この項では、このリリースのOracle DatabaseのOracle Database Vaultの新機能について説明します。
この項の内容は次のとおりです。
Oracle Database 11gリリース2(11.2.0.4)のOracle Database Vaultの新機能
Oracle Database 11gリリース2(11.2.0.3)のOracle Database Vaultの新機能
Oracle Database 11gリリース2 (11.2.0.2)で変更されたOracle Database Vaultの機能
Oracle Database 11gリリース2(11.2.0.2)のOracle Database Vaultの新機能
Oracle Database 11gリリース2(11.2.0.1)のOracle Database Vaultの新機能
この項の内容は次のとおりです。
Oracle Database 11g リリース2 (11.2.0.3)では、Oracle Database Vaultイベントの診断にトレース・ファイルを使用する拡張機能がありますが、ドキュメントには記載されていません。このトレース・ファイルは、次のアクティビティの実行に役立ちます。
Database Vaultイベントの成功および失敗の追跡
発生する可能性のあるバグなどの問題の診断
詳細は「トレース・ファイルを使用したデータベースのイベントの診断」を参照してください。
義務がより適切に分離されるように、このリリースでは、DV_AUDIT_CLEANUP
ロールが導入されています。このロールは、Database Vault監査証跡のクリーニングを担当するユーザーに付与できます。このロールは、統合監査環境には適用されません。
詳細は、「DV_AUDIT_CLEANUP監査証跡クリーンアップ・ロール」を参照してください。
この項の内容は次のとおりです。
Oracle Database Vault環境でXStreamを使用するユーザーには、DV_XSTREAM_ADMIN
ロールを付与する必要があります。
詳細は、「DV_XSTREAM_ADMIN XStream管理ロール」を参照してください。
Oracle Database Vault環境でOracle GoldenGateを使用するユーザーには、Oracle GoldenGateの使用方法に応じて次のいずれかのロールを付与する必要があります。
DV_GOLDENGATE_ADMIN
ロール(Oracle GoldenGateを構成する場合)
DV_GOLDENGATE_REDO_ACCESS
ロール(GoldenGateのTRANLOGOPTIONS DBLOGREADER
メソッドを使用してREDOログにアクセスする場合)
詳細は、次の各項を参照してください。
Database Vault Configuration Assistant (DVCA)は、このリリースから非推奨になりました。DVCAのDatabase Vaultに言語を追加するための機能は、DBMS_MACADM.ADD_NLS_DATA
プロシージャに置き換わっています。
詳細は、「Oracle Database Vaultへの言語の追加」を参照してください。
この項の内容は次のとおりです。
このリリース以降、Oracle Data PumpのEXP
ユーティリティとIMP
ユーティリティはOracle Database Vault環境で使用できません。
Oracle Database VaultでのOracle Data Pumpの使用の詳細は、「Oracle Database Vault環境でのOracle Data Pumpの使用」を参照してください。
この項の内容は次のとおりです。
次のDBMS_MACADM
PL/SQLパッケージ・プロシージャの一部の値のデフォルト設定は、以前の設定に基づいています。
DBMS_MACADM.UPDATE_REALM
DBMS_MACADM.UPDATE_REALM_AUTH
DBMS_MACADM.UPDATE_RULE_SET
DBMS_MACADM.UPDATE_COMMAND_RULE
DBMS_MACADM.UPDATE_FACTOR
DBMS_MACADM.UPDATE_ROLE
たとえば、レルムを作成または更新してレルム・チェックを有効にするとします。DBMS_MACADM.UPDATE_REALM
プロシージャを使用してレルムを変更すると、レルム・チェックできるようにenabled
パラメータのデフォルトが設定されます。
詳細は、第12章「DBMS_MACADMパッケージの使用方法」を参照してください。
この項の内容は次のとおりです。
Oracle Database Enterprise Manager Database Controlリリース11.2とGrid Controlリリース10.2.0.5の両方から、Oracle Database Vaultの一連の機能を実行できるようになりました。この統合は、Oracle Database Vaultのリリース9.2.0.8、10.2.0.4および11.1.0.7にも適用されます。
Database Controlから、次のタスクを実行できるようになりました。
Oracle Database Vault対応データベースの監視
Oracle Database Vaultレポートへのアクセス
Grid Controlから、次のタスクを実行できるようになりました。
Oracle Database Vaultセキュリティ・ポリシーを複数のデータベース・サーバーに伝播し、エンタープライズ全体で一貫したポリシーを維持
Oracle Database Vaultで保護されているすべてのサーバーを、単一の集中管理コンソールから管理および監視
