要件(Oracle GoldenGateで現在必要な権限を補うもの)です。
DV_GOLDENGATE_ADMINロールがGRANT操作とREVOKE操作に及ぼす影響
DV_GOLDENGATE_ADMIN
ロールをADMIN OPTION
付きで付与することはできません。DV_OWNER
ロールを付与されているユーザーのみ、別のユーザーに対してDV_GOLDENGATE_ADMIN
ロールを付与する、または取り消すことができます。
Oracle Database Vaultセキュリティを無効にした場合の処理
すべての保護スキーマ・ロール(DV_OWNER
を含む)の付与および取消しは、Oracle Database Vaultが有効になっている場合にのみ実施されます。Oracle Database Vaultが無効になっている場合、GRANT ANY ROLE
システム権限を持つアカウントはすべて、保護スキーマ・ロールに対してGRANT
操作およびREVOKE
操作を実行できます。
DV_GOLDENGATE_REDO_ACCESS
ロールを、Oracle Database Vault環境でOracle GoldenGateのTRANLOGOPTIONS DBLOGREADER
メソッドを使用してREDOログへのアクセスを行う任意のユーザーに付与します。これにより、Oracle GoldenGateプロセスの管理をDatabase Vaultで厳格に制御できます。ただし、管理者が通常Oracle GoldenGateを管理する方法は変更または制限されません。
DV_GOLDENGATE_REDO_ACCESSロールに関連付けられた権限
DV_GOLDENGATE_REDO_ACCESS
ロールに関連付けられた権限はありません。
DV_GOLDENGATE_REDO_ACCESS
ロールは、Oracle GoldenGateを構成するための十分なデータベース権限は提供しません。DV_GOLDENGATE_REDO_ACCESS
ロールは、データベース管理者がOracle Database Vault環境でOracle Streamsを構成するための追加要件(Oracle GoldenGateで現在必要な権限を補うもの)です。
DV_GOLDENGATE_REDO_ACCESSロールがGRANT操作とREVOKE操作に及ぼす影響
DV_GOLDENGATE_REDO_ACCESS
ロールをADMIN OPTION
付きで付与することはできません。DV_OWNER
ロールを付与されているユーザーのみ、別のユーザーに対してDV_GOLDENGATE_REDO_ACCESS
ロールを付与する、または取り消すことができます。
Oracle Database Vaultセキュリティを無効にした場合の処理
すべての保護スキーマ・ロール(DV_OWNER
を含む)の付与および取消しは、Oracle Database Vaultが有効になっている場合にのみ実施されます。Oracle Database Vaultが無効になっている場合、GRANT ANY ROLE
システム権限を持つアカウントはすべて、保護スキーマ・ロールに対してGRANT
操作およびREVOKE
操作を実行できます。
DV_PATCH_ADMIN
ロールを、Database Vaultにパッチ操作または言語の追加を行う任意のデータベース管理者に一時的に付与します。パッチ操作または言語の追加の終了後、ただちにこのロールを取り消す必要があります。
DV_PATCH_ADMINロールに関連付けられた権限
このロールでは、保護されたデータにアクセスできません。DV_PATCH_ADMIN
ロールは、オブジェクト権限やシステム権限を持たない特殊なDatabase Vaultロールです。データベース管理者およびユーザーSYS
がデータベースへのパッチ適用(Database Vaultへのパッチ適用など)を、レルムで保護されたデータにアクセスしなくても実行できるように設計されています。また、一部のパッチでは新しいスキーマを作成する必要があるため、データベース管理者はユーザーの作成も行うことができます。
DV_OWNERロールがGRANT操作とREVOKE操作に及ぼす影響
DV_OWNER
ロールを持つユーザーのみ、他のユーザーに対してDV_PATCH_ADMIN
ロールを付与する、または取り消すことができます。DV_PATCH_ADMIN
ロールをADMIN
オプション付きで付与することはできません。
Oracle Database Vaultセキュリティを無効にした場合の処理
すべての保護スキーマ・ロール(DV_OWNER
を含む)の付与および取消しは、Oracle Database Vaultが有効になっている場合にのみ実施されます。Oracle Database Vaultが無効になっている場合、GRANT ANY ROLE
システム権限を持つアカウントはすべて、保護スキーマ・ロールに対してGRANT
操作およびREVOKE
操作を実行できます。
Oracle Database Vaultを無効化および有効化する方法は、付録B「Oracle Database Vaultの無効化および有効化」を参照してください。
DV_ACCTMGR
ロールを使用して、データベース・アカウントとデータベース・プロファイルの作成および管理を行います。このマニュアルでは、例のDV_ACCTMGR
