Oracle Database Vaultには、Database Vaultオブジェクトが含まれるスキーマや、特定のタスクの職務分離を提供するロール、およびデフォルト・ユーザーのアカウントが用意されています。
内容は次のとおりです。
Oracle Database VaultスキーマのDVSYS
とDVF
は、Oracle Database Vaultの管理と実行時処理をサポートします。
DVSYS
とDVF
には以下が含まれます。
DVSYS
スキーマには、Oracle Database Vaultのデータベース・オブジェクトが含まれます。
これらのオブジェクトはOracle Database Vaultの構成情報を保存し、Oracle Database Vaultの管理と実行時処理をサポートします。
デフォルト・インストールでは、DVSYS
スキーマはロックされています。DVSYS
スキーマは、AUDIT_TRAIL$
表も所有します。
マルチテナント・データベース環境で、DVSYS
スキーマは共通スキーマとみなされます(すなわち、DVSYS
内のオブジェクト(表、ビュー、PL/SQLパッケージなど)は任意の子プラガブル・データベース(PDB)で自動的に利用できます)。また、DVSYS
スキーマ・アカウントは、ALTER SESSION
文を使用して他のコンテナに切り替えることはできません。
Oracle Database Vaultでは、保護スキーマ設計を使用してDVSYS
スキーマを保護します。保護スキーマ設計により、スキーマはシステム権限(SELECT ANY TABLE
、CREATE ANY VIEW
、DROP ANY
など)の不正使用から保護されます。
DVSYS
スキーマは、Oracle Database Vaultによって次のように保護されます。
DVSYS
保護スキーマとその管理ロールは削除できません。デフォルトで、DVSYS
アカウントはロックされています。
デフォルトでは、ユーザーはDVSYS
アカウントに直接ログインできません。ユーザーがこのアカウントに直接ログインできるように制御するには、DBMS_MACADM.DISABLE_DV_DICTIONARY_ACCTS
プロシージャを実行してユーザーがログインできないようにして、DBMS_MACADM.ENABLE_DV_DICTIONARY_ACCTS
プロシージャを実行してログインを許可します。
CREATE USER
、ALTER USER
、DROP USER
、CREATE PROFILE
、ALTER PROFILE
、DROP PROFILE
などの文は、DV_ACCTMGR
ロールを持つユーザーのみが発行できます。SYSDBA
管理権限でログインしたユーザーは、「アカウント/プロファイルを保守可能」ルール・セットを変更して許可された場合のみこれらの文を発行できます。
データベース定義言語(DDL)およびデータ操作言語(DML)のコマンドに対する強力なANY
システム権限は、保護スキーマではブロックされます。つまり、DVSYS
スキーマのオブジェクトは、スキーマ・アカウント自体によって作成される必要があります。また、スキーマ・オブジェクトへのアクセスは、オブジェクト権限の付与により認可される必要があります。
DVSYS
スキーマのオブジェクト権限は、スキーマのDatabase Vault管理ロールにのみ付与できます。つまり、ユーザーは、事前定義済管理ロールによってのみ保護スキーマにアクセスできます。
スキーマのDatabase Vault事前定義済管理ロールに対してALTER ROLE
文を発行できるのは、保護されたスキーマ・アカウントDVSYS
のみです。Oracle Database Vaultの事前定義済管理ロールの詳細は、「Oracle Database Vaultのロール」で説明します。
SQL文の実行に、SYS.DBMS_SYS_SQL.PARSE_AS_USER
プロシージャを保護スキーマDVSYS
のかわりに使用することはできません。
注意:
データベース・ユーザーは、Oracle Database Vaultの管理ロール(たとえばDV_ADMIN
およびDV_OWNER
)に、追加のオブジェクト権限およびロールを付与できます。ただし、付与に十分な権限がある場合にかぎります。
DVF
スキーマは、Oracle Database Vault DBMS_MACSEC_FUNCTION
PL/SQLパッケージの所有者です。
このパッケージには、ファクタ・アイデンティティを取得するファンクションが含まれています。Oracle Database Vaultのインストール後、DVF
アカウントをより確実に保護するために、このアカウントがインストール処理によってロックされます。新しいファクタを作成すると、Oracle Database Vaultでそのファクタの取得ファンクションが新たに作成され、このスキーマに保存されます。
マルチテナント環境で、DVF
ユーザーはALTER SESSION
文を使用して他のコンテナに切り替えることはできません。
デフォルトでは、ユーザーはDVF
アカウントに直接ログインできません。ユーザーがこのアカウントに直接ログインできるように制御するには、DBMS_MACADM.DISABLE_DV_DICTIONARY_ACCTS
プロシージャを実行してユーザーがログインできないようにして、DBMS_MACADM.ENABLE_DV_DICTIONARY_ACCTS
プロシージャを実行してログインを許可します。
Oracle Database Vaultには、特定のユーザー・タスクに基づく、職務分離の概念に従ったデフォルト・ロールが用意されています。
内容は次のとおりです。
Oracle Database Vaultには、Oracle Database Vaultの管理に必要な一連のロールが用意されています。
図12-1は、これらのロールがデータベース内の職務分離の第1段階を実現するために設計されていることを示しています。これらのロールをどのように使用するかは、会社の要件によって異なります。
注意:
追加のオブジェクト権限およびロールをOracle Database Vaultロールに付与して、権限の範囲を拡大できます。たとえば、SYSDBA
管理権限でログインしたユーザーは、オブジェクトがDVSYS
スキーマまたはレルムにないかぎり、オブジェクト権限をOracle Database Vaultロールに付与できます。
