| Oracle® Database Vault管理者ガイド 11gリリース2 (11.2) B56297-10 |
|
 前 |
 次 |
Oracle Database Vaultオブジェクトには2つのスキーマがあり、これらのスキーマにはOracle Database Vaultの管理処理およびランタイム処理をサポートするデータベース表、順序、ビュー、トリガー、ロール、パッケージ、プロシージャ、ファンクションおよびコンテキストが含まれます。
Oracle Database Vaultには、次のスキーマがあります。
DVSYSスキーマ: Oracle Database Vaultのスキーマおよび関連オブジェクトを所有します。
DVFスキーマ: ファクタ・アイデンティティを取得するために作成されるOracle Database Vaultのファンクションを所有します。
DVSYSスキーマには、Oracle Database Vaultデータベース・オブジェクトが含まれます。このオブジェクトは、Oracle Database Vault構成情報を格納し、Oracle Database Vaultの管理処理およびランタイム処理をサポートします。デフォルト・インストールでは、DVSYSスキーマはロックされています。DVSYSスキーマは、AUDIT_TRAIL$表も所有します。
Oracle Database Vaultでは、保護スキーマ設計を使用してDVSYSスキーマを保護します。保護スキーマ設計により、スキーマはシステム権限(SELECT ANY TABLE、CREATE ANY VIEW、DROP ANYなど)の不正使用から保護されます。
DVSYSスキーマは、Oracle Database Vaultによって次のように保護されます。
DVSYS保護スキーマとその管理ロールは削除できません。デフォルトで、DVSYSアカウントはロックされています。
CREATE USER、ALTER USER、DROP USER、CREATE PROFILE、ALTER PROFILE、DROP PROFILEなどの文は、DV_ACCTMGRロールを持つユーザーのみが発行できます。SYSDBAは、「アカウント/プロファイルを保守可能」ルール・セットを変更して発行できるようにした場合にかぎり、これらの文を発行できます。
データベース定義言語(DDL)およびデータ操作言語(DML)のコマンドに対する強力なANYシステム権限は、保護スキーマではブロックされます。つまり、DVSYSスキーマのオブジェクトは、スキーマ・アカウント自体によって作成される必要があります。また、スキーマ・オブジェクトへのアクセスは、オブジェクト権限の付与により認可される必要があります。
DVSYSスキーマのオブジェクト権限は、スキーマの管理ロールにのみ付与できます。つまり、ユーザーは、事前定義済管理ロールによってのみ保護スキーマにアクセスできます。
スキーマの事前定義済管理ロールに対してALTER ROLE文を発行できるのは、保護スキーマのDVSYSアカウントのみです。Oracle Database Vaultの管理ロールの詳細は、「Oracle Database Vaultロール」を参照してください。
事前定義済ロールをADMIN OPTIONとともにユーザーに付与できるのは、保護スキーマのDVSYSアカウントのみです。つまり、ADMIN OPTIONが指定された権限受領者が、ADMIN OPTIONを指定せずにロールを別のユーザーに付与できます。
SQL文の実行に、SYS.DBMS_SYS_SQL.PARSE_AS_USERプロシージャを保護スキーマDVSYSのかわりに使用することはできません。
|
注意: データベース・ユーザーは、Oracle Database Vaultの管理ロール(たとえばDV_ADMINおよびDV_OWNER)に、追加のオブジェクト権限およびロールを付与できます。ただし、付与に必要な権限がある場合にかぎります。 |
この項では、Oracle Database Vaultに用意されているデフォルト・ロールについて説明します。次のトピックが含まれています。
Oracle Database Vaultでは、Oracle Database Vaultの管理に必要な一連のロールが提供されます。
図11-1は、これらのロールがデータベース内の職務分離の第1段階を実現するために設計されていることを示しています。これらのロールをどのように使用するかは、会社の要件によって異なります。
|
関連項目: ロール管理の一般的なガイドラインについては、『Oracle Databaseセキュリティ・ガイド』を参照してください。 |
|
注意: 追加のオブジェクト権限およびロールをOracle Database Vaultロールに付与して、権限の範囲を拡大できます。たとえば、SYSDBAは、オブジェクトがDVSYSスキーマまたはレルムになければ、オブジェクト権限をOracle Database Vaultロールに付与できます。 |
表11-1に、Oracle Database Vaultロールで使用できる権限をまとめています。(DV_PATCH_ADMIN、DV_STREAMS_ADMIN、DV_XSTREAM、DV_GOLDENGATE_ADMINおよびDV_GOLDENGATE_REDO_ACCESSロールはシステム権限がないため、入っていません。)
表11-1 Oracle Database Vaultロールの権限
| 権限 | DV_OWNER | DV_ADMIN | DV_MONITOR | DV_SECANALYST | DV_ACCTMGR | DV_REALM_OWNER | DV_REALM_RESOURCE | DV_PUBLIC | DV_AUDIT_CLEANUP |
|---|---|---|---|---|---|---|---|---|---|
|
|
あり脚注1 |
あり脚注2 |
なし |
なし |
なし |
なし |
なし |
なし |
なし |
|
|
あり |
あり |
なし |
なし |
なし |
なし |
なし |
なし |
なし |
|
|
あり |
あり |
あり |
あり(一部のDatabase Vaultビュー)脚注3 |
なし |
なし |
なし |
なし脚注4 |
あり(一部のDatabase Vault表およびビュー)脚注5 |
|
|
なし |
なし |
なし |
なし |
なし |
なし |
なし |
なし |
なし |
|
|
あり |
なし |
なし |
なし |
なし |
なし |
なし |
なし |
なし |
|
|
なし |
なし |
なし |
あり |
なし |