ロールがamalcolm_dvacctmgr
というユーザーに割り当てられます。
DV_ACCTMGRロールに関連付けられた権限
このロールを付与されたユーザーは、ユーザーまたはプロファイルに対してCREATE
文、ALTER
文、DROP
文を使用できます。ただし、DV_ACCTMGR
ロールを付与されているユーザーは、次の操作は実行できません。
DVSYS
アカウントに対するALTER
文またはDROP
文
DV_ADMIN
、DV_OWNER
、DV_SECANALYST
、DV_AUDIT_CLEANUP
およびDV_MONITOR
ロールを付与されているユーザーに対するALTER
文またはDROP
文
DV_ADMIN
、DV_OWNER
、DV_SECANALYST
、DV_AUDIT_CLEANUP
およびDV_MONITOR
ロールを付与されているユーザーのパスワード変更
DV_ACCTMGR
ロールに関連付けられたシステム権限とオブジェクト権限の完全なリストを検索するには、SQL*Plusに管理者権限でログインし、次の問合せを入力します。
SELECT TABLE_NAME, OWNER, PRIVILEGE FROM DBA_TAB_PRIVS WHERE GRANTEE = 'DV_ACCTMGR'; SELECT PRIVILEGE FROM DBA_SYS_PRIVS WHERE GRANTEE = 'DV_ACCTMGR';
ヒント:
|
DV_ACCTMGRロールがGRANT操作とREVOKE操作に及ぼす影響
SYS
やSYSTEM
など、GRANT ANY ROLE
システム権限のみを持つアカウントには、他のデータベース・アカウントに対してこのロールを付与する権限または取り消す権限がありません。DV_ACCTMGR
ロールおよびADMIN OPTION
を持つアカウントは、指定されたデータベース・アカウントにADMIN OPTION
なしでこのロールを付与することも、他のアカウントからこのロールを取り消すこともできます。
Oracle Database Vaultセキュリティを無効にした場合の処理
すべての保護スキーマ・ロール(DV_OWNER
を含む)の付与および取消しは、Oracle Database Vaultが有効になっている場合にのみ実施されます。Oracle Database Vaultが無効になっている場合、GRANT ANY ROLE
システム権限を持つアカウントはすべて、保護スキーマ・ロールに対してGRANT
操作およびREVOKE
操作を実行できます。
Oracle Database Vaultを無効化および有効化する方法は、付録B「Oracle Database Vaultの無効化および有効化」を参照してください。
DV_REALM_OWNER
ロールを使用して、レルムを定義する複数のスキーマ内のデータベース・オブジェクトを管理します。このロールを、レルムとそれに関連付けられたロール内の1つ以上のスキーマ・データベース・アカウントを管理するデータベース・アカウント所有者に付与します。
DV_REALM_OWNERロールに関連付けられた権限
このロールを付与されているユーザーは、CREATE ANY
、ALTER ANY
、DROP ANY
などの強力なシステム権限をレルム内で使用できます。ただし、これらの権限を使用するには、このユーザーをレルムの参加者または所有者にする必要があります。手順は、「レルム認可の定義」を参照してください。
DV_REALM_OWNER
ロールにはオブジェクト権限は付与されていませんが、いくつかのシステム権限が付与されています。DV_REALM_OWNER
システム権限の完全なリストを検索するには、SQL*Plusに管理者権限でログインし、次の問合せを入力します。
SELECT PRIVILEGE FROM DBA_SYS_PRIVS WHERE GRANTEE = 'DV_REALM_OWNER';
DV_REALM_OWNERロールがGRANT操作とREVOKE操作に及ぼす影響
Oracle Data Dictionaryレルムのレルム所有者(SYS
など)は、このロールを任意のデータベース・アカウントまたはロールに付与できます。このロールはSYS
が制御するシステム権限を付与できますが、DV_OWNER
またはDV_ADMIN
ロールを保持しません。
このロールを特定のレルムに関連付ける場合は、アカウントまたは業務関連のロールに割り当てた後、そのアカウントまたはロールをレルムで認可します。
Oracle Database Vaultセキュリティを無効にした場合の処理
すべての保護スキーマ・ロール(DV_OWNER
を含む)の付与および取消しは、Oracle Database Vaultが有効になっている場合にのみ実施されます。Oracle Database Vaultが無効になっている場合、GRANT ANY ROLE
システム権限を持つアカウントはすべて、保護スキーマ・ロールに対してGRANT
操作およびREVOKE
操作を実行できます。
Oracle Database Vaultを無効化および有効化する方法は、付録B「Oracle Database Vaultの無効化および有効化」を参照してください。