関連項目:
ロール管理の一般的なガイドラインについては、『Oracle Databaseセキュリティ・ガイド』を参照してください
Oracle Database Vaultのロールは、職務分離の利点が最大限に高まるよう設計されています。
DV_PATCH_ADMIN
、DV_STREAMS_ADMIN
、DV_XSTREAM
、DV_GOLDENGATE_ADMIN
、およびDV_GOLDENGATE_REDO_ACCESS
ロールは、システム権限がないため、次の表には含まれていません。
表12-1に、Oracle Database Vaultロールで使用できる権限をまとめています。
表12-1 Oracle Database Vaultロールの権限
権限 | DV_OWNER | DV_ADMIN | DV_MONITOR | DV_SECANALYST | DV_ACCTMGR | DV_REALM_OWNER | DV_REALM_RESOURCE | DV_PUBLIC | DV_AUDIT_CLEANUP |
---|---|---|---|---|---|---|---|---|---|
|
あり脚注1 |
あり脚注2 |
なし |
なし |
なし |
なし |
なし |
なし |
なし |
|
あり |
あり |
あり |
あり(一部のDatabase Vaultビュー)脚注3 |
なし |
なし |
なし |
なし脚注4 |
あり(一部のDatabase Vault表およびビュー)脚注5 |
|
あり(一部のDatabase Vault表およびビュー)脚注6 |
なし |
なし |
なし |
なし |
なし |
なし |
なし |
あり(一部のDatabase Vault表およびビュー)脚注7 |
|
なし |
なし |
なし |
なし |
なし |
なし |
なし |
なし |
なし |
|
あり |
なし |
なし |
なし |
なし |
なし |
なし |
なし |
なし |
|
あり |
なし |
なし |
あり |
なし |
なし |
なし |
なし |
なし |
Database Vaultの監視 |
あり |
あり |
あり |
あり |
なし |
なし |
なし |
なし |
なし |
Database Vaultレポートの実行 |
あり |
あり |
なし |
あり |
なし |
なし |
なし |
なし |
なし |
|
あり |
なし |
あり |
あり( |
なし |
なし |
なし |
なし |
なし |
|
あり(一部) |
なし |
なし |
あり(一部) |
なし |
なし |
なし |
なし |
なし |
|
なし |
なし |
なし |
なし |
あり |
なし |
なし |
なし |
なし |
レルムを定義するスキーマ内のオブジェクトの管理脚注9 |
なし |
なし |
なし |
なし |
なし |
あり脚注10 |
なし |
なし |
なし |
|
なし |
なし |
なし |
なし |
なし |
なし |
あり |
なし |
なし |
脚注1
すべてのOracle Database Vault PL/SQLパッケージに対するEXECUTE
権限が含まれます。
脚注2
すべてのOracle Database Vault PL/SQLパッケージに対するEXECUTE
権限が含まれます。
脚注3
DV_SECANALYST
は、Oracle Database Vaultで提供されるビューを使用した場合のみ、DVSYS
スキーマ・オブジェクトに問合せできます。
脚注4
DV_PUBLIC
は、Oracle Database Vaultで提供されるビューを使用した場合のみ、DVSYS
スキーマ・オブジェクトに問合せできます。
脚注5
DV_AUDIT_CLEANUP
は、AUDIT_TRAIL$
表、DV$ENFORCEMENT_AUDIT
ビューおよびDV$CONFIGURATION_AUDIT
ビューでSELECT
文を実行できます。
脚注6
DV_AUDIT_CLEANUP
は、AUDIT_TRAIL$
表、DV$ENFORCEMENT_AUDIT
ビューおよびDV$CONFIGURATION_AUDIT
ビューでDELETE
文を実行できます。
脚注7
DV_AUDIT_CLEANUP
は、AUDIT_TRAIL$
表、DV$ENFORCEMENT_AUDIT
ビューおよびDV$CONFIGURATION_AUDIT
ビューでDELETE
文を実行できます。
脚注8
この権限には、DVSYS
アカウントの削除や変更、およびDVSYS
パスワードの変更のための権限は含まれません。
脚注9
この権限には、CREATE ANY
、ALTER ANY
、およびDROP ANY
などのANY
権限が含まれます。
脚注10
このロールがあるユーザーは、システム権限を実行するには、レルム参加者またはレルム所有者である必要もあります。
脚注11
RESOURCE
ロールは、CREATE CLUSTER
、CREATE INDEXTYPE
、CREATE OPERATOR
、CREATE PROCEDURE
、CREATE SEQUENCE
、CREATE TABLE
、CREATE TRIGGER
、CREATE TYPE
といったシステム権限を提供します。
DV_OWNER
ロールでは、Oracle Database Vaultロールおよびその構成を管理できます。
『Oracle Database Vault管理者ガイド』では、このロールを使用するサンプル・アカウントはleo_dvowner
です。
DV_OWNERロールに関連付けられた権限
DV_OWNER
ロールには、DV_ADMIN
ロールによって提供される管理機能とDV_SECANALYST
ロールによって提供されるレポート機能が含まれます。
このロールには、Oracle Database Vaultを監視する権限も備わっています。Oracle Database Vaultのインストール時に作成され、DVSYS
スキーマに対するほとんどの権限を有します。DV_ADMIN
ロール以外に、DV_OWNER
ロールは、GRANT ANY ROLE
、ADMINISTER DATABASE TRIGGER
およびALTER ANY TRIGGER
権限を持ちます。
DV_OWNER
ロールに関連付けられたシステム権限とオブジェクト権限の完全なリストを検索するには、データベース・インスタンスにログインし、次の問合せを入力します。
