7 権限の管理

この章の内容は次のとおりです。

権限の管理
権限スナップショットおよびラベルの使用
スナップショットとラベルを使用した権限データのフィルタ処理および比較
デフォルト権限レポートの使用

権限の管理

Oracle AVDFでは、一連のデフォルト権限レポートが提供され、Oracle Databaseセキュア・ターゲットから権限データを取得することができます。また、特定の時点の権限データのスナップショットを作成できます。ラベルを指定してグループ分けしておくと、レポート内で比較することができます。

レポートをフィルタ処理して、以前のスナップショット(ラベル)のデータを表示したり、2つのスナップショット(2つのラベル)の権限データを比較したりすることができます。たとえば、2つのスナップショットまたはラベルの間でユーザー権限がどのよに変更されたかを確認できます。

権限データを管理する通常の手順は次のとおりです。

セキュア・ターゲットから権限データを取得し、その時点のデータのスナップショットを作成します。

「Oracle Databaseセキュア・ターゲットのユーザー権限データの取得」を参照してください。
必要に応じて、スナップショットをわかりやすくグループ分けするためのラベルを作成し、ラベルをスナップショットに割り当てます。

「スナップショットのラベルの作成または削除」および「スナップショットへのラベルの割当て」を参照してください。
権限レポートを表示します。スナップショットとラベルを使用して、データをフィルタ処理および比較します。

「スナップショットとラベルを使用した権限データのフィルタ処理および比較」を参照してください。権限レポートのリストは、「デフォルト権限レポートの使用」を参照してください。

権限スナップショットおよびラベルの使用

この項の内容は、次のとおりです。

権限スナップショットおよびラベルについて
スナップショットのラベルの作成または削除
スナップショットへのラベルの割当て

権限スナップショットおよびラベルについて

Oracle Databaseセキュア・ターゲットから権限データを取得すると、そのデータのスナップショットが作成され、「セキュア・ターゲット」タブの「ユーザー権限スナップショット」ページのリストに追加されます。「Oracle Databaseセキュア・ターゲットのユーザー権限データの取得」を参照してください。

権限スナップショットは、特定の時点のユーザー権限情報の状態を取得します。スナップショットには、ユーザーのメタデータと、ユーザーがそのOracle Databaseに対して持っているロール(システムおよび他のSQL権限、オブジェクト権限、ロール権限およびユーザー・プロファイル)のメタデータが含まれます。表示および管理できるのは、アクセス権を持っているセキュア・ターゲットのスナップショットだけです。

各スナップショットはセキュア・ターゲットに対して一意です。スナップショットの名前は、権限データが取得されたときに割り当てられたタイム・スタンプです(例: 9/22/2009 07:56:17 AM)。この時刻にすべてのセキュア・ターゲットの権限データを取得した場合、各セキュア・ターゲットに対してそれぞれの9/22/2012 07:56:17 AMスナップショットが生成されます。

ラベルを使用して、スナップショットをわかりやすく分類することができ、スナップショットのグループをまとめて表示したり比較したりできます。たとえば、セキュア・ターゲットpayroll、salesおよびhrそれぞれに9/22/2012 07:56:17 AMというスナップショットがあるとします。ラベルを作成して、これら3つのスナップショットをそのラベルに割り当てることができます。こうすると、3つのセキュア・ターゲットのその時点の権限データを同じレポートで一緒に比較できます。

スナップショットのラベルの作成または削除

ラベルを作成または削除するには、次のようにします。

Audit Vault Serverコンソールに監査者としてログインし、「セキュア・ターゲット」タブをクリックします。
左側の「権限スナップショット」メニューで「ラベルの管理」をクリックします。
ラベルを作成するには、「作成」をクリックし、名前と説明(オプション)を入力して、「保存」をクリックします。
ラベルを削除するには、ラベルを選択して、「削除」をクリックします。

スナップショットへのラベルの割当て

セキュリティ・ターゲットについて権限スナップショットを管理し、ラベルを割り当てるには、次のようにします。

Audit Vault Serverコンソールに監査者としてログインし、「セキュア・ターゲット」タブをクリックします。
左側の「権限スナップショット」メニューで「ラベルの管理」をクリックします。

