DBMS_MACADM
PL/SQLパッケージでは、Oracle Database Vaultレルムを構成できます。
表13-1に、レルムの構成に使用できるDBMS_MACADMパッケージのプロシージャを示します。
DV_OWNER
ロールまたはDV_ADMIN
ロールを付与されているユーザーのみがこれらのプロシージャを使用できます。これらのプロシージャで使用できる定数の詳細は、表19-1を参照してください。
関連項目:
レルムの詳細は、「レルムの構成」を参照してください
レルムのプロシージャで使用できる一連の汎用ユーティリティ・プロシージャについては、「Oracle Database VaultユーティリティのAPI」を参照してください
表13-1 DBMS_MACADMのレルム構成プロシージャ
プロシージャ | 説明 |
---|---|
所有者または参加者としてレルムにアクセスする権限をユーザーまたはロールに付与します。 |
|
レルム保護に一連のオブジェクトを登録します。 |
|
レルムを作成します。 |
|
レルムにアクセスするためのユーザーまたはロールの認可を削除します。 |
|
レルム保護から一連のオブジェクトを削除します。 |
|
レルム(認可されるユーザーと保護対象オブジェクトを指定するレルム関連Database Vault構成情報を含む)を削除します。 |
|
レルムおよび関連するDatabase Vault構成情報を削除します。 |
|
レルムの名前を変更します。名前の変更は、そのレルムが使用されているすべての箇所に反映されます。 |
|
レルムを更新します。 |
|
レルムにアクセスするためのユーザーまたはロールの認可を更新します。 |
ADD_AUTH_TO_REALM
プロシージャは、所有者または参加者としてレルムにアクセスする権限をユーザーまたはロールに付与します。
レルム認可の詳細は、「レルム認可について」を参照してください。
オプションで、認可を有効にする前に確認する必要のあるルール・セットを指定できます。
構文
DBMS_MACADM.ADD_AUTH_TO_REALM( realm_name IN VARCHAR2, grantee IN VARCHAR2, rule_set_name IN VARCHAR2, auth_options IN NUMBER);
パラメータ
表13-2 ADD_AUTH_TO_REALMパラメータ
パラメータ | 説明 |
---|---|
|
レルム名。 現行のデータベース・インスタンスで既存のレルムを検索するには、「DVSYS.DBA_DV_REALMビュー」で説明されている |
|
所有者または参加者として認可するユーザーまたはロール名。 現行のデータベース・インスタンスで既存のユーザーおよびロールを検索するには、『Oracle Databaseリファレンス』で説明されている 特定のユーザーまたはロールの認可を検索するには、「DVSYS.DBA_DV_REALM_AUTHビュー」で説明されている 権限管理で使用されている既存のセキュア・アプリケーション・ロールを検索するには、 |
|
オプションです。ランタイムでチェックするルール・セット。レルム認可は、ルール・セットの評価が 使用可能なルール・セットを検索するには、「DVSYS.DBA_DV_RULE_SET_RULEビュー」で説明されている |
|
オプションです。レルムを認可する次のオプションのうち、1つを指定します。
参加者および所有者の詳細は、「レルム認可について」を参照してください。 |
例
次の例では、ユーザーSYSADM
をパフォーマンス統計レルムの参加者として認可します。デフォルトは参加者としてユーザーを認可することであるため、auth_options
パラメータを省略できます。
BEGIN DBMS_MACADM.ADD_AUTH_TO_REALM( realm_name => 'Performance Statistics Realm', grantee => 'SYSADM'); END; /
次の例では、ユーザーSYSADM
をパフォーマンス統計レルムの所有者として設定します。
BEGIN DBMS_MACADM.ADD_AUTH_TO_REALM( realm_name => 'Performance Statistics Realm', grantee => 'SYSADM', auth_options => DBMS_MACUTL.G_REALM_AUTH_OWNER); END; /
次の例では、ユーザーSYSADM
がパフォーマンス統計レルムの所有者としての役割を果す前に、Check Conf Accessルール・セットをトリガーします。
BEGIN DBMS_MACADM.ADD_AUTH_TO_REALM( realm_name => 'Performance Statistics Realm', grantee => 'SYSADM', rule_set_name => 'Check Conf Access', auth_options => DBMS_MACUTL.G_REALM_AUTH_OWNER); END; /