SELECT TABLE_NAME, OWNER, PRIVILEGE FROM DBA_TAB_PRIVS WHERE GRANTEE = 'DV_OWNER'; SELECT PRIVILEGE FROM DBA_SYS_PRIVS WHERE GRANTEE = 'DV_OWNER';
Oracle Database Vaultをインストールして登録すると、DV_OWNER
アカウントが作成されます。このロールを付与されたユーザーは、ADMIN
オプションも付与され、任意のOracle Database Vaultロール(DV_ACCTMGR
を除く)を任意のアカウントに付与できます。また、このロールを付与されたユーザーは、Oracle Database Vaultレポートの実行およびOracle Database Vaultの監視ができます。
ヒント:
DV_OWNER
ユーザーの別個の名前付きアカウントを作成することをお薦めします。これにより、ユーザーが使用できなくなった場合(退社した場合など)、このユーザー・アカウントを再作成して、このユーザーにDV_OWNER
ロールを付与できます。
DV_OWNERがGRANT操作とREVOKE操作に及ぼす影響
DV_OWNER
ロールを持つすべてのユーザーは、別のユーザーにDV_OWNER
およびDV_ADMIN
ロールを付与できます。
このロールを付与されたアカウントは、付与されたDatabase Vaultロールを別のアカウントから取り消すことができます。SYS
やSYSTEM
など、GRANT ANY ROLE
システム権限のみを持つ(直接またはロールを使用して間接的に付与された)アカウントには、他のデータベース・アカウントに対してDV_OWNER
ロールを付与する権限または取り消す権限がありません。また、DV_OWNER
ロールを持つユーザーは、DV_ACCTMGR
ロールの付与または取消しを実行できません。
DV_OWNERロールを持つユーザーのパスワード変更の管理
DV_OWNER
ロールを付与されている他のユーザーのパスワードを変更するには、あらかじめ、そのユーザー・アカウントからDV_OWNER
ロールを取り消しておく必要があります。
ただし、DV_OWNER
ロールの取消しには注意が必要です。サイトの少なくとも1人のユーザーに、このロールが付与されている必要があります。このロールが付与されている他のDV_OWNER
ユーザーのパスワードを変更する必要がある場合は、そのユーザーから一時的にDV_OWNER
を取り消すことができます。また、DV_OWNER
ロールを付与されているユーザーは、自分自身からロールを取り消さなくても、自分のパスワードを変更できます。
DV_OWNER
ユーザー・パスワードを変更するには、次のようにします。
DV_OWNER
ロールを付与されているアカウントを使用して、データベース・インスタンスにログインします。
パスワード変更が必要なユーザー・アカウントからDV_OWNER
ロールを取り消します。
DV_ACCTMGR
ロールを付与されているユーザーとして接続し、このユーザーのパスワードを変更します。
DV_OWNER
ユーザーとして接続し、DV_OWNER
ロールをパスワードを変更したユーザーに再び付与します。
Oracle Database Vaultセキュリティを無効にした場合のDV_OWNERステータス
すべてのOracle Database Vaultロールの保護は、Oracle Database Vaultが有効な場合のみ実施されます。
Oracle Database Vaultが無効になっている場合、GRANT ANY ROLE
システム権限を持つアカウントはすべて、保護対象のDatabase Vaultロールに対してGRANT
操作およびREVOKE
操作を実行できます。
関連項目:
Oracle Database Vaultの無効化および有効化については、「Oracle Database Vaultの無効化および有効化」を参照してください
DV_ADMIN
ロールはOracle Database VaultのPL/SQLパッケージを制御します。
これらのパッケージは、Oracle Enterprise Manager Cloud ControlでDatabase Vault Administratorユーザー・インタフェースの基礎となるインタフェースです。
DV_ADMINロールに関連付けられた権限
DV_ADMIN
ロールは、DVSYS
パッケージ(DBMS_MACADM
、DBMS_MACSECROLES
およびDBMS_MACUTL
)に対するEXECUTE
権限を保持します。
また、DV_ADMIN
にはDV_SECANALYST
ロールによって提供された機能が含まれるため、これを使用するとOracle Database Vaultレポートの実行やOracle Database Vaultの監視が可能になります。インストール中、DV_ADMIN
ロールがDV_OWNER
ロールにADMIN OPTION
付きで付与されます。
DV_ADMIN
ロールに関連付けられたシステム権限とオブジェクト権限の完全なリストを検索するには、十分な権限でデータベース・インスタンスにログインし、次の問合せを入力します。
SELECT TABLE_NAME, OWNER, PRIVILEGE FROM DBA_TAB_PRIVS WHERE GRANTEE = 'DV_ADMIN'; SELECT PRIVILEGE FROM DBA_SYS_PRIVS WHERE GRANTEE = 'DV_ADMIN';
DV_ADMINがGRANT操作とREVOKE操作に及ぼす影響
SYS
やSYSTEM
など、GRANT ANY ROLE
システム権限のみを持つアカウントには、他のデータベース・アカウントに対してDV_ADMIN
を付与する権限または取り消す権限がありません。
DV_OWNER
ロールを持つユーザーは、任意のデータベース・アカウントに対してこのロールを付与する、または取り消すことができます。
DV_ADMINロールを持つユーザーのパスワード変更の管理
DV_ADMIN
ロールを付与されているユーザーのパスワードを変更するには、あらかじめ、このアカウントからDV_ADMIN
ロールを取り消しておく必要があります。
DV_ADMIN