DV_REALM_RESOURCE
ロールは、レルムで一般に使用される表、ビュー、トリガー、シノニムおよびその他のオブジェクトの作成などの操作に使用します。
DV_REALM_RESOURCEロールに関連付けられた権限
DV_REALM_RESOURCE
ロールには、OracleのRESOURCE
ロールと同じシステム権限があります。さらに、CREATE SYNONYM
とCREATE VIEW
の両方がこのロールに付与されます。
DV_REALM_RESOURCE
ロールにはオブジェクト権限は付与されていませんが、いくつかのシステム権限が付与されています。DV_REALM_RESOURCE
システム権限の完全なリストを検索するには、SQL*Plusに管理者権限でログインし、次の問合せを入力します。
SELECT PRIVILEGE FROM DBA_SYS_PRIVS WHERE GRANTEE = 'DV_REALM_RESOURCE';
このロールはSYS
が制御するシステム権限を付与できますが、DV_OWNER
またはDV_ADMIN
ロールを保持しません。
DV_REALM_RESOURCEロールがGRANT操作とREVOKE操作に及ぼす影響
DV_REALM_RESOURCE
ロールは、任意のデータベース・アプリケーションのサポートに使用されるデータベース表、オブジェクト、トリガー、ビュー、プロシージャなどを所有するデータベース・アカウントに付与できます。これは、スキーマ・タイプのデータベース・アカウントを対象としたロールです。Oracle Data Dictionaryレルムのレルム所有者(SYS
など)は、このロールを任意のデータベース・アカウントまたはロールに付与できます。
Oracle Database Vaultセキュリティを無効にした場合の処理
すべての保護スキーマ・ロール(DV_OWNER
を含む)の付与および取消しは、Oracle Database Vaultが有効になっている場合にのみ実施されます。Oracle Database Vaultが無効になっている場合、GRANT ANY ROLE
システム権限を持つアカウントはすべて、保護スキーマ・ロールに対してGRANT
操作およびREVOKE
操作を実行できます。
Oracle Database Vaultを無効化および有効化する方法は、付録B「Oracle Database Vaultの無効化および有効化」を参照してください。
DV_PUBLIC
ロールを使用して、DVSYS
スキーマ内の特定のオブジェクトに対する権限を付与します。(デフォルト・インストールでは、DVSYS
スキーマはロックされています。)
DV_PUBLICロールに関連付けられた権限
次のOracle Database Vaultオブジェクトは、DV_PUBLIC
を介してアクセスできます。
PL/SQLプロシージャおよびファンクション(「Oracle Database VaultランタイムのPL/SQLプロシージャおよびファンクション」を参照)。Oracleデータベースにおけるアクセス制御およびOracle Label Securityの処理を可能にします。
PL/SQLファクタ・ファンクション(「Oracle Database VaultのPL/SQLファクタ・ファンクション」を参照)。DVF
スキーマの場合、これらは定義されている各ファクタのファンクションです。これらのファンクションをルール・セット内で使用すると、ルール・セットで保護するSQL文を検査できます。
DBMS_MACSEC_ROLES
パッケージ(第13章「DBMS_MACSEC_ROLESパッケージの使用方法」を参照)。このパッケージを使用すると、ユーザーに対する認可を確認したり、Oracle Database Vaultセキュア・アプリケーション・ロールを設定できます。
DBMS_MACUTL
パッケージ(第14章「DBMS_MACUTLパッケージの使用方法」を参照)。このパッケージは、Oracle Database Vault用に作成するアプリケーション・コードのあらゆる箇所で使用できる一連の汎用ユーティリティ・ファンクションです。
DV_PUBLIC
ロールにはシステム権限は付与されていませんが、いくつかのオブジェクト権限が付与されています。DV_PUBLIC
オブジェクト権限の完全なリストを検索するには、SQL*Plusに管理者権限でログインし、次の問合せを入力します。
SELECT TABLE_NAME, OWNER, PRIVILEGE FROM DBA_TAB_PRIVS WHERE GRANTEE = 'DV_PUBLIC';
DV_PUBLICロールがGRANT操作とREVOKE操作に及ぼす影響
Oracle Database Vaultでは、DVSYS
スキーマのオブジェクト権限をPUBLIC
に直接付与できません。DVSYS
スキーマ・オブジェクトに対するオブジェクト権限をDV_PUBLIC
ロールに付与した後、DV_PUBLIC
をPUBLIC
に付与する必要があります。ただし、その場合には、PUBLIC
ロールにその他のオブジェクト権限を追加しないことが重要です。追加した場合、Oracle Database Vaultのセキュリティが低下する可能性があります。
Oracle Database Vaultセキュリティを無効にした場合の処理
