21 Oracle Database VaultのAPIリファレンス

Oracle Database Vaultには、PL/SQLパッケージとスタンドアロン・プロシージャの両方に豊富なAPIセットが用意されています。

内容は次のとおりです。

DBMS_MACADM PL/SQLパッケージの内容

DBMS_MACADMパッケージを使用すると、レルム、ファクタ、ルール・セット、コマンド・ルール、セキュア・アプリケーション・ロール、およびOracle Label Securityポリシーを構成することができます。

DBMS_MACADMパッケージは、DV_ADMINロールまたはDV_OWNERロールを付与されているユーザーのみが使用できます。

DBMS_MACADMのレルム・プロシージャ

apis_ref.htm#GUID-1977D714-6136-49C1-B3FB-31C6D3B45BD4__DBMS_MACADMPLSQLPACKAGECONTENTS-A8294FDCは、DBMS_MACADMパッケージ内のレルム・プロシージャを示します。

表21-1 DBMS_MACADMのレルム・プロシージャ

プロシージャ	説明
`ADD_AUTH_TO_REALM`プロシージャ	所有者または参加者としてレルムにアクセスする権限をユーザーまたはロールに付与します。
`ADD_OBJECT_TO_REALM`プロシージャ	レルム保護に一連のオブジェクトを登録します。
`CREATE_REALM`プロシージャ	レルムを作成します。
`DELETE_AUTH_FROM_REALM`プロシージャ	レルムにアクセスするためのユーザーまたはロールの認可を削除します。
`DELETE_OBJECT_FROM_REALM`プロシージャ	レルム保護から一連のオブジェクトを削除します。
`DELETE_REALM`プロシージャ	レルム(認可されるユーザーと保護対象オブジェクトを指定するレルム関連Database Vault構成情報を含む)を削除します。
`DELETE_REALM_CASCADE`プロシージャ	レルム(認可されるユーザーと保護対象オブジェクトを指定するレルム関連Database Vault構成情報を含む)を削除します。
`RENAME_REALM`プロシージャ	レルムの名前を変更します。名前の変更は、そのレルムが使用されているすべての箇所に反映されます。
`UPDATE_REALM`プロシージャ	レルムを更新します。
`UPDATE_REALM_AUTH`プロシージャ	レルムにアクセスするためのユーザーまたはロールの認可を更新します。

DBMS_MACADMのルール・セット・プロシージャとルール・プロシージャ

apis_ref.htm#GUID-1977D714-6136-49C1-B3FB-31C6D3B45BD4__DBMS_MACADMPLSQLPACKAGECONTENTS-07CF0396は、DBMS_MACADMパッケージ内のレルム・プロシージャを示します。

表21-2 DBMS_MACADMのルール・セット・プロシージャとルール・プロシージャ

プロシージャ	説明
`CREATE_RULE_SET`プロシージャ	ルール・セットを作成します。
`RENAME_RULE_SET`プロシージャ	ルール・セットの名前を変更します。名前の変更は、そのルール・セットが使用されているすべての箇所に反映されます。
`DELETE_RULE_FROM_RULE_SET`プロシージャ	ルールをルール・セットから削除します。
`DELETE_RULE_SET`プロシージャ	ルール・セットを削除します。
`UPDATE_RULE_SET`プロシージャ	ルール・セットを更新します。
`CREATE_RULE`プロシージャ	ルールを作成します。
`ADD_RULE_TO_RULE_SET`プロシージャ	ルールをルール・セットに追加します。
`DELETE_RULE`プロシージャ	ルールを削除します。
`RENAME_RULE`プロシージャ	ルールの名前を変更します。名前の変更は、そのルールが使用されているすべての箇所に反映されます。
`UPDATE_RULE`プロシージャ	ルールを更新します。

DBMS_MACADMのコマンド・ルール・プロシージャ

apis_ref.htm#GUID-1977D714-6136-49C1-B3FB-31C6D3B45BD4__DBMS_MACADMCOMMANDRULEPROCEDURES-07D09C6Bは、DBMS_MACADMパッケージ内のコマンド・ルール・プロシージャを示します。