ロールを付与されているユーザーは、自分自身からロールを取り消さなくても、自分のパスワードを変更できます。
DV_ADMIN
ユーザー・パスワードを変更するには、次のようにします。
DV_OWNER
ロールを付与されているアカウントを使用して、データベース・インスタンスにログインします。
パスワード変更が必要なユーザー・アカウントからDV_ADMIN
ロールを取り消します。
DV_ACCTMGR
ロールを付与されているユーザーとして接続し、このユーザーのパスワードを変更します。
DV_OWNER
ユーザーとして接続し、DV_ADMIN
ロールをパスワードを変更したユーザーに再び付与します。
Oracle Database Vaultセキュリティを無効にした場合のDV_ADMINステータス
すべてのOracle Database Vaultロールの保護は、Oracle Database Vaultが有効な場合のみ実施されます。
Oracle Database Vaultが無効になっている場合、GRANT ANY ROLE
システム権限を持つアカウントはすべて、保護対象のDatabase Vaultロールに対してGRANT
操作およびREVOKE
操作を実行できます。
関連項目:
Oracle Database Vaultの無効化および有効化については、「Oracle Database Vaultの無効化および有効化」 を参照してください
DV_MONITOR
ロールはOracle Database Vaultを監視するために使用します。
注意:
この機能は、Oracle Database 12cリリース1 (12.1.0.2)で更新されています。
DV_MONITOR
ロールにより、Oracle Enterprise Manager Cloud Controlエージェントは、Oracle Database Vaultでレルムまたはコマンド・ルール定義に関する違反未遂および構成の問題を監視できます。
このロールにより、Cloud Controlでは、レルム定義およびコマンド・ルール定義を読み取ってデータベース間で伝播できます。
DV_MONITORロールに関連付けられた権限
DV_MONITOR
ロールに関連付けられているシステム権限はありませんが、SYS
オブジェクトとDVSYS
オブジェクトに対するSELECT
権限を持ちます。
DV_MONITOR
オブジェクト権限の完全なリストを検索するには、十分な権限(DV_OWNER
など)でデータベース・インスタンスにログインし、次の問合せを入力します。
SELECT TABLE_NAME, OWNER, PRIVILEGE FROM DBA_TAB_PRIVS WHERE GRANTEE = 'DV_MONITOR';
DV_MONITORがGRANT操作とREVOKE操作に及ぼす影響
デフォルトでは、DV_MONITOR
ロールはDV_OWNER
ロールおよびDBSNMP
ユーザーに付与されます。
DV_OWNER
ロールを付与されているユーザーのみ、別のユーザーに対してDV_MONITOR
ロールを付与する、または取り消すことができます。
Oracle Database Vaultセキュリティを無効にした場合のDV_MONITORステータス
すべてのOracle Database Vaultロールの保護は、Oracle Database Vaultが有効な場合のみ実施されます。
Oracle Database Vaultが無効になっている場合、GRANT ANY ROLE
システム権限を持つアカウントはすべて、保護対象のDatabase Vaultロールに対してGRANT
操作およびREVOKE
操作を実行できます。
DV_SECANALYST
ロールにより、ユーザーはアクティビティを分析できます。
注意:
この機能は、Oracle Database 12cリリース1 (12.1.0.2)で更新されています。
DV_SECANALYST
ロールを使用して、Oracle Database Vaultレポートの実行およびOracle Database Vaultの監視を行います。
このロールは、データベース関連のレポートにも使用されます。また、「Oracle Database Vaultのデータ・ディクショナリ・ビュー」 の説明にあるように、このロールを使用すると、DVSYS
ビューに問い合せることでDVSYS
構成をチェックできます。
DV_SECANALYSTロールに関連付けられた権限
DV_SECANALYST
ロールに関連付けられているシステム権限はありませんが、このロールには、DVSYS
およびDVF
に関連するエンティティについてレポートするために、DVSYS
スキーマ・オブジェクトと一部のSYS
およびSYSMAN
スキーマ・オブジェクトに対するSELECT
権限があります。
DV_SECANALYST
オブジェクト権限の完全なリストを検索するには、十分な権限でデータベース・インスタンスにログインし、次の問合せを入力します。
SELECT TABLE_NAME, OWNER, PRIVILEGE FROM DBA_TAB_PRIVS WHERE GRANTEE = 'DV_SECANALYST';
DV_SECANALYSTがGRANT操作とREVOKE操作に及ぼす影響
SYS
やSYSTEM
など、GRANT ANY ROLE
システム権限のみを持つアカウントには、他のデータベース・アカウントに対してこのロールを付与する権限または取り消す権限がありません。
DV_OWNER
ロールを持つユーザーのみ、他のユーザーに対してこのロールを付与する、または取り消すことができます。
Oracle Database Vaultセキュリティを無効にした場合のDV_SECANALYSTステータス
すべてのOracle Database Vaultロールの保護は、Oracle Database Vaultが有効な場合のみ実施されます。
Oracle Database Vaultが無効になっている場合、GRANT ANY ROLE
システム権限を持つアカウントはすべて、保護対象のDatabase Vaultロールに対してGRANT
操作およびREVOKE
操作を実行できます。
関連項目:
Oracle Database Vaultの無効化および有効化については、「Oracle Database Vaultの無効化および有効化」 を参照してください