Oracle Database Vaultで保護されているすべてのデータベースへの不正アクション試行時の自動アラート
Oracle Database Vaultレポートへのアクセス
詳細は、次の各項を参照してください。
Oracle Data Pumpユーザーは、Oracle Database Vault環境でデータをエクスポートおよびインポートできるようになりました。
詳細は、「Oracle Database Vault環境でのOracle Data Pumpの使用」を参照してください。
データベース・ジョブのスケジュールを行うユーザーは、Oracle Database Vault環境でこの作業を行うことができるようになりました。
詳細は、「Oracle Database Vault環境でのデータベース・ジョブのスケジュール」を参照してください。
Oracle Database Vaultには、次の新規ロールがあります。
DV_MONITOR
DV_STREAMS_ADMIN
DV_PATCH_ADMIN
詳細は、次の各項を参照してください。
Oracle Database Vaultには、次の追加ルール・セットが用意されています。
システム・パラメータのファイングレイン・コントロールを許可
Oracle Data Pump操作を許可
スケジューラ・ジョブの許可
詳細は、「デフォルトのルール・セット」を参照してください。
ルール・セットの作成で失敗コードを指定する際、負の数値に制限されていましたが、その制限がなくなりました。-20000から-20999および20000から20999の範囲の数値を入力できます。
詳細は、「エラー処理オプション」を参照してください。
DBMS_MACADM
およびDBMS_MACSEC_ROLES
PL/SQLパッケージは、次のように変更されました。
DBMS_MACADM.CREATE_RULE_SETおよびUPDATE_RULE_SETプロシージャに、新規パラメータis_staticが追加されました。is_static
パラメータは、SQL文によってアクセスされる際に、ルール・セットが評価される頻度を決定します。詳細は、「CREATE_RULE_SETプロシージャ」および「UPDATE_RULE_SETプロシージャ」を参照してください。
DBMS_MACADMパッケージには次の新規プロシージャが追加されました。
AUTHORIZE_DATAPUMP_USER
は、Oracle Database Vaultが有効な場合に、Oracle Data Pump操作を実行する権限をOracle Data Pumpユーザーに付与します。詳細は、「AUTHORIZE_DATAPUMP_USERプロシージャ」を参照してください。
UNAUTHORIZE_DATAPUMP_USER
は、AUTHORIZE_DATAPUMP_USER
プロシージャによって付与された権限を取り消します。詳細は、「UNAUTHORIZE_DATAPUMP_USERプロシージャ」を参照してください。
AUTHORIZE_SCHEDULER_USER
は、Oracle Database Vaultが有効な場合に、データベース・ジョブをスケジュールする権限をユーザーに付与します。詳細は、「AUTHORIZE_SCHEDULER_USERプロシージャ」を参照してください。
UNAUTHORIZE_SCHEDULER_USER
は、AUTHORIZE_SCHEDULER_USER
プロシージャによって付与された権限を取り消します。詳細は、「UNAUTHORIZE_SCHEDULER_USERプロシージャ」を参照してください。
DBMS_MACSEC_ROLES.SET_ROLEプロシージャは拡張されました。p_role
パラメータで複数のロールを指定できるようになりました。詳細は、「SET_ROLEプロシージャ」を参照してください。
Oracle Database Vault Configuration Assistant(DVCA)は次のように変更されました。
dbuniquenameパラメータの追加。dbuniquename
パラメータを使用すると、Oracle Databaseにグローバルに一意な名前を指定できます。詳細は、「Oracle Database Vaultへの言語の追加」を参照してください。
optionracパラメータの削除。optionrac
パラメータはOracle Real Application Clusters(Oracle RAC)ノードでのOracle Database Vaultの構成に使用されていました。新しい手順では、Oracle RACノードでOracle Database Vaultをより簡単に構成できます。詳細は、「Oracle RACノードでのOracle Database Vaultの構成」を参照してください。
Oracle Recovery Manager(RMAN)をOracle Database Vault環境で使用できるようになりました。
「Oracle Database VaultのOracle Recovery Managerとの使用」を参照してください。
Oracle Database Vaultの前のリリースでは、SYS
ユーザーはDBMS_RLS
PL/SQLパッケージのEXECUTE
権限を他のユーザーに付与する、または取り消すことができませんでした。このリリースから、SYS
ユーザーはDBMS_RLS
のEXECUTE
権限を他のユーザーに付与する、または取り消すことができます。
DVSYS
を保護スキーマとして保持し続けるために、リサイクルビンが無効な場合でも、このスキーマのオブジェクトを削除できなくなりました。他のレルムのセキュリティを強化するために、リサイクルビンを無効にする必要があります。
「リサイクルビンのセキュリティの考慮事項」を参照してください。