なし |
なし |
なし |
なし |
|
Database Vaultの監視 |
あり |
あり |
あり |
あり |
なし |
なし |
なし |
なし |
なし |
|
Database Vaultレポートの実行 |
あり |
あり |
なし |
あり |
なし |
なし |
なし |
なし |
なし |
|
|
あり |
なし |
あり |
あり( |
なし |
なし |
なし |
なし |
なし |
|
|
なし |
なし |
なし |
あり(一部) |
なし |
なし |
なし |
なし |
なし |
|
|
なし |
なし |
なし |
なし |
あり |
なし |
なし |
なし |
なし |
|
レルムを定義するスキーマ内のオブジェクトの管理脚注7 |
なし |
なし |
なし |
なし |
なし |
あり脚注8 |
なし |
なし |
なし |
|
|
なし |
なし |
なし |
なし |
なし |
なし |
あり |
なし |
なし |
脚注1 すべてのOracle Database Vault PL/SQLパッケージに対するEXECUTE権限が含まれます。
脚注2 すべてのOracle Database Vault PL/SQLパッケージに対するEXECUTE権限が含まれます。
脚注3 DV_SECANALYSTは、Oracle Database Vaultで提供されるビューを使用した場合のみ、DVSYSスキーマ・オブジェクトに問い合せることができます。
脚注4 DV_PUBLICは、Oracle Database Vaultで提供されるビューを使用した場合のみ、DVSYSスキーマ・オブジェクトに問い合せることができます。
脚注5 DV_AUDIT_CLEANUPは、AUDIT_TRAIL$表でSELECT文を実行できます。
脚注6 この権限には、DVSYSアカウントの削除や変更、およびDVSYSパスワードの変更のための権限は含まれません。
脚注7 この権限には、CREATE ANY、ALTER ANYおよびDROP ANYなどのANY権限が含まれます。
脚注8 また、このロールを持つユーザーがシステム権限を実行するには、レルム参加者またはレルム所有者であることが必要です。
脚注9 RESOURCEロールは、CREATE CLUSTER、CREATE INDEXTYPE、CREATE OPERATOR、CREATE PROCEDURE、CREATE SEQUENCE、CREATE TABLE、CREATE TRIGGER、CREATE TYPEの各システム権限を提供します。
DV_OWNERロールを使用して、Oracle Database Vaultロールおよびその構成を管理します。このマニュアルで、このロールを使用するサンプル・アカウントはlbrown_dvownerです。
DV_OWNERロールに関連付けられた権限
DV_OWNERロールには、DV_ADMINロールによって提供される管理機能とDV_SECANALYSTロールによって提供されるレポート機能が含まれます。Oracle Database Vaultを監視する権限も備わっています。Oracle Database Vaultのインストール時に作成され、DVSYSスキーマに対するほとんどの権限を有します。DV_ADMINロール以外に、DV_OWNERロールは、GRANT ANY ROLE、ADMINISTER DATABASE TRIGGERおよびALTER ANY TRIGGER権限を持ちます。
|
ヒント: DV_OWNERユーザーに、別個の名前付きアカウントを作成することを検討してください。これにより、ユーザーが使用できなくなった場合(退社した場合など)、このユーザー・アカウントを再作成して、このユーザーにDV_OWNERロールを付与できます。 |
DV_OWNERロールに関連付けられたシステム権限とオブジェクト権限の完全なリストを検索するには、SQL*Plusに管理者権限でログインし、次の問合せを入力します。
SELECT TABLE_NAME, OWNER, PRIVILEGE FROM DBA_TAB_PRIVS WHERE GRANTEE = 'DV_OWNER'; SELECT PRIVILEGE FROM DBA_SYS_PRIVS WHERE GRANTEE = 'DV_OWNER';
Oracle Database Vaultをインストールして登録すると、DV_OWNERアカウントが作成されます。このロールを付与されたユーザーはADMINオプションも付与され、ADMIN OPTIONを使用せずに、任意のOracle Database Vaultロール(DV_ACCTMGRを除く)を任意のアカウントに対して実行できます。また、このロールを付与されたユーザーは、Oracle Database Vaultレポートの実行およびOracle Database Vaultの監視ができます。
DV_OWNERロールがGRANT操作とREVOKE操作に及ぼす影響
DV_OWNERロールを持つすべてのユーザーは、別のユーザーにDV_OWNERおよびDV_ADMINロールを付与できます。このロールを付与されたアカウントは、付与された保護スキーマ・ロールを別のアカウントから取り消すことができます。SYSやSYSTEMなど、GRANT ANY ROLEシステム権限のみを持つ(直接またはロールを使用して間接的に付与された)アカウントには、他のデータベース・アカウントに対してDV_OWNERロールを付与する権限または取り消す権限がありません。また、DV_OWNERロールを持つユーザーは、DV_ACCTMGRロールの付与または取消しを実行できません。
DV_OWNERロールを持つユーザーのパスワード変更の管理
DV_OWNERロールを付与されている他のユーザーのパスワードを変更するには、あらかじめ、そのユーザー・アカウントからDV_OWNERロールを取り消しておく必要があります。ただし、DV_OWNERロールの取消しには注意が必要です。サイトの少なくとも1人のユーザーに、このロールが付与されている必要があります。このロールが付与されている他のDV_OWNERユーザーのパスワードを変更する必要がある場合は、そのユーザーから一時的にDV_OWNERを取り消すことができます。また、DV_OWNERロールを付与されているユーザーは、自分自身からロールを取り消さなくても、自分のパスワードを変更できます。
DV_OWNERユーザー・パスワードを変更するには、次のようにします。
DV_OWNERロールを付与されているアカウントを使用して、SQL*Plusにログインします。
パスワード変更が必要なユーザー・アカウントからDV_OWNERロールを取り消します。