DV_MONITOR
ロールはパージ操作のために使用します。
注意:
この機能は、Oracle Database 12cリリース1 (12.1.0.2)で更新されています。
非統合監査環境でDatabase Vault監査証跡のパージを担当するユーザーにDV_AUDIT_CLEANUP
ロールを付与します。
このロールを使用してパージ操作を完了する方法については、「Oracle Database Vault監査証跡のアーカイブおよびパージ」で説明します。
DV_AUDIT_CLEANUPロールに関連付けられた権限
DV_AUDIT_CLEANUP
ロールには、Database Vault関連の3つの監査ビューに対してSELECT
およびDELETE
権限があります。
DVSYS.AUDIT_TRAIL$
表に対するSELECT
およびDELETE
DVSYS.DV$ENFORCEMENT_AUDIT
ビューに対するSELECT
およびDELETE
DVSYS.DV$CONFIGURATION_AUDIT
ビューに対するSELECT
およびDELETE
DV_AUDIT_CLEANUPがGRANT操作とREVOKE操作に及ぼす影響
デフォルトでは、このロールは、ADMIN OPTION
付きのDV_OWNER
ロールに付与されます。
DV_OWNER
ロールを付与されているユーザーのみ、別のユーザーに対してDV_AUDIT_CLEANUP
ロールを付与する、または取り消すことができます。
Oracle Database Vaultセキュリティを無効にした場合のDV_AUDIT_CLEANUPステータス
すべてのOracle Database Vaultロールの保護は、Oracle Database Vaultが有効な場合のみ実施されます。
Oracle Database Vaultが無効になっている場合、GRANT ANY ROLE
システム権限を持つアカウントはすべて、保護対象のDatabase Vaultロールに対してGRANT
操作およびREVOKE
操作を実行できます。
関連項目:
Oracle Database Vaultの無効化および有効化については、「Oracle Database Vaultの無効化および有効化」 を参照してください
DV_DATAPUMP_NETWORK_LINK
ロールはData Pumpインポート操作のために使用します。
Oracle Database Vault環境でNETWORK_LINK
トランスポータブルData Pumpインポート操作の実行を担当するユーザーに、DV_DATAPUMP_NETWORK_LINK
ロールを付与します。
このロールを使用すると、Oracle Data PumpのNETWORK_LINK
トランスポータブル・インポート・プロセスをDatabase Vaultで厳格に制御できます。ただし、通常のOracle Data Pump操作を実行する方法は変更または制限されません。
DV_DATAPUMP_NETWORK_LINKロールに関連付けられた権限
DV_DATAPUMP_NETWORK_LINK
ロールに関連付けられているシステム権限はありませんが、DVSYS
オブジェクトに対するEXECUTE
権限を持ちます。
DV_DATAPUMP_NETWORK_LINK
オブジェクト権限の完全なリストを検索するには、十分な権限でデータベース・インスタンスにログインし、次の問合せを入力します。
SELECT TABLE_NAME, OWNER, PRIVILEGE FROM DBA_TAB_PRIVS WHERE GRANTEE = 'DV_DATAPUMP_NETWORK_LINK';
DV_DATAPUMP_NETWORK_LINK
ロールでは、NETWORK_LINK
トランスポータブルData Pumpインポート操作を実行するための十分なデータベース権限が提供されないことに注意してください。DV_DATAPUMP_NETWORK_LINK
ロールは、データベース管理者がOracle Database Vault環境でNETWORK_LINK
トランスポータブルData Pumpインポートを実行するための追加要件(Oracle Data Pumpで現在必要な権限を補うもの)です。
DV_DATAPUMP_NETWORK_LINKがGRANT操作とREVOKE操作に及ぼす影響
DV_OWNER
ロールを付与されているユーザーのみ、別のユーザーに対してDV_DATAPUMP_NETWORK_LINK
ロールを付与する、または取り消すことができます。
Oracle Database Vaultセキュリティを無効にした場合のDV_DATAPUMP_NETWORK_LINKステータス
すべてのOracle Databaseロールの保護は、Oracle Database Vaultが有効な場合のみ実施されます。
Oracle Database Vaultが無効になっている場合、GRANT ANY ROLE
システム権限を持つアカウントはすべて、保護対象のDatabase Vaultロールに対してGRANT
操作およびREVOKE
操作を実行できます。
関連項目:
Oracle Database Vaultの無効化および有効化については、「Oracle Database Vaultの無効化および有効化」を参照してください
DV_STREAMS_ADMIN
ロールはOracle Streamsとともに使用します。
DV_STREAMS_ADMIN
ロールを、Oracle Database Vault環境でOracle Streamsの構成を担当する任意のユーザーに付与します。
これにより、Oracle Streamsプロセスの管理をDatabase Vaultで厳格に制御できます。ただし、管理者が通常Oracle Streamsを管理する方法は変更または制限されません。
DV_STREAMS_ADMINロールに関連付けられた権限
DV_STREAMS_ADMIN
ロールに関連付けられているシステム権限はありませんが、DVSYS
オブジェクトに対するSELECT
権限を持ちます。
DV_STREAMS_ADMIN
オブジェクト権限の完全なリストを検索するには、十分な権限でデータベース・インスタンスにログインし、次の問合せを入力します。
SELECT TABLE_NAME, OWNER, PRIVILEGE FROM DBA_TAB_PRIVS WHERE GRANTEE = 'DV_STREAMS_ADMIN';