表21-3 DBMS_MACADMのコマンド・ルール・プロシージャ

プロシージャ	説明
`CREATE_COMMAND_RULE`プロシージャ	コマンド・ルールを作成し、ルール・セットに関連付けて、ルール・セットによるコマンド・ルールのルール・チェックが有効化されるようにします。
`DELETE_COMMAND_RULE`プロシージャ	コマンド・ルールの宣言を削除します。
`UPDATE_COMMAND_RULE`プロシージャ	コマンド・ルールの宣言を更新します。

DBMS_MACADMファクタのプロシージャおよびファンクション

DBMS_MACADMパッケージ内のファクタ・プロシージャおよびファンクションを示します。

表21-4 DBMS_MACADMファクタのプロシージャおよびファンクション

プロシージャまたはファンクション	説明
`ADD_FACTOR_LINK`プロシージャ	2つのファクタの親子関係を指定します。
`ADD_POLICY_FACTOR`プロシージャ	ファクタのラベルをポリシーのOracle Label Securityラベルに含めることを指定します。
`CHANGE_IDENTITY_FACTOR`プロシージャ	アイデンティティを別ファクタと関連付けます。
`CHANGE_IDENTITY_VALUE`プロシージャ	アイデンティティの値を更新します。
`CREATE_DOMAIN_IDENTITY`プロシージャ	Oracle Real Application Clusters(Oracle RAC)データベース・ノードをドメイン・ファクタ・アイデンティティに追加し、Oracle Label Securityポリシーに従ってラベルを付けます。
`CREATE_FACTOR`プロシージャ	ファクタを作成します。
`CREATE_FACTOR_TYPE`プロシージャ	ファクタ・タイプを作成します。
`CREATE_IDENTITY`プロシージャ	アイデンティティを作成します。
`CREATE_IDENTITY_MAP`プロシージャ	リンクされた子ファクタ(サブファクタ)の値からファクタのアイデンティティを導出するために使用される一連のテストを定義します。
`DELETE_FACTOR`プロシージャ	ファクタを削除します。
`DELETE_FACTOR_LINK`プロシージャ	2つのファクタの親子関係を削除します。
`DELETE_FACTOR_TYPE`プロシージャ	ファクタ・タイプを削除します。
`DELETE_IDENTITY`プロシージャ	アイデンティティを削除します。
`DELETE_IDENTITY_MAP`プロシージャ	ファクタからアイデンティティ・マップを削除します。
`DROP_DOMAIN_IDENTITY`プロシージャ	Oracle RACデータベース・ノードをドメインから削除します。
`GET_INSTANCE_INFO`ファンクション	現行データベース・インスタンスについて`SYS.V_$INSTANCE`システム表の情報を返します。`VARCHAR2`値を返します。
`GET_SESSION_INFO`ファンクション	現行セッションについて`SYS.V_$SESSION`システム表の情報を返します。`VARCHAR2`値を返します。
`RENAME_FACTOR`プロシージャ	ファクタの名前を変更します。名前の変更は、そのファクタが使用されているすべての箇所に反映されます。
`RENAME_FACTOR_TYPE`プロシージャ	ファクタ・タイプの名前を変更します。名前の変更は、そのファクタ・タイプが使用されているすべての箇所に反映されます。
`UPDATE_FACTOR`プロシージャ	ファクタを更新します。
`UPDATE_FACTOR_TYPE`プロシージャ	ファクタ・タイプの説明を更新します。
`UPDATE_IDENTITY`プロシージャ	ファクタ・アイデンティティの信頼レベルを更新します。

DBMS_MACADMセキュア・アプリケーション・ロールのプロシージャ

apis_ref.htm#GUID-1977D714-6136-49C1-B3FB-31C6D3B45BD4__DBMS_MACADMSECUREAPPLICATIONROLEPRO-07D16FE7は、DBMS_MACADMパッケージ内のセキュア・アプリケーション・ロール・プロシージャを示します。