DV_ACCTMGRロールを付与されているユーザーとして接続し、このユーザーのパスワードを変更します。
DV_OWNERユーザーとして接続し、DV_OWNERロールをパスワードを変更したユーザーに再び付与します。
一時的にOracle Database Vaultを無効にして、ALTER USER権限を付与されているユーザーとしてログオンし、DV_OWNERユーザー・パスワードを変更することもできます。その後、Database Vaultを再び有効にします。詳細は、付録B「Oracle Database Vaultの無効化および有効化」を参照してください。
Oracle Database Vaultセキュリティを無効にした場合の処理
すべての保護スキーマ・ロール(DV_OWNERを含む)の付与および取消しは、Oracle Database Vaultが有効になっている場合にのみ実施されます。Oracle Database Vaultが無効になっている場合、GRANT ANY ROLEシステム権限を持つアカウントはすべて、保護スキーマ・ロールに対してGRANT操作およびREVOKE操作を実行できます。
Oracle Database Vaultを無効化および有効化する方法は、付録B「Oracle Database Vaultの無効化および有効化」を参照してください。
DV_ADMINロールはOracle Database VaultのPL/SQLパッケージを制御します。
DV_ADMINロールに関連付けられた権限
DV_ADMINロールは、DVSYSパッケージ(DBMS_MACADM、DBMS_MACSECROLESおよびDBMS_MACUTL)に対するEXECUTE権限を保持します。また、DV_ADMINにはDV_SECANALYSTロールによって提供された機能が含まれるため、これを使用するとOracle Database Vaultレポートの実行やOracle Database Vaultの監視が可能になります。インストール中、DV_ADMINロールがDV_OWNERロールにADMIN OPTION付きで付与されます。
DV_ADMINロールに関連付けられたシステム権限とオブジェクト権限の完全なリストを検索するには、SQL*Plusに管理者権限でログインし、次の問合せを入力します。
SELECT TABLE_NAME, OWNER, PRIVILEGE FROM DBA_TAB_PRIVS WHERE GRANTEE = 'DV_ADMIN'; SELECT PRIVILEGE FROM DBA_SYS_PRIVS WHERE GRANTEE = 'DV_ADMIN';
DV_ADMINロールがGRANT操作とREVOKE操作に及ぼす影響
SYSやSYSTEMなど、GRANT ANY ROLEシステム権限のみを持つアカウントには、他のデータベース・アカウントに対してDV_ADMINを付与する権限または取り消す権限がありません。DV_OWNERまたはDV_ADMINロールを持つユーザーは、任意のデータベース・アカウントに対してこのロールを付与する、または取り消すことができます。
DV_ADMINロールを持つユーザーのパスワード変更の管理
DV_ADMINロールを付与されているユーザーのパスワードを変更するには、あらかじめ、このアカウントからDV_ADMINロールを取り消しておく必要があります。DV_ADMINロールを付与されているユーザーは、自分自身からロールを取り消さなくても、自分のパスワードを変更できます。
DV_ADMINユーザー・パスワードを変更するには、次のようにします。
DV_OWNERロールを付与されているアカウントを使用して、SQL*Plusにログインします。
パスワード変更が必要なユーザー・アカウントからDV_ADMINロールを取り消します。
DV_ACCTMGRロールを付与されているユーザーとして接続し、このユーザーのパスワードを変更します。
DV_OWNERユーザーとして接続し、DV_ADMINロールをパスワードを変更したユーザーに再び付与します。
一時的にOracle Database Vaultを無効にして、ALTER USER権限を付与されているユーザーとしてログオンし、DV_ADMINユーザー・パスワードを変更することもできます。その後、Database Vaultを再び有効にします。詳細は、付録B「Oracle Database Vaultの無効化および有効化」を参照してください。
Oracle Database Vaultセキュリティを無効にした場合の処理
すべての保護スキーマ・ロール(DV_OWNERを含む)の付与および取消しは、Oracle Database Vaultが有効になっている場合にのみ実施されます。Oracle Database Vaultが無効になっている場合、GRANT ANY ROLEシステム権限を持つアカウントはすべて、保護スキーマ・ロールに対してGRANT操作およびREVOKE操作を実行できます。
Oracle Database Vaultを無効化および有効化する方法は、付録B「Oracle Database Vaultの無効化および有効化」を参照してください。
DV_MONITORロールにより、Oracle Enterprise Manager Grid Controlエージェントは、Oracle Database Vaultでレルムまたはコマンド・ルール定義に関する違反未遂および構成の問題を監視できます。これにより、Grid Controlでは、レルム定義およびコマンド・ルール定義を読み取ってデータベース間で伝播できます。
DV_MONITORロールに関連付けられた権限
DV_MONITORロールに関連付けられているシステム権限はありませんが、一部のSYSオブジェクトとDVSYSオブジェクトに対するSELECT権限を持ちます。DV_MONITORオブジェクト権限の完全なリストを確認するには、SQL*Plusに管理者権限でログインし、次の問合せを入力します。
SELECT TABLE_NAME, OWNER, PRIVILEGE FROM DBA_TAB_PRIVS WHERE GRANTEE = 'DV_MONITOR';
DV_MONITORロールがGRANT操作とREVOKE操作に及ぼす影響
デフォルトでは、このロールはDV_OWNERロール、DV_ADMINロール、DV_SECANALYSTロールおよびDBSNMPユーザーに付与されます。DV_OWNER権限を付与されているユーザーのみ、別のユーザーに対してDV_MONITORロールを付与する、または取り消すことができます。このロールをADMINオプション付きで付与することはできません。