DV_STREAMS_ADMIN
ロールは、Oracle Streamsを構成するための十分なデータベース権限は提供しません。DV_STREAMS_ADMIN
ロールは、データベース管理者がOracle Database Vault環境でOracle Streamsを構成するための追加要件(Oracle Streamsで現在必要な権限を補うもの)です。
DV_STREAMS_ADMINがGRANT操作とREVOKE操作に及ぼす影響
DV_OWNER
ロールを付与されているユーザーのみ、別のユーザーに対してDV_STREAMS_ADMIN
ロールを付与する、または取り消すことができます。
Oracle Database Vaultセキュリティを無効にした場合のDV_STREAMS_ADMINステータス
すべてのOracle Databaseロールの保護は、Oracle Database Vaultが有効な場合のみ実施されます。
Oracle Database Vaultが無効になっている場合、GRANT ANY ROLE
システム権限を持つアカウントはすべて、保護対象のDatabase Vaultロールに対してGRANT
操作およびREVOKE
操作を実行できます。
関連項目:
Oracle Database Vaultの無効化および有効化については、「Oracle Database Vaultの無効化および有効化」を参照してください
DV_XSTREAM_ADMIN
ロールはOracle XStream用に使用します。
DV_XSTREAM_ADMIN
ロールを、Oracle Database Vault環境でOracle XStreamの構成を担当する任意のユーザーに付与します。
これにより、XStreamプロセスの管理をDatabase Vaultで厳格に制御できます。ただし、管理者が通常XStreamを管理する方法は変更または制限されません。
DV_XSTREAM_ADMINロールに関連付けられた権限
DV_XSTREAM_ADMIN
ロールに関連付けられた権限はありません。
DV_XSTREAM_ADMIN
ロールは、XStreamを構成するための十分なデータベース権限は提供しません。DV_XSTREAM_ADMIN
ロールは、データベース管理者がOracle Database Vault環境でXStreamを構成するための追加要件(XStreamで現在必要な権限を補うもの)です。
DV_XSTREAM_ADMINがGRANT操作とREVOKE操作に及ぼす影響
DV_OWNER
ロールを付与されているユーザーのみ、別のユーザーに対してDV_XSTREAM_ADMIN
ロールを付与する、または取り消すことができます。
Oracle Database Vaultセキュリティを無効にした場合のDV_XSTREAM_ADMINステータス
すべてのOracle Databaseロールの保護は、Oracle Database Vaultが有効な場合のみ実施されます。
Oracle Database Vaultが無効になっている場合、GRANT ANY ROLE
システム権限を持つアカウントはすべて、保護対象のDatabase Vaultロールに対してGRANT
操作およびREVOKE
操作を実行できます。
DV_GOLDENGATE_ADMIN
ロールはOracle GoldenGateとともに使用します。
thetoを、Oracle Database Vault環境でOracle GoldenGateの構成を担当する任意のユーザーに付与します。
これにより、Oracle GoldenGateプロセスの管理をDatabase Vaultで厳格に制御できます。ただし、管理者が通常Oracle GoldenGateを管理する方法は変更または制限されません。
DV_GOLDENGATE_ADMINロールに関連付けられた権限
DV_GOLDENGATE_ADMIN
ロールに関連付けられた権限はありません。
DV_GOLDENGATE_ADMIN
ロールは、Oracle GoldenGateを構成するための十分なデータベース権限は提供しません。正確には、DV_GOLDENGATE_ADMIN
ロールは、データベース管理者がOracle Database Vault環境でOracle GoldenGateを構成するための追加要件(Oracle GoldenGateで現在必要な権限を補うもの)です。
DV_GOLDENGATE_ADMINがGRANT操作とREVOKE操作に及ぼす影響
DV_OWNER
ロールを付与されているユーザーのみ、別のユーザーに対してDV_GOLDENGATE_ADMIN
ロールを付与する、または取り消すことができます。
Oracle Database Vaultセキュリティを無効にした場合のDV_GOLDENGATE_ADMINステータス
すべてのOracle Databaseロールの保護は、Oracle Database Vaultが有効な場合のみ実施されます。
Oracle Database Vaultが無効になっている場合、GRANT ANY ROLE
システム権限を持つアカウントはすべて、保護対象のDatabase Vaultロールに対してGRANT
操作およびREVOKE
操作を実行できます。
DV_GOLDENGATE_REDO_ACCESS
ロールはOracle GoldenGateとともに使用します。
DV_GOLDENGATE_REDO_ACCESS
ロールを、Oracle Database Vault環境でOracle GoldenGateのTRANLOGOPTIONS DBLOGREADER
メソッドの使用によるREDOログへのアクセスを担当する任意のユーザーに付与します。
これにより、Oracle GoldenGateプロセスの管理をDatabase Vaultで厳格に制御できます。ただし、管理者が通常Oracle GoldenGateを管理する方法は変更または制限されません。
DV_GOLDENGATE_REDO_ACCESSロールに関連付けられた権限
DV_GOLDENGATE_REDO_ACCESS
ロールに関連付けられた権限はありません。
DV_GOLDENGATE_REDO_ACCESS
ロールは、Oracle GoldenGateを構成するための十分なデータベース権限は提供しません。DV_GOLDENGATE_REDO_ACCESS