表21-5 DBMS_MACADMセキュア・アプリケーション・ロールのプロシージャ

プロシージャ	説明
`CREATE_ROLE`プロシージャ	Oracle Database Vaultセキュア・アプリケーション・ロールを作成します。
`DELETE_ROLE`プロシージャ	Oracle Database Vaultセキュア・アプリケーション・ロールを削除します。
`RENAME_ROLE`プロシージャ	Oracle Database Vaultセキュア・アプリケーション・ロールの名前を変更します。名前の変更は、そのロールが使用されているすべての箇所に反映されます。
`UPDATE_ROLE`プロシージャ	Oracle Database Vaultセキュア・アプリケーション・ロールを更新します。

DBMS_MACADMのOracle Label Securityプロシージャ

apis_ref.htm#GUID-1977D714-6136-49C1-B3FB-31C6D3B45BD4__DBMS_MACADMORACLELABELSECURITYPROCE-07D1BB5Bは、DBMS_MACADMパッケージ内のOracle Label Securityプロシージャを示します。

表21-6 DBMS_MACADMのOracle Label Securityプロシージャ

プロシージャ	説明
`CREATE_MAC_POLICY`プロシージャ	ファクタのラベルまたはOracle Label Securityセッション・ラベルを算出する際にラベルのマージに使用されるアルゴリズムを指定します。
`CREATE_POLICY_LABEL`プロシージャ	Oracle Label Securityポリシー内のアイデンティティにラベルを付けます。
`DELETE_MAC_POLICY_CASCADE`プロシージャ	Oracle Label Securityポリシーに関連するすべてのOracle Database Vaultオブジェクトを削除します。
`DELETE_POLICY_FACTOR`プロシージャ	Oracle Label Securityラベルの構成からファクタを削除します。
`DELETE_POLICY_LABEL`プロシージャ	Oracle Label Securityポリシーのアイデンティティからラベルを削除します。
`UPDATE_MAC_POLICY`プロシージャ	ファクタのラベルまたはOracle Label Securityセッション・ラベルを算出する際にラベルのマージに使用されるアルゴリズムを指定します。

DBMS_MACADMの一般管理プロシージャ

apis_ref.htm#GUID-1977D714-6136-49C1-B3FB-31C6D3B45BD4__DBMS_MACADMGENERALADMINISTRATIVEPRO-07D340B0は、DBMS_MACADMパッケージ内の一般管理プロシージャを示します。

表21-7 DBMS_MACADMの一般管理プロシージャ

プロシージャ	説明
`ADD_NLS_DATA`プロシージャ	Oracle Database Vaultに新しい言語を追加します。
`AUTHORIZE_DATAPUMP_USER`プロシージャ	Oracle Database Vaultが有効な場合に、Oracle Data Pump操作を実行する権限をユーザーに付与します。
`AUTHORIZE_DDL`プロシージャ	データ定義言語(DDL)文を実行する認可をユーザーに付与します。
`AUTHORIZE_PROXY_USER`プロシージャ	他のユーザー・アカウントをプロキシする認可をプロキシ・ユーザーに付与します。
`AUTHORIZE_SCHEDULER_USER`プロシージャ	Oracle Database Vaultが有効な場合に、データベース・ジョブをスケジュールする権限をユーザーに付与します。
`AUTHORIZE_TTS_USER`プロシージャ	Oracle Database Vaultが有効な場合に、表領域に対してOracle Data Pumpトランスポータブル表領域操作を実行するようにユーザーを認可します。
`UNAUTHORIZE_DATAPUMP_USER`プロシージャ	`DBMS_MACADM.AUTHORIZE_DATAPUMP_USER`プロシージャによって付与された権限を取り消します。
`UNAUTHORIZE_DDL`プロシージャ	`DBMS_MACDM.AUTHORIZE_DDL`プロシージャを使用してDDL文を実行する認可を付与されたユーザーから認可を取り消します。
`UNAUTHORIZE_PROXY_USER`プロシージャ	`DBMS_MACADM.AUTHORIZE_PROXY_USER`プロシージャによってプロキシの認可を付与されたユーザーから認可を取り消します。
`UNAUTHORIZE_SCHEDULER_USER`プロシージャ	`DBMS_MACADM.AUTHORIZE_SCHEDULER_USER`プロシージャによって付与された権限を取り消します。
`UNAUTHORIZE_TTS_USER`プロシージャ	Oracle Database Vaultが有効な場合に、表領域に対してOracle Data Pumpトランスポータブル表領域操作を実行する認可を付与されたユーザーから認可を取り消します。
`DISABLE_DV`プロシージャ	Oracle Database Vaultを無効にします。
`DISABLE_DV_DICTIONARY_ACCTS`プロシージャ	ユーザーが`DVSYS`や`DFV`スキーマ・アカウントにログインできないようにします。
`DISABLE_DV_PATCH_ADMIN`	`DV_PATCH_ADMIN`ユーザーの監査を無効にします。
`DISABLE_ORADEBUG`プロシージャ	Oracle Database Vault環境で`ORADEBUG`ユーティリティの使用を無効にします。
`ENABLE_DV`プロシージャ	Oracle Database Vaultを有効にします。
`ENABLE_DV_DICTIONARY_ACCTS`プロシージャ	ユーザーが`DVSYS`や`DFV`スキーマ・アカウントにログインできるようにします。
`ENABLE_DV_PATCH_ADMIN`	`DV_PATCH_ADMIN`ユーザーの監査を有効にします。
`ENABLE_ORADEBUG`プロシージャ	Oracle Database Vault環境で`ORADEBUG`ユーティリティの使用を有効にします。