Oracle Database Vaultセキュリティを無効にした場合の処理
すべての保護スキーマ・ロール(DV_OWNERを含む)の付与および取消しは、Oracle Database Vaultが有効になっている場合にのみ実施されます。Oracle Database Vaultが無効になっている場合、GRANT ANY ROLEシステム権限を持つアカウントはすべて、保護スキーマ・ロールに対してGRANT操作およびREVOKE操作を実行できます。
Oracle Database Vaultを無効化および有効化する方法は、付録B「Oracle Database Vaultの無効化および有効化」を参照してください。
DV_SECANALYSTを使用して、Oracle Database Vaultレポートの実行およびOracle Database Vaultの監視を行います。このロールは、データベース関連のレポートにも使用されます。また、第16章「Oracle Database Vaultのデータ・ディクショナリ・ビュー」の説明にあるように、このロールを使用すると、DVSYSビューに問い合せることでDVSYS構成をチェックできます。
DV_SECANALYSTロールに関連付けられた権限
DV_SECANALYSTロールに関連付けられているシステム権限はありませんが、DVSYSおよびDVFに関連するエンティティについてレポートするために、DVSYSオブジェクト・スキーマと一部のSYSおよびSYSMANスキーマ・オブジェクトに対するSELECT権限を持ちます。DV_SECANALYSTオブジェクト権限の完全なリストを確認するには、SQL*Plusに管理者権限でログインし、次の問合せを入力します。
SELECT TABLE_NAME, OWNER, PRIVILEGE FROM DBA_TAB_PRIVS WHERE GRANTEE = 'DV_SECANALYST';
DV_SECANALYSTロールがGRANT操作とREVOKE操作に及ぼす影響
SYSやSYSTEMなど、GRANT ANY ROLEシステム権限のみを持つアカウントには、他のデータベース・アカウントに対してこのロールを付与する権限または取り消す権限がありません。DV_OWNERロールを持つユーザーのみ、他のユーザーに対してこのロールを付与する、または取り消すことができます。
DV_SECANALYSTロールを持つユーザーのパスワード変更の管理
DV_SECANALYSTロールを付与されているユーザーのパスワードを変更するには、あらかじめ、このアカウントからDV_SECANALYSTロールを取り消しておく必要があります。DV_SECANALYSTロールを付与されているユーザーは、自分自身からロールを取り消さなくても、自分のパスワードを変更できます。
DV_SECANALYSTユーザー・パスワードを変更するには、次のようにします。
DV_OWNERロールを付与されているアカウントを使用して、SQL*Plusにログインします。
パスワード変更が必要なユーザー・アカウントからDV_SECANALYSTロールを取り消します。
DV_ACCTMGRロールを付与されているユーザーとして接続し、このユーザーのパスワードを変更します。
DV_OWNERユーザーとして接続し、DV_SECANALYSTロールをパスワードを変更したユーザーに再び付与します。
一時的にOracle Database Vaultを無効にして、ALTER USER権限を付与されているユーザーとしてログオンし、DV_SECANALYSTユーザー・パスワードを変更することもできます。その後、Database Vaultを再び有効にします。詳細は、付録B「Oracle Database Vaultの無効化および有効化」を参照してください。
Oracle Database Vaultセキュリティを無効にした場合の処理
すべての保護スキーマ・ロール(DV_OWNERを含む)の付与および取消しは、Oracle Database Vaultが有効になっている場合にのみ実施されます。Oracle Database Vaultが無効になっている場合、GRANT ANY ROLEシステム権限を持つアカウントはすべて、保護スキーマ・ロールに対してGRANT操作およびREVOKE操作を実行できます。
Oracle Database Vaultを無効化および有効化する方法は、付録B「Oracle Database Vaultの無効化および有効化」を参照してください。
非統合監査環境でDatabase Vault監査証跡のパージを担当するユーザーにDV_AUDIT_CLEANUPロールを付与します。
DV_AUDIT_CLEANUPロールに関連付けられた権限
DV_AUDIT_CLEANUPロールには、DVSYS.AUDIT_TRAIL$表に対するSELECT権限およびDELETE権限があります。
DV_AUDIT_CLEANUPロールによってGRANT操作とREVOKE操作はどのような影響を受けますか。
デフォルトでは、このロールは、ADMIN OPTION付きのDV_OWNERロールに付与されます。DV_OWNERロールを付与されているユーザーのみ、別のユーザーに対してDV_AUDIT_CLEANUPロールを付与する、または取り消すことができます。
DV_AUDIT_CLEANUPロールを持つユーザーのパスワード変更の管理
DV_AUDIT_CLEANUPロールを付与されているユーザーのパスワードを変更するには、あらかじめ、このアカウントからDV_AUDIT_CLEANUPロールを取り消しておく必要があります。DV_AUDIT_CLEANUPロールを付与されているユーザーは、自分自身からロールを取り消さなくても、自分のパスワードを変更できます。
DV_AUDIT_CLEANUPユーザー・パスワードを変更するには、次のようにします。
DV_OWNERロールを付与されているアカウントを使用して、データベース・インスタンスにログインします。
パスワード変更が必要なユーザー・アカウントからDV_AUDIT_CLEANUPロールを取り消します。
DV_ACCTMGRロールを付与されているユーザーとして接続し、このユーザーのパスワードを変更します。
DV_OWNERユーザーとして接続し、パスワードを変更したユーザーに再びDV_AUDIT_CLEANUPロールを付与します。
Oracle Database Vaultセキュリティを無効にした場合の処理