すべての保護スキーマ・ロール(DV_OWNER
を含む)の付与および取消しは、Oracle Database Vaultが有効になっている場合にのみ実施されます。Oracle Database Vaultが無効になっている場合、GRANT ANY ROLE
システム権限を持つアカウントはすべて、保護スキーマ・ロールに対してGRANT
操作およびREVOKE
操作を実行できます。
Oracle Database Vaultを無効化および有効化する方法は、付録B「Oracle Database Vaultの無効化および有効化」を参照してください。
Oracle Database Vaultでは、インストール時に、Oracle Database Vault所有者およびOracle Database Vaultアカウント・マネージャの2つのアカウントが要求されます。Oracle Database Vault所有者アカウントのアカウント名およびパスワードは、インストール時に指定する必要があります。Oracle Database Vaultアカウント・マネージャの作成は任意です。
Oracle Database Vault所有者アカウントには、DV_OWNER
ロールが付与されます。このアカウントは、Oracle Database Vaultのロールおよび構成を管理できます。(このロールの詳細は、「DV_OWNER Database Vault所有者ロール」を参照してください。)
Oracle Database Vaultアカウント・マネージャ・アカウントには、DV_ACCTMGR
ロールが付与されます。このアカウントは、データベース・ユーザー・アカウントを管理して職務分離をしやすくするために使用されます。(このロールの詳細は、「DV_ACCTMGR Database Vaultアカウント・マネージャ・ロール」を参照してください。)
インストール時にOracle Database Vaultアカウント・マネージャ・アカウントを作成しない場合、DV_OWNER
とDV_ACCTMGR
の両方のロールがOracle Database Vault所有者ユーザー・アカウントに付与されます。
表11-2に、インストール時に作成するアカウントの他に必要なOracle Database Vaultデータベース・アカウントを示します。
表11-2 Oracle Database Vaultで使用されるデータベース・アカウント
データベース・アカウント | ロールおよび権限 | 説明 |
---|---|---|
いくつかのシステム権限およびオブジェクト権限がOracle Database Vaultをサポートするために用意されています。このアカウントでセッションを作成する権限は、インストールの最後に取り消され、アカウントはロックされます。 |
Oracle Database Vaultのスキーマおよび関連オブジェクトの所有者 |
|
限定されたシステム権限がOracle Database Vaultをサポートするために用意されています。このアカウントでセッションを作成する権限は、インストールの最後に取り消され、アカウントはロックされます。 |
ファクタ・アイデンティティを取得するために作成されるOracle Database Vaultのファンクションの所有者 |
|
このアカウントは、Oracle Universal Installerのカスタム・インストール・オプションを使用してOracle Label Securityをインストールすると作成されます。(Oracle Database Vaultのインストール時には作成されません。)このアカウントは削除または再作成しないでください。 ファクタとOracle Label Securityポリシーを統合する場合、このファクタを使用するレルムの所有者としてこのユーザーを割り当てる必要があります。詳細は、「Oracle Label SecurityポリシーでのOracle Database Vaultファクタの使用方法」を参照してください。 |
Oracle Label Securityのスキーマの所有者 |
Oracle Database Vaultの職務分離要件を満たすために別のデータベース・アカウントを作成できます。表11-3に、指針となるモデル・データベース・アカウントの一部を示します。(表11-3に示すアカウントは、Oracle Database Vaultロールの実装の指針となります。これらは、インストール時に作成される実際のアカウントではありません。)
表11-3 Oracle Database Vaultのモデル・データベース・アカウント
データベース・アカウント | ロールおよび権限 | 説明 |
---|---|---|
|
|
|
|
|
データベース・アカウントおよびプロファイルを管理するためのアカウント。このアカウントの機能は次のとおりです。
注意: このアカウントでは、ロールの作成、および |
|
|
アクセス制御管理者として機能するアカウント。このアカウントの機能は次のとおりです。
注意: このアカウントでは、 |
|
|
Oracle Database Vaultの管理アプリケーションでのOracle Database Vaultレポートを実行するためのアカウント。 |