ADD_OBJECT_TO_REALM
プロシージャは、レルム保護のために一連のオブジェクトを登録します。
構文
DBMS_MACADM.ADD_OBJECT_TO_REALM( realm_name IN VARCHAR2, object_owner IN VARCHAR2, object_name IN VARCHAR2, object_type IN VARCHAR2);
パラメータ
表13-3 ADD_OBJECT_TO_REALMのパラメータ
パラメータ | 説明 |
---|---|
|
レルム名。 現行のデータベース・インスタンスで既存のレルムを検索するには、「DVSYS.DBA_DV_REALMビュー」で説明されている |
|
レルムに追加するオブジェクトの所有者。ロールをレルムに追加する場合、ロールに所有者はいないため、ロールのオブジェクト所有者は 使用可能なユーザーを確認するには、『Oracle Databaseリファレンス』で説明されている 特定のユーザーまたはロールの認可を検索するには、「DVSYS.DBA_DV_REALM_AUTHビュー」で説明されている |
|
オブジェクト名。(ワイルドカード%を使用できます。ワイルドカード%の例外については、「レルム・セキュア・オブジェクトについて」の「オブジェクト名」を参照)。 使用可能なオブジェクトを確認するには、『Oracle Databaseリファレンス』で説明されている 既存のレルムによって保護されているオブジェクトを検索するには、「DVSYS.DBA_DV_REALM_OBJECTビュー」で説明されている |
|
|
例
BEGIN DBMS_MACADM.ADD_OBJECT_TO_REALM( realm_name => 'Performance Statistics Realm', object_owner => '%', object_name => 'GATHER_SYSTEM_STATISTICS', object_type => 'ROLE'); END; /
CREATE_REALM
プロシージャはレルムを作成します。
レルムを作成した後で、次のプロシージャを使用してレルム定義を完了します。
ADD_OBJECT_TO_REALM
プロシージャは、レルムに1つ以上のオブジェクトを登録します。
ADD_AUTH_TO_REALM
プロシージャは、レルムに対してユーザーまたはロールを認可します。
構文
DBMS_MACADM.CREATE_REALM( realm_name IN VARCHAR2, description IN VARCHAR2, enabled IN VARCHAR2, audit_options IN NUMBER, realm_type IN NUMBER);
パラメータ
表13-4 CREATE_REALMのパラメータ
パラメータ | 説明 |
---|---|
|
レルム名(大/小文字混在で最大90文字)。 現行のデータベース・インスタンスで既存のレルムを検索するには、「DVSYS.DBA_DV_REALMビュー」で説明されている |
|
レルムの目的の説明(大/小文字混在で最大1024文字)。 |
|
|
|
レルムを監査する次のオプションのうち、1つを指定します。
|
|
次のいずれかのオプションを指定します。
必須レルムの詳細は、「必須レルムによるレルム内のオブジェクトへのユーザー・アクセスの制限」も参照してください。 |
例
BEGIN DBMS_MACADM.CREATE_REALM( realm_name => 'Performance Statistics Realm', description => 'Realm to measure performance', enabled => DBMS_MACUTL.G_YES, audit_options => DBMS_MACUTL.G_REALM_AUDIT_FAIL + DBMS_MACUTL.G_REALM_AUDIT_SUCCESS, realm_type => 1); END; /
関連項目:
DELETE_AUTH_FROM_REALM
プロシージャは、レルムにアクセスするためのユーザーまたはロールの認可を削除します。
構文
DBMS_MACADM.DELETE_AUTH_FROM_REALM( realm_name IN VARCHAR2, grantee IN VARCHAR2);
パラメータ
表13-5 DELETE_AUTH_FROM_REALMのパラメータ
パラメータ | 説明 |
---|---|
|
レルム名。 現行のデータベース・インスタンスで既存のレルムを検索するには、「DVSYS.DBA_DV_REALMビュー」で説明されている |
|