すべてのOracle Database Vaultロールの保護は、Oracle Database Vaultが有効な場合のみ実施されます。Oracle Database Vaultが無効になっている場合、GRANT ANY ROLEシステム権限を持つアカウントはすべて、保護対象のDatabase Vaultロールに対してGRANT操作およびREVOKE操作を実行できます。
Oracle Database Vaultを無効化および有効化する方法は、付録B「Oracle Database Vaultの無効化および有効化」を参照してください。
DV_STREAMS_ADMINロールを、Oracle Database Vault環境でOracle Streamsの構成を行う任意のユーザーに付与します。これにより、Oracle Streamsプロセスの管理をDatabase Vaultで厳格に制御できます。ただし、管理者が通常Oracle Streamsを管理する方法は変更または制限されません。
DV_STREAMS_ADMINロールに関連付けられた権限
DV_STREAMS_ADMINロールに関連付けられているシステム権限はありませんが、DVSYSオブジェクトに対するSELECT権限を持ちます。DV_STREAMS_ADMINオブジェクト権限の完全なリストを確認するには、SQL*Plusに管理者権限でログインし、次の問合せを入力します。
SELECT TABLE_NAME, OWNER, PRIVILEGE FROM DBA_TAB_PRIVS WHERE GRANTEE = 'DV_STREAMS_ADMIN';
DV_STREAMS_ADMINロールは、Oracle Streamsを構成するための十分なデータベース権限は提供しません。DV_STREAMS_ADMINロールは、データベース管理者がOracle Database Vault環境でOracle Streamsを構成するための追加要件(Oracle Streamsで現在必要な権限を補うもの)です。
DV_STREAMS_ADMINロールがGRANT操作とREVOKE操作に及ぼす影響
DV_STREAMS_ADMINロールをADMIN OPTION付きで付与することはできません。DV_OWNERロールを付与されているユーザーのみ、別のユーザーに対してDV_STREAMS_ADMINロールを付与する、または取り消すことができます。
Oracle Database Vaultセキュリティを無効にした場合の処理
すべての保護スキーマ・ロール(DV_OWNERを含む)の付与および取消しは、Oracle Database Vaultが有効になっている場合にのみ実施されます。Oracle Database Vaultが無効になっている場合、GRANT ANY ROLEシステム権限を持つアカウントはすべて、保護スキーマ・ロールに対してGRANT操作およびREVOKE操作を実行できます。
DV_XSTREAM_ADMINロールを、Oracle Database Vault環境でXStreamの構成を行う任意のユーザーに付与します。これにより、XStreamプロセスの管理をDatabase Vaultで厳格に制御できます。ただし、管理者が通常XStreamを管理する方法は変更または制限されません。
DV_XSTREAM_ADMINロールに関連付けられた権限
DV_XSTREAM_ADMINロールに関連付けられた権限はありません。
DV_XSTREAM_ADMINロールは、XStreamを構成するための十分なデータベース権限は提供しません。DV_XSTREAM_ADMINロールは、データベース管理者がOracle Database Vault環境でXStreamを構成するための追加要件(XStreamで現在必要な権限を補うもの)です。
DV_XSTREAM_ADMINロールがGRANT操作とREVOKE操作に及ぼす影響
DV_XSTREAM_ADMINロールをADMIN OPTION付きで付与することはできません。DV_OWNERロールを付与されているユーザーのみ、別のユーザーに対してDV_XSTREAM_ADMINロールを付与する、または取り消すことができます。
Oracle Database Vaultセキュリティを無効にした場合の処理
すべての保護スキーマ・ロール(DV_OWNERを含む)の付与および取消しは、Oracle Database Vaultが有効になっている場合にのみ実施されます。Oracle Database Vaultが無効になっている場合、GRANT ANY ROLEシステム権限を持つアカウントはすべて、保護スキーマ・ロールに対してGRANT操作およびREVOKE操作を実行できます。
DV_GOLDENGATE_ADMINロールを、Oracle Database Vault環境でOracle GoldenGateの構成を行う任意のユーザーに付与します。これにより、Oracle GoldenGateプロセスの管理をDatabase Vaultで厳格に制御できます。ただし、管理者が通常Oracle GoldenGateを管理する方法は変更または制限されません。
DV_GOLDENGATE_ADMINロールに関連付けられた権限
DV_GOLDENGATE_ADMINロールに関連付けられた権限はありません。
DV_GOLDENGATE_ADMINロールは、Oracle GoldenGateを構成するための十分なデータベース権限は提供しません。DV_GOLDENGATE_ADMINロールは、データベース管理者がOracle Database Vault環境でXStreamを構成するための追加要件(Oracle GoldenGateで現在必要な権限を補うもの)です。
DV_GOLDENGATE_ADMINロールがGRANT操作とREVOKE操作に及ぼす影響
DV_GOLDENGATE_ADMINロールをADMIN OPTION付きで付与することはできません。DV_OWNERロールを付与されているユーザーのみ、別のユーザーに対してDV_GOLDENGATE_ADMINロールを付与する、または取り消すことができます。
Oracle Database Vaultセキュリティを無効にした場合の処理
すべての保護スキーマ・ロール(DV_OWNERを含む)の付与および取消しは、Oracle Database Vaultが有効になっている場合にのみ実施されます。Oracle Database Vaultが無効になっている場合、GRANT ANY ROLEシステム権限を持つアカウントはすべて、保護スキーマ・ロールに対してGRANT操作およびREVOKE操作を実行できます。