DBMS_MACSEC_ROLES PL/SQLパッケージの内容

DBMS_MACSEC_ROLESパッケージを使用すると、Oracle Database Vaultセキュア・アプリケーション・ロールのチェックと設定を行うことができます。

このパッケージは、一般のデータベース・アカウント群で使用できます。

表21-8に、DBMS_MACSEC_ROLESパッケージの内容を示します。

表21-8 DBMS_MACSEC_ROLES PL/SQLパッケージの内容

プロシージャまたはファンクション	説明
`CAN_SET_ROLE`ファンクション	メソッドを起動するユーザーに、指定されたOracle Database Vaultセキュア・アプリケーション・ロールを使用する権限が付与されているかどうかをチェックします。`BOOLEAN`値を返します。
`SET_ROLE`プロシージャ	Oracle Database Vaultセキュア・アプリケーション・ロールに対して`SET ROLE`文を発行します。

DBMS_MACUTL PL/SQLパッケージの内容

DBMS_MACUTL PL/SQLパッケージは、エラー処理など、他のOracle Database Vaultのパッケージで共通に使用される定数およびユーティリティ・メソッドを定義します。

このパッケージは、一般のデータベース・アカウント群で実行できます。このパッケージを使用すると、セキュリティ開発者は、スクリプト化された構成ファイルで定数を利用できます。また、USER_HAS_ROLEなどのユーティリティ・メソッドは、Oracle Database Vaultルールで使用することも可能です。