ロールは、データベース管理者がOracle Database Vault環境でOracle Streamsを構成するための追加要件(Oracle GoldenGateで現在必要な権限を補うもの)です。
DV_GOLDENGATE_REDO_ACCESSがGRANT操作とREVOKE操作に及ぼす影響
DV_GOLDENGATE_REDO_ACCESS
ロールをADMIN OPTION
付きで付与することはできません。
DV_OWNER
ロールを付与されているユーザーのみ、別のユーザーに対してDV_GOLDENGATE_REDO_ACCESS
ロールを付与する、または取り消すことができます。
Oracle Database Vaultセキュリティを無効にした場合のDV_GOLDENGATE_REDO_ACCESSステータス
すべてのOracle Databaseロールの保護は、Oracle Database Vaultが有効な場合のみ実施されます。
Oracle Database Vaultが無効になっている場合、GRANT ANY ROLE
システム権限を持つアカウントはすべて、保護対象のDatabase Vaultロールに対してGRANT
操作およびREVOKE
操作を実行できます。
DV_PATCH_ADMIN
ロールはパッチ操作のために使用します。
Database Vaultメタデータに指定された監査ポリシーやDatabase Vault統合監査ポリシーに従ってDatabase Vault関連のすべての監査レコードを生成するには、DV_PATCH_ADMIN
ロールを使用する前にDV_ADMIN
ロールが付与されたユーザーとしてDBMS_MACADM.ENABLE_DV_PATCH_ADMIN_AUDIT
プロシージャを実行します。
一時的に、DV_PATCH_ADMIN
ロールを、データベースのパッチ適用担当の任意のデータベース管理者に付与します。この管理者がパッチ操作を行う前に、DBMS_MACADM.ENABLE_DV_PATCH_ADMIN_AUDIT
プロシージャを実行します。このプロシージャでは、既存の監査構成に従って、DV_PATCH_ADMIN
ロールを付与されたユーザーによるアクションのレルム、コマンド・ルールおよびルール・セットの監査が可能になります。混合モード監査を使用する場合、このユーザーのアクションはAUDIT_TRAIL$
表に書き込まれます。純粋な統合監査が有効な場合、このユーザーのアクションを取得する統合監査ポリシーを作成する必要があります。
パッチ操作の完了後、データベース・パッチ操作の実行を担当するユーザーの監査をすぐに無効にしないでください。このように、DV_PATCH_ADMIN
ロール・ユーザーのアクションを追跡できます。下位互換性を確保するために、このタイプの監査はデフォルトで無効になっています。
DV_PATCH_ADMINロールに関連付けられた権限
DV_PATCH_ADMIN
ロールでは、保護されたデータにアクセスできません。
DV_PATCH_ADMIN
ロールは、オブジェクト権限やシステム権限を持たない特殊なDatabase Vaultロールです。Database Vaultが有効なデータベースに、データベース管理者またはユーザーSYS
がパッチを適用できるように(Database Vaultを無効にせずにデータベース・パッチを適用する場合など)設計されています。また、一部のパッチでは新しいスキーマを作成する必要があるため、データベース管理者はユーザーの作成も行うことができます。
DV_PATCH_ADMINがGRANT操作とREVOKE操作に及ぼす影響
DV_OWNER
ロールを持つユーザーのみ、他のユーザーに対してDV_PATCH_ADMIN
ロールを付与する、または取り消すことができます。
Oracle Database Vaultセキュリティを無効にした場合のDV_PATCH_ADMINステータス
すべてのOracle Databaseロールの保護は、Oracle Database Vaultが有効な場合のみ実施されます。
Oracle Database Vaultが無効になっている場合、GRANT ANY ROLE
システム権限を持つアカウントはすべて、保護対象のDatabase Vaultロールに対してGRANT
操作およびREVOKE
操作を実行できます。
関連項目:
統合監査ポリシーの作成については、『Oracle Databaseセキュリティ・ガイド』を参照してください
DV_ACCTMGR
ロールは強力なロールであり、アカウント管理のために使用します。
注意:
この機能は、Oracle Database 12cリリース1 (12.1.0.2)で更新されています。
DV_ACCTMGR
ロールを使用して、データベース・アカウントとデータベース・プロファイルの作成および管理を行います。このマニュアルでは、例のDV_ACCTMGR
ロールがbea_dvacctmgr
というユーザーに割り当てられます。
DV_ACCTMGRロールに関連付けられた権限
このロールを付与されているユーザーは、DV_SECANALYST
、DV_AUDIT_CLEANUP
およびDV_MONITOR
ロールを付与されているユーザーを含め、ユーザー・アカウントまたはプロファイルに対してCREATE
文、ALTER
文、DROP
文を使用できます。
このユーザーは、他のユーザーにCREATE SESSION
権限を付与することもできます。ただし、DV_ACCTMGR
ロールを付与されているユーザーは、次の操作は実行できません。
DVSYS
アカウントに対するALTER
文またはDROP
文
DV_ADMIN
またはDV_OWNER
ロールが付与されているユーザーに対するALTER
文またはDROP
文
DV_ADMIN
またはDV_OWNER
ロールが付与されているユーザーのパスワード変更
DV_ACCTMGR
ロールに関連付けられたシステム権限とオブジェクト権限の完全なリストを検索するには、十分な権限でデータベース・インスタンスにログインし、次の問合せを入力します。
SELECT TABLE_NAME, OWNER, PRIVILEGE FROM DBA_TAB_PRIVS WHERE GRANTEE = 'DV_ACCTMGR'; SELECT PRIVILEGE FROM DBA_SYS_PRIVS WHERE GRANTEE = 'DV_ACCTMGR';