DV_GOLDENGATE_REDO_ACCESSロールを、Oracle Database Vault環境でOracle GoldenGateのTRANLOGOPTIONS DBLOGREADERメソッドを使用してREDOログへのアクセスを行う任意のユーザーに付与します。これにより、Oracle GoldenGateプロセスの管理をDatabase Vaultで厳格に制御できます。ただし、管理者が通常Oracle GoldenGateを管理する方法は変更または制限されません。
DV_GOLDENGATE_REDO_ACCESSロールに関連付けられた権限
DV_GOLDENGATE_REDO_ACCESSロールに関連付けられた権限はありません。
DV_GOLDENGATE_REDO_ACCESSロールは、Oracle GoldenGateを構成するための十分なデータベース権限は提供しません。DV_GOLDENGATE_REDO_ACCESSロールは、データベース管理者がOracle Database Vault環境でOracle Streamsを構成するための追加要件(Oracle GoldenGateで現在必要な権限を補うもの)です。
DV_GOLDENGATE_REDO_ACCESSロールがGRANT操作とREVOKE操作に及ぼす影響
DV_GOLDENGATE_REDO_ACCESSロールをADMIN OPTION付きで付与することはできません。DV_OWNERロールを付与されているユーザーのみ、別のユーザーに対してDV_GOLDENGATE_REDO_ACCESSロールを付与する、または取り消すことができます。
Oracle Database Vaultセキュリティを無効にした場合の処理
すべての保護スキーマ・ロール(DV_OWNERを含む)の付与および取消しは、Oracle Database Vaultが有効になっている場合にのみ実施されます。Oracle Database Vaultが無効になっている場合、GRANT ANY ROLEシステム権限を持つアカウントはすべて、保護スキーマ・ロールに対してGRANT操作およびREVOKE操作を実行できます。
DV_PATCH_ADMINロールを、Database Vaultにパッチ操作または言語の追加を行う任意のデータベース管理者に一時的に付与します。パッチ操作または言語の追加の終了後、ただちにこのロールを取り消す必要があります。
DV_PATCH_ADMINロールに関連付けられた権限
このロールでは、保護されたデータにアクセスできません。DV_PATCH_ADMINロールは、オブジェクト権限やシステム権限を持たない特殊なDatabase Vaultロールです。データベース管理者およびユーザーSYSがデータベースへのパッチ適用(Database Vaultへのパッチ適用など)を、レルムで保護されたデータにアクセスしなくても実行できるように設計されています。また、一部のパッチでは新しいスキーマを作成する必要があるため、データベース管理者はユーザーの作成も行うことができます。
DV_OWNERロールがGRANT操作とREVOKE操作に及ぼす影響
DV_OWNERロールを持つユーザーのみ、他のユーザーに対してDV_PATCH_ADMINロールを付与する、または取り消すことができます。DV_PATCH_ADMINロールをADMINオプション付きで付与することはできません。
Oracle Database Vaultセキュリティを無効にした場合の処理
すべての保護スキーマ・ロール(DV_OWNERを含む)の付与および取消しは、Oracle Database Vaultが有効になっている場合にのみ実施されます。Oracle Database Vaultが無効になっている場合、GRANT ANY ROLEシステム権限を持つアカウントはすべて、保護スキーマ・ロールに対してGRANT操作およびREVOKE操作を実行できます。
Oracle Database Vaultを無効化および有効化する方法は、付録B「Oracle Database Vaultの無効化および有効化」を参照してください。
DV_ACCTMGRロールを使用して、データベース・アカウントとデータベース・プロファイルの作成および管理を行います。このマニュアルでは、例のDV_ACCTMGRロールがamalcolm_dvacctmgrというユーザーに割り当てられます。
DV_ACCTMGRロールに関連付けられた権限
このロールを付与されたユーザーは、ユーザーまたはプロファイルに対してCREATE文、ALTER文、DROP文を使用できます。ただし、DV_ACCTMGRロールを付与されているユーザーは、次の操作は実行できません。
DVSYSアカウントに対するALTER文またはDROP文
DV_ADMIN、DV_OWNER、DV_SECANALYST、DV_AUDIT_CLEANUPおよびDV_MONITORロールを付与されているユーザーに対するALTER文またはDROP文
DV_ADMIN、DV_OWNER、DV_SECANALYST、DV_AUDIT_CLEANUPおよびDV_MONITORロールを付与されているユーザーのパスワード変更
DV_ACCTMGRロールに関連付けられたシステム権限とオブジェクト権限の完全なリストを検索するには、SQL*Plusに管理者権限でログインし、次の問合せを入力します。
SELECT TABLE_NAME, OWNER, PRIVILEGE FROM DBA_TAB_PRIVS WHERE GRANTEE = 'DV_ACCTMGR'; SELECT PRIVILEGE FROM DBA_SYS_PRIVS WHERE GRANTEE = 'DV_ACCTMGR';
|
ヒント:
|
DV_ACCTMGRロールがGRANT操作とREVOKE操作に及ぼす影響
SYSやSYSTEMなど、GRANT ANY ROLEシステム権限のみを持つアカウントには、他のデータベース・アカウントに対してこのロールを付与する権限または取り消す権限がありません。DV_ACCTMGRロールおよびADMIN OPTIONを持つアカウントは、指定されたデータベース・アカウントにADMIN OPTIONなしでこのロールを付与することも、他のアカウントからこのロールを取り消すこともできます。
Oracle Database Vaultセキュリティを無効にした場合の処理
すべての保護スキーマ・ロール(DV_OWNERを含む)の付与および取消しは、Oracle Database Vaultが有効になっている場合にのみ実施されます。Oracle Database Vaultが無効になっている場合、GRANT ANY ROLEシステム権限を持つアカウントはすべて、保護スキーマ・ロールに対してGRANT操作およびREVOKE操作を実行できます。