表21-9に、DBMS_MACUTLパッケージの内容を示します。

表21-9 DBMS_MACUTL PL/SQLパッケージの内容

プロシージャまたはファンクション	説明
`CHECK_DVSYS_DML_ALLOWED`プロシージャ	Oracle Database Vault構成を更新するユーザーによってパブリック・パッケージが無視されていないことを検証します。
`GET_CODE_VALUE`ファンクション	コード・グループ内でコードの値を検索します。
`GET_SECOND`ファンクション	Oracle SS形式(00から59)で秒を返します。時間データに基づいたルール式に有用です。
`GET_MINUTE`ファンクション	Oracle MI形式(00から59)で分を返します。時間データに基づいたルール式に有用です。
`GET_HOUR`ファンクション	Oracle HH24形式(00から23)で月を返します。時間データに基づいたルール式に有用です。
`GET_DAY`ファンクション	Oracle DD形式(01から31)で日を返します。時間データに基づいたルール式に有用です。
`GET_MONTH`ファンクション	Oracle MM形式(01から12)で月を返します。時間データに基づいたルール式に有用です。
`GET_YEAR`ファンクション	Oracle YYYY形式(0001から9999)で年を返します。時間データに基づいたルール式に有用です。
`IS_ALPHA`ファンクション	文字がアルファベットかどうかをチェックします。
`IS_DIGIT`ファンクション	文字が数値かどうかをチェックします。
`IS_DVSYS_OWNER`ファンクション	Oracle Database Vault構成を管理する権限がユーザーに付与されているかどうかを判断します。
`IS_OLS_INSTALLED`ファンクション	Oracle Label Securityがインストールされているかどうかについてインジケータを返します。
`IS_OLS_INSTALLED_VARCHAR`ファンクション	Oracle Label Securityがインストールされているかどうかについてインジケータを返します。
`USER_HAS_ROLE`ファンクション	ユーザーがロール権限を直接保持するのか間接的に(他のロールを介して)保持するのかをチェックします。
`USER_HAS_ROLE_VARCHAR`ファンクション	ユーザーがロール権限を直接保持するのか間接的に(他のロールを介して)保持するのかをチェックします。
`USER_HAS_SYSTEM_PRIVILEGE`ファンクション	ユーザーがシステム権限を直接保持するのか間接的に(ロールを介して)保持するのかをチェックします。

CONFIGURE_DV PL/SQLプロシージャ

CONFIGURE_DVは、最初の2つのOracle Databaseユーザー・アカウントを構成します。このアカウントには、DV_OWNERロールとDV_ACCTMGRロールがそれぞれ付与されます。

DVF PL/SQLインタフェースの内容

DVFスキーマにより、一連のファクタ関連PL/SQLファンクションが提供されます。

その後、ファンクションは一般のデータベース・アカウント群でPL/SQLファンクションおよび標準SQLを介して使用できます。

表21-10に、DVFファクタのファンクションを示します。

表21-10 DVF PL/SQLインタフェースの内容

ファンクション	説明
`F$CLIENT_IP`	クライアントが接続されているコンピュータのIPアドレスを返します。
`F$DATABASE_DOMAIN`	`DB_DOMAIN`初期化パラメータに指定されているようにデータベースのドメインを返します。
`F$DATABASE_HOSTNAME`	データベース・インスタンスが実行されているコンピュータのホスト名を返します。
`F$DATABASE_INSTANCE`	現在のデータベース・インスタンスのデータベース・インスタンス識別番号を返します。
`F$DATABASE_IP`	データベース・インスタンスが実行されているコンピュータのIPアドレスを返します。
`F$DATABASE_NAME`	`DB_NAME`初期化パラメータに指定されているようにデータベースの名前を返します。
`F$DOMAIN`	ランタイム環境(ネットワークIT環境やそのサブセットなど)内の、特定の機密レベルで動作する物理的な構成または実装固有のファクタの名前付きコレクションを返します。
`F$ENTERPRISE_IDENTITY`	ユーザーのエンタープライズ全体のアイデンティティを返します。
`F$IDENTIFICATION_TYPE`	データベースでのユーザーのスキーマの作成方法を返します。具体的には、`CREATE USER`または`ALTER USER`構文の`IDENTIFIED`句が反映されます。
`F$LANG`	既存の`LANGUAGE`パラメータより短い形式の、言語名のISO略称を返します。
`F$LANGUAGE`	セッションで現在使用中の言語と地域、およびデータベース・キャラクタ・セットを`VARCHAR2`データ型で返します。
`F$MACHINE`	データベース・セッションを確立したデータベース・クライアントのコンピュータ(ホスト)名を返します。
`F$NETWORK_PROTOCOL`	接続文字列の`PROTOCOL`=`protocol`部分に指定されている、通信に使用されるネットワーク・プロトコルを返します。
`F$PROXY_ENTERPRISE_IDENTITY`	プロキシ・ユーザーがエンタープライズ・ユーザーである場合、Oracle Internet Directoryの識別名(DN)を返します。
`F$SESSION_USER`	現行ユーザーが認証されたデータベース・ユーザー名を返します。