ユーザーまたはロール名。 特定のユーザーまたはロールの認可を検索するには、「DVSYS.DBA_DV_REALM_AUTHビュー」で説明されている |
例
BEGIN DBMS_MACADM.DELETE_AUTH_FROM_REALM( realm_name => 'Performance Statistics Realm', grantee => 'SYS'); END; /
DELETE_OBJECT_FROM_REALM
プロシージャは、レルム保護から一連のオブジェクトを削除します。
構文
DBMS_MACADM.DELETE_OBJECT_FROM_REALM( realm_name IN VARCHAR2, object_owner IN VARCHAR2, object_name IN VARCHAR2, object_type IN VARCHAR2);
パラメータ
表13-6 DELETE_OBJECT_FROM_REALMのパラメータ
パラメータ | 説明 |
---|---|
|
レルム名。 現行のデータベース・インスタンスで既存のレルムを検索するには、「DVSYS.DBA_DV_REALMビュー」で説明されている |
|
レルムに追加されたオブジェクトの所有者。 使用可能なユーザーを確認するには、『Oracle Databaseリファレンス』で説明されている |
|
オブジェクト名。(ワイルドカード%を使用できます。ワイルドカード%の例外については、「レルム・セキュア・オブジェクトについて」の「オブジェクト名」を参照)。 既存のレルムに保護されているオブジェクトを確認するには、「DVSYS.DBA_DV_REALM_OBJECTビュー」で説明されている |
|
|
例
BEGIN DBMS_MACADM.DELETE_OBJECT_FROM_REALM( realm_name => 'Performance Statistics Realm', object_owner => 'SYS', object_name => 'GATHER_SYSTEM_STATISTICS', object_type => 'ROLE'); END; /
DELETE_REALM
プロシージャは、レルム(認可されたユーザーと保護対象オブジェクトを指定するレルム関連の構成情報を含む)を削除します。
このプロシージャは、実際のデータベース・オブジェクトやユーザーを削除しません。
レルムに対して認可されているユーザーを確認するには、DBA_DV_REALM_AUTH
ビューに問い合せます。レルムで保護されるオブジェクトを確認するには、DBA_DV_REALM_OBJECT
ビューに問い合せます。これらのビューについては、「Oracle Database Vaultのデータ・ディクショナリ・ビュー」で説明します。
構文
DBMS_MACADM.DELETE_REALM( realm_name IN VARCHAR2);
パラメータ
表13-7 DELETE_REALMのパラメータ
パラメータ | 説明 |
---|---|
|
レルム名。 現行のデータベース・インスタンスで既存のレルムを検索するには、「DVSYS.DBA_DV_REALMビュー」で説明されている |
例
EXEC DBMS_MACADM.DELETE_REALM('Performance Statistics Realm');
DELETE_REALM_CASCADE
プロシージャは、レルム(認可されたユーザーと保護対象オブジェクトを指定するレルム関連Database Vault構成情報を含む)を削除します。
DBA_DV_REALM_AUTH
ビューにはそのレルム内で認可されているユーザーが表示され、DBA_DV_REALM_OBJECT
ビューには保護されたオブジェクトが表示されます。
このプロシージャは、実際のデータベース・オブジェクトやユーザーを削除しません。これは、DELETE_REALM
プロシージャと同様に動作します。(以前のリリースでは同じではありませんでしたが、現在は同じです。どちらも下位互換性のために保持されています。)レルム関連のオブジェクトのリストを確認するには、DBA_DV_REALM
ビューに問い合せます。その認可を確認するには、DBA_DV_REALM_AUTH
に問い合せます。どちらも「Oracle Database Vaultのデータ・ディクショナリ・ビュー」で説明されています。
構文
DBMS_MACADM.DELETE_REALM_CASCADE( realm_name IN VARCHAR2);
パラメータ
表13-8 DELETE_REALM_CASCADEのパラメータ
パラメータ | 説明 |
---|---|
|
レルム名。 現行のデータベース・インスタンスで既存のレルムを検索するには、「DVSYS.DBA_DV_REALMビュー」で説明されている |
例
EXEC DBMS_MACADM.DELETE_REALM_CASCADE('Performance Statistics Realm');