Oracle Database Vaultを無効化および有効化する方法は、付録B「Oracle Database Vaultの無効化および有効化」を参照してください。
DV_REALM_OWNERロールを使用して、レルムを定義する複数のスキーマ内のデータベース・オブジェクトを管理します。このロールを、レルムとそれに関連付けられたロール内の1つ以上のスキーマ・データベース・アカウントを管理するデータベース・アカウント所有者に付与します。
DV_REALM_OWNERロールに関連付けられた権限
このロールを付与されているユーザーは、CREATE ANY、ALTER ANY、DROP ANYなどの強力なシステム権限をレルム内で使用できます。ただし、これらの権限を使用するには、このユーザーをレルムの参加者または所有者にする必要があります。手順は、「レルム認可の定義」を参照してください。
DV_REALM_OWNERロールにはオブジェクト権限は付与されていませんが、いくつかのシステム権限が付与されています。DV_REALM_OWNERシステム権限の完全なリストを検索するには、SQL*Plusに管理者権限でログインし、次の問合せを入力します。
SELECT PRIVILEGE FROM DBA_SYS_PRIVS WHERE GRANTEE = 'DV_REALM_OWNER';
DV_REALM_OWNERロールがGRANT操作とREVOKE操作に及ぼす影響
Oracle Data Dictionaryレルムのレルム所有者(SYSなど)は、このロールを任意のデータベース・アカウントまたはロールに付与できます。このロールはSYSが制御するシステム権限を付与できますが、DV_OWNERまたはDV_ADMINロールを保持しません。
このロールを特定のレルムに関連付ける場合は、アカウントまたは業務関連のロールに割り当てた後、そのアカウントまたはロールをレルムで認可します。
Oracle Database Vaultセキュリティを無効にした場合の処理
すべての保護スキーマ・ロール(DV_OWNERを含む)の付与および取消しは、Oracle Database Vaultが有効になっている場合にのみ実施されます。Oracle Database Vaultが無効になっている場合、GRANT ANY ROLEシステム権限を持つアカウントはすべて、保護スキーマ・ロールに対してGRANT操作およびREVOKE操作を実行できます。
Oracle Database Vaultを無効化および有効化する方法は、付録B「Oracle Database Vaultの無効化および有効化」を参照してください。
DV_REALM_RESOURCEロールは、レルムで一般に使用される表、ビュー、トリガー、シノニムおよびその他のオブジェクトの作成などの操作に使用します。
DV_REALM_RESOURCEロールに関連付けられた権限
DV_REALM_RESOURCEロールには、OracleのRESOURCEロールと同じシステム権限があります。さらに、CREATE SYNONYMとCREATE VIEWの両方がこのロールに付与されます。
DV_REALM_RESOURCEロールにはオブジェクト権限は付与されていませんが、いくつかのシステム権限が付与されています。DV_REALM_RESOURCEシステム権限の完全なリストを検索するには、SQL*Plusに管理者権限でログインし、次の問合せを入力します。
SELECT PRIVILEGE FROM DBA_SYS_PRIVS WHERE GRANTEE = 'DV_REALM_RESOURCE';
このロールはSYSが制御するシステム権限を付与できますが、DV_OWNERまたはDV_ADMINロールを保持しません。
DV_REALM_RESOURCEロールがGRANT操作とREVOKE操作に及ぼす影響
DV_REALM_RESOURCEロールは、任意のデータベース・アプリケーションのサポートに使用されるデータベース表、オブジェクト、トリガー、ビュー、プロシージャなどを所有するデータベース・アカウントに付与できます。これは、スキーマ・タイプのデータベース・アカウントを対象としたロールです。Oracle Data Dictionaryレルムのレルム所有者(SYSなど)は、このロールを任意のデータベース・アカウントまたはロールに付与できます。
Oracle Database Vaultセキュリティを無効にした場合の処理
すべての保護スキーマ・ロール(DV_OWNERを含む)の付与および取消しは、Oracle Database Vaultが有効になっている場合にのみ実施されます。Oracle Database Vaultが無効になっている場合、GRANT ANY ROLEシステム権限を持つアカウントはすべて、保護スキーマ・ロールに対してGRANT操作およびREVOKE操作を実行できます。
Oracle Database Vaultを無効化および有効化する方法は、付録B「Oracle Database Vaultの無効化および有効化」を参照してください。
DV_PUBLICロールを使用して、DVSYSスキーマ内の特定のオブジェクトに対する権限を付与します。(デフォルト・インストールでは、DVSYSスキーマはロックされています。)
DV_PUBLICロールに関連付けられた権限
次のOracle Database Vaultオブジェクトは、DV_PUBLICを介してアクセスできます。
PL/SQLプロシージャおよびファンクション(「Oracle Database VaultランタイムのPL/SQLプロシージャおよびファンクション」を参照)。Oracleデータベースにおけるアクセス制御およびOracle Label Securityの処理を可能にします。
PL/SQLファクタ・ファンクション(「Oracle Database VaultのPL/SQLファクタ・ファンクション」を参照)。DVFスキーマの場合、これらは定義されている各ファクタのファンクションです。これらのファンクションをルール・セット内で使用すると、ルール・セットで保護するSQL文を検査できます。
DBMS_MACSEC_ROLESパッケージ(第13章「DBMS_MACSEC_ROLESパッケージの使用方法」を参照)。このパッケージを使用すると、ユーザーに対する認可を確認したり、Oracle Database Vaultセキュア・アプリケーション・ロールを設定できます。