ユーザー権限データのスナップショット・リストが表示されます。データが収集されたタイムスタンプとスナップショットに割り当てられたラベル(ある場合)も含まれます。

リスト表示は「アクション」メニューで調整できます。「UIでのオブジェクト・リストの使用」を参照してください。
スナップショットにラベルを割り当てるには、次のようにします。
1. スナップショットを選択し、「ラベルの割当て」をクリックします。
2. ドロップダウン・リストから「ラベル」を選択します。
3. 必要に応じて説明も入力します。
4. 「保存」をクリックします。
スナップショットを削除するには、スナップショットを選択して、「削除」をクリックします。

スナップショットとラベルを使用した権限データのフィルタ処理および比較

この項の内容は、次のとおりです。

権限スナップショットおよびラベル権限データの表示について
スナップショットまたはラベル別の権限レポートの表示
スナップショットまたはラベルを使用した権限データの比較

権限スナップショットおよびラベル権限データの表示について

スナップショットが作成されてから、必要に応じてラベルを作成して割り当てると、権限レポートを確認するための準備が整います。

権限レポートのタイプによって、スナップショットごとの権限データまたはラベルごとの権限データを表示できます。セキュア・ターゲットごとにデータを表示するレポート(たとえば、「セキュア・ターゲット別のユーザー・アカウント」)では、特定のセキュア・ターゲットのスナップショットを表示して比較できます。他の権限レポート(ユーザー・アカウント)では、すべてのセキュア・ターゲットの権限データをラベルごとに表示して比較できます。

スナップショットまたはラベル別の権限レポートの表示

個々のスナップショットまたはラベルの権限レポートを確認するには、次のようにします。

Audit Vault Serverコンソールに監査者としてログインします。
「レポート」タブをクリックし、「監査レポート」ページで「権限レポート」を展開します。
目的の権限レポートのレポート・データの参照アイコンをクリックします。
権限レポートで次の操作を実行します。
- レポートがセキュア・ターゲット別の場合は、セキュア・ターゲットを選択します。
- 「スナップショット」または「ラベル」リストでスナップショットまたはラベルを選択します。
「実行」をクリックします。

権限レポート・データが表示されます。生成されたレポートには、「スナップショット」または「ラベル」という列が含まれます。これは、このレポートでスナップショットとラベルのどちらが使用されたかを示します。ここで、「スナップショット」または「ラベル」列を展開して、その内容をフィルタ処理することができます。

スナップショットまたはラベルを使用した権限データの比較

2つのスナップショットまたはラベルの権限データを比較するには、次のようにします。

Audit Vault Serverコンソールに監査者としてログインします。
「レポート」タブをクリックし、「監査レポート」ページで「権限レポート」を展開します。
目的の権限レポートのレポート・データの参照アイコンをクリックします。
レポートで次の操作を実行します。
- レポートがセキュア・ターゲット別の場合は、セキュア・ターゲットを選択します。
- 「スナップショット」または「ラベル」リストで、1つ目のスナップショットまたはラベルを選択します。
- 「比較」チェック・ボックスをクリックします。
- 比較のために2つ目のドロップダウン・リストからもう1つのスナップショットまたはラベルを選択します。
「実行」をクリックします。

権限レポート・データが表示され、レポートの名前に「変更」が付加されます。「カテゴリの変更」列に、2つのスナップショットまたはラベル間でデータがどのように変更されたかが示されます。ここで、データをフィルタ処理して、「変更済」、「新規」、「削除済」または「変更なし」のデータのみを表示できます。

デフォルト権限レポートの使用

この項の内容は、次のとおりです。

デフォルト権限レポートについて
「ユーザー・アカウント」レポート
「ユーザー権限」レポート
「ユーザー・プロファイル」レポート
「データベース・ロール」レポート
「システム権限」レポート
「オブジェクト権限」レポート
「特権ユーザー」レポート

デフォルト権限レポートについて

権限レポートは、ユーザーがOracle Databaseセキュア・ターゲットに対して持っているアクセス権のタイプを示します。セキュア・ターゲットで使用される、ユーザー、ロール、プロファイルおよび権限の情報を提供します。