RENAME_REALM
プロシージャはレルムの名前を変更します。名前の変更は、そのレルムが使用されているすべての箇所に反映されます。
構文
DBMS_MACADM.RENAME_REALM( realm_name IN VARCHAR2, new_name IN VARCHAR2);
パラメータ
表13-9 RENAME_REALMのパラメータ
パラメータ | 説明 |
---|---|
|
現在のレルム名。 現行のデータベース・インスタンスで既存のレルムを検索するには、「DVSYS.DBA_DV_REALMビュー」で説明されている |
|
新しいレルム名(大/小文字混在で最大90文字)。 |
例
BEGIN DBMS_MACADM.RENAME_REALM( realm_name => 'Performance Statistics Realm', new_name => 'Sector 2 Performance Statistics Realm'); END; /
UPDATE_REALM
プロシージャはレルムを更新します。
レルムの現在の設定について情報を確認するには、「DVSYS.DV$REALMビュー」
で説明されているDVSYS.DV$REALMビューに問い合せます。
構文
DBMS_MACADM.UPDATE_REALM( realm_name IN VARCHAR2, description IN VARCHAR2, enabled IN VARCHAR2, audit_options IN NUMBER DEFAULT NULL, realm_type IN NUMBER DEFAULT NULL);
パラメータ
表13-10 UPDATE_REALMのパラメータ
パラメータ | 説明 |
---|---|
|
レルム名。 現行のデータベース・インスタンスで既存のレルムを検索するには、「DVSYS.DBA_DV_REALMビュー」で説明されている |
|
レルムの目的の説明(大/小文字混在で最大1024文字)。 |
|
|
|
レルムを監査する次のオプションのうち、1つを指定します。
|
|
次のいずれかのオプションを指定します。
必須レルムの詳細は、「必須レルムによるレルム内のオブジェクトへのユーザー・アクセスの制限」も参照してください。 |
例
BEGIN DBMS_MACADM.UPDATE_REALM( realm_name => 'Sector 2 Performance Statistics Realm', description => 'Realm to measure performance for Sector 2 applications', enabled => DBMS_MACUTL.G_YES, audit_options => DBMS_MACUTL.G_REALM_AUDIT_FAIL + G_REALM_AUDIT_SUCCESS); END, realm_type => 1); /
UPDATE_REALM_AUTH
プロシージャは、レルムにアクセスするためのユーザーまたはロールの認可を更新します。
構文
DBMS_MACADM.UPDATE_REALM_AUTH( realm_name IN VARCHAR2, grantee IN VARCHAR2, rule_set_name IN VARCHAR2, auth_options IN NUMBER);
パラメータ
表13-11 UPDATE_REALM_AUTHのパラメータ
パラメータ | 説明 |
---|---|
|
レルム名。 現行のデータベース・インスタンスで既存のレルムを検索するには、「DVSYS.DBA_DV_REALMビュー」で説明されている |
|
ユーザーまたはロール名。 使用可能なユーザーおよびロールを検索するには、『Oracle Databaseリファレンス』で説明されている 特定のユーザーまたはロールの認可を検索するには、「DVSYS.DBA_DV_REALM_AUTHビュー」で説明されている 権限管理で使用されている既存のセキュア・アプリケーション・ロールを検索するには、「DVSYS.DBA_DV_ROLEビュー」で説明されている |
|
オプションです。ランタイムでチェックするルール・セット。レルム認可は、ルール・セットの評価が 使用可能なルール・セットを検索するには、 |
|
オプションです。レルムを認可する次のオプションのうち、1つを指定します。
|
例
BEGIN DBMS_MACADM.UPDATE_REALM_AUTH( realm_name => 'Sector 2 Performance Statistics Realm', grantee => 'SYSADM', rule_set_name => 'Check Conf Access', auth_options => DBMS_MACUTL.G_REALM_AUTH_OWNER); END; /