DBMS_MACUTLパッケージ(第14章「DBMS_MACUTLパッケージの使用方法」を参照)。このパッケージは、Oracle Database Vault用に作成するアプリケーション・コードのあらゆる箇所で使用できる一連の汎用ユーティリティ・ファンクションです。
DV_PUBLICロールにはシステム権限は付与されていませんが、いくつかのオブジェクト権限が付与されています。DV_PUBLICオブジェクト権限の完全なリストを検索するには、SQL*Plusに管理者権限でログインし、次の問合せを入力します。
SELECT TABLE_NAME, OWNER, PRIVILEGE FROM DBA_TAB_PRIVS WHERE GRANTEE = 'DV_PUBLIC';
DV_PUBLICロールがGRANT操作とREVOKE操作に及ぼす影響
Oracle Database Vaultでは、DVSYSスキーマのオブジェクト権限をPUBLICに直接付与できません。DVSYSスキーマ・オブジェクトに対するオブジェクト権限をDV_PUBLICロールに付与した後、DV_PUBLICをPUBLICに付与する必要があります。ただし、その場合には、PUBLICロールにその他のオブジェクト権限を追加しないことが重要です。追加した場合、Oracle Database Vaultのセキュリティが低下する可能性があります。
Oracle Database Vaultセキュリティを無効にした場合の処理
すべての保護スキーマ・ロール(DV_OWNERを含む)の付与および取消しは、Oracle Database Vaultが有効になっている場合にのみ実施されます。Oracle Database Vaultが無効になっている場合、GRANT ANY ROLEシステム権限を持つアカウントはすべて、保護スキーマ・ロールに対してGRANT操作およびREVOKE操作を実行できます。
Oracle Database Vaultを無効化および有効化する方法は、付録B「Oracle Database Vaultの無効化および有効化」を参照してください。
Oracle Database Vaultでは、インストール時に、Oracle Database Vault所有者およびOracle Database Vaultアカウント・マネージャの2つのアカウントが要求されます。Oracle Database Vault所有者アカウントのアカウント名およびパスワードは、インストール時に指定する必要があります。Oracle Database Vaultアカウント・マネージャの作成は任意です。
Oracle Database Vault所有者アカウントには、DV_OWNERロールが付与されます。このアカウントは、Oracle Database Vaultのロールおよび構成を管理できます。(このロールの詳細は、「DV_OWNER Database Vault所有者ロール」を参照してください。)
Oracle Database Vaultアカウント・マネージャ・アカウントには、DV_ACCTMGRロールが付与されます。このアカウントは、データベース・ユーザー・アカウントを管理して職務分離をしやすくするために使用されます。(このロールの詳細は、「DV_ACCTMGR Database Vaultアカウント・マネージャ・ロール」を参照してください。)
インストール時にOracle Database Vaultアカウント・マネージャ・アカウントを作成しない場合、DV_OWNERとDV_ACCTMGRの両方のロールがOracle Database Vault所有者ユーザー・アカウントに付与されます。
表11-2に、インストール時に作成するアカウントの他に必要なOracle Database Vaultデータベース・アカウントを示します。
表11-2 Oracle Database Vaultで使用されるデータベース・アカウント
| データベース・アカウント | ロールおよび権限 | 説明 |
|---|---|---|
|
いくつかのシステム権限およびオブジェクト権限がOracle Database Vaultをサポートするために用意されています。このアカウントでセッションを作成する権限は、インストールの最後に取り消され、アカウントはロックされます。 |
Oracle Database Vaultのスキーマおよび関連オブジェクトの所有者 |
|
|
限定されたシステム権限がOracle Database Vaultをサポートするために用意されています。このアカウントでセッションを作成する権限は、インストールの最後に取り消され、アカウントはロックされます。 |
ファクタ・アイデンティティを取得するために作成されるOracle Database Vaultのファンクションの所有者 |
|
|
このアカウントは、Oracle Universal Installerのカスタム・インストール・オプションを使用してOracle Label Securityをインストールすると作成されます。(Oracle Database Vaultのインストール時には作成されません。)このアカウントは削除または再作成しないでください。 ファクタとOracle Label Securityポリシーを統合する場合、このファクタを使用するレルムの所有者としてこのユーザーを割り当てる必要があります。詳細は、「Oracle Label SecurityポリシーでのOracle Database Vaultファクタの使用方法」を参照してください。 |
Oracle Label Securityのスキーマの所有者 |
Oracle Database Vaultの職務分離要件を満たすために別のデータベース・アカウントを作成できます。表11-3に、指針となるモデル・データベース・アカウントの一部を示します。(表11-3に示すアカウントは、Oracle Database Vaultロールの実装の指針となります。これらは、インストール時に作成される実際のアカウントではありません。)
表11-3 Oracle Database Vaultのモデル・データベース・アカウント
| データベース・アカウント | ロールおよび権限 | 説明 |
|---|---|---|
|
|
|
|
|
|
|
データベース・アカウントおよびプロファイルを管理するためのアカウント。このアカウントの機能は次のとおりです。
注意: このアカウントでは、ロールの作成、および |
|
|
|
アクセス制御管理者として機能するアカウント。このアカウントの機能は次のとおりです。
注意: このアカウントでは、 |
|
|
|
Oracle Database Vaultの管理アプリケーションでのOracle Database Vaultレポートを実行するためのアカウント。 |