たとえば、権限レポートは、重要なデータのアクセス権限や特定のユーザーに割り当てられた権限などの情報を取得します。これらのレポートは、データへの不必要なアクセスの追跡、重複した権限の検出、および権限付与の簡易化に役立ちます。

デフォルト権限レポートを生成してから、ユーザー、ロール、プロファイルおよび権限情報を示すメタデータのスナップショットを表示できます。これによって、異なるスナップショット・ラベルを比較して、権限が時間とともにどのように変化したかを確認するといったタスクを実行できます。「スナップショットとラベルを使用した権限データのフィルタ処理および比較」を参照してください。

「ユーザー・アカウント」レポート

「ユーザー・アカウント」レポートと「セキュア・ターゲット別のユーザー・アカウント」レポートは、ユーザー・アカウントの次の情報を表示します。ユーザー・アカウントが作成されたセキュア・ターゲット、ユーザー・アカウント名、アカウント・ステータス(LOCKEDまたはUNLOCKED)、パスワードの期限、初期ロック状態(アカウントがロックされる日付)、デフォルト表領域、一時表領域、初期リソース・コンシューマ・グループ、ユーザー・アカウントの作成日時、関連プロファイル、外部名(使用されている場合はOracle Enterprise User DN名)です。

「ユーザー権限」レポート

「ユーザー権限」レポートと「セキュア・ターゲット別のユーザー権限」レポートは、ユーザー権限の次の情報を表示します。権限が作成されたセキュア・ターゲット、ユーザー名、権限、スキーマ所有者、表名、列名、アクセス・タイプ(直接アクセスまたはロールを介した場合はロール名)、ユーザー権限がADMINオプションで作成されたかどうか、ユーザーが権限を他のユーザーに付与できるかどうか、および誰から権限を付与されたかです。

「ユーザー・プロファイル」レポート

「ユーザー・プロファイル」レポートと「セキュア・ターゲット別のユーザー・プロファイル」レポートは、ユーザー・プロファイルの次の情報を表示します。ユーザー・プロファイルが作成されたセキュア・ターゲット、プロファイル名、リソース名、リソース・タイプ(KERNEL、PASSWORDまたはINVALID)、およびプロファイル制限です。

「データベース・ロール」レポート

「データベース・ロール」レポートと「セキュア・ターゲット別のデータベース・ロール」レポートは、データベース・ロールとアプリケーション・ロールの名前を表示します。ロールがセキュア・アプリケーション・ロールの場合、レポートの「スキーマ」列と「パッケージ」列に、ロールの有効化に使用された基本のPL/SQLパッケージが示されます。

「システム権限」レポート

「システム権限」レポートと「セキュア・ターゲット別のシステム権限」レポートは、システム権限の次の情報を表示します。システム権限が作成されたセキュア・ターゲット、システム権限を付与したユーザー、権限名、アクセス・タイプ(直接アクセスまたはロールを介した場合はロール名)、およびADMINオプションで付与されたかどうかです。

「オブジェクト権限」レポート

「オブジェクト権限」レポートと「セキュア・ターゲット別のオブジェクト権限」レポートは、オブジェクト権限の次の情報を表示します。オブジェクト権限が作成されたセキュア・ターゲット、オブジェクト権限を付与したユーザー、スキーマ所有者、ターゲット名(表、パッケージ、プロシージャ、ファンクション、シーケンスおよび他のオブジェクトのリスト)、列名(つまり、列レベルの権限)、権限(SELECTなど、オブジェク権限トまたはシステム権限)、オブジェクトに許可されたアクセス・タイプ(直接アクセスまたはロールを介した場合はロール名)、オブジェクト権限を付与できるかどうか、および誰が権限を付与したかです。

「特権ユーザー」レポート

「特権ユーザー」レポートと「セキュア・ターゲット別の特権ユーザー」レポートは、特権ユーザーの次の情報を表示します。特権ユーザー・アカウントが作成されたセキュア・ターゲット、ユーザー名、ユーザーに付与された権限、アクセス・タイプ(直接アクセスまたはロールを介した場合はロール名)、および特権ユーザーにADMINオプションが付与されたかどうかです。