ヒント:
DV_ACCTMGR
ユーザーが他のユーザーにANY
権限を付与または取り消せるようにする場合は、SYSDBA
権限を持つユーザーSYS
としてログインし、このユーザーにGRANT ANY PRIVILEGE
権限およびREVOKE ANY PRIVILEGE
権限を付与します。次に、このユーザーを所有者としてOracleシステム権限およびロール管理レルムに追加します。
DV_ACCTMGR
ユーザーに、別個の名前付きアカウントを作成することを検討してください。これにより、このユーザーがパスワードを忘れた場合、元のDV_ACCTMGR
アカウントとしてログインして、ユーザーのパスワードをリセットできます。それ以外の場合は、Oracle Database Vaultを無効にし、SYS
またはSYSTEM
としてログインしてパスワードを再作成し、Oracle Database Vaultを再び有効にする必要があります。
DV_ACCTMGRがGRANT操作とREVOKE操作に及ぼす影響
SYS
やSYSTEM
など、GRANT ANY ROLE
システム権限のみを持つアカウントには、他のデータベース・アカウントに対してこのロールを付与する権限または取り消す権限がありません。
DV_ACCTMGR
ロールおよびADMIN OPTION
を持つアカウントは、このロールを指定されたデータベース・アカウントに付与することも、他のアカウントからこのロールを取り消すこともできます。
Oracle Database Vaultセキュリティを無効にした場合のDV_ACCTMGRステータス
すべてのOracle Databaseロールの保護は、Oracle Database Vaultが有効な場合のみ実施されます。
Oracle Database Vaultが無効になっている場合、GRANT ANY ROLE
システム権限を持つアカウントはすべて、保護対象のDatabase Vaultロールに対してGRANT
操作およびREVOKE
操作を実行できます。
関連項目:
Oracle Database Vaultの無効化および有効化については、「Oracle Database Vaultの無効化および有効化」を参照してください
DV_REALM_OWNER
ロールはレルム管理のために使用します。
DV_REALM_OWNER
ロールを使用して、レルムを定義する複数のスキーマ内のデータベース・オブジェクトを管理します。
このロールを、レルムとそれに関連付けられたロール内の1つ以上のスキーマ・データベース・アカウントを管理するデータベース・アカウントに付与します。
DV_REALM_OWNERロールに関連付けられた権限
このロールを付与されているユーザーは、CREATE ANY
、ALTER ANY
、DROP ANY
などの強力なシステム権限をレルム内で使用できます。
ただし、これらの権限を使用するには、このユーザーをレルムの参加者または所有者にする必要があります。手順については、「レルム認可について」を参照してください。
DV_REALM_OWNER
ロールにはオブジェクト権限は付与されていませんが、いくつかのシステム権限が付与されています。DV_REALM_OWNER
システム権限の完全なリストを検索するには、十分な権限でデータベース・インスタンスにログインし、次の問合せを入力します。
SELECT PRIVILEGE FROM DBA_SYS_PRIVS WHERE GRANTEE = 'DV_REALM_OWNER';
DV_REALM_OWNERがGRANT操作とREVOKE操作に及ぼす影響
Oracleシステム権限およびロール管理レルムのレルム所有者(SYS
など)は、このロールを、指定された任意のデータベース・アカウントまたはロールに付与できます。
このロールには強力なシステム権限がありますが、Oracle Database Vaultのロール(DV_OWNER
またはDV_ADMIN
ロールなど)はないことに注意してください。
このロールを特定のレルムに関連付ける場合は、アカウントまたは業務関連のロールに割り当てた後、そのアカウントまたはロールをレルムで認可します。
Oracle Database Vaultセキュリティを無効にした場合のDV_REALM_OWNERステータス
すべてのOracle Databaseロールの保護は、Oracle Database Vaultが有効な場合のみ実施されます。
Oracle Database Vaultが無効になっている場合、GRANT ANY ROLE
システム権限を持つアカウントはすべて、保護対象のDatabase Vaultロールに対してGRANT
操作およびREVOKE
操作を実行できます。
関連項目:
Oracle Database Vaultの無効化および有効化については、「Oracle Database Vaultの無効化および有効化」を参照してください
DV_REALM_RESOURCE
ロールはレルム・リソースの管理のために使用します。
DV_REALM_RESOURCE
ロールは、レルムで一般に使用される表、ビュー、トリガー、シノニムおよびその他のオブジェクトの作成などの操作に使用します。
DV_REALM_RESOURCEロールに関連付けられた権限
DV_REALM_RESOURCE
ロールには、OracleのRESOURCE
ロールと同じシステム権限があります。さらに、CREATE SYNONYM
とCREATE VIEW
の両方がこのロールに付与されます。
DV_REALM_RESOURCE
ロールにはオブジェクト権限は付与されていませんが、いくつかのシステム権限が付与されています。DV_REALM_RESOURCE
システム権限の完全なリストを検索するには、十分な権限でデータベース・インスタンスにログインし、次の問合せを入力します。
SELECT PRIVILEGE FROM DBA_SYS_PRIVS WHERE GRANTEE = 'DV_REALM_RESOURCE';
このロールには強力なシステム権限がありますが、Oracle Database Vaultのロール(DV_OWNER
またはDV_ADMIN
ロールなど)はありません。
DV_REALM_RESOURCEがGRANT操作とREVOKE操作に及ぼす影響
DV_REALM_RESOURCE
ロールは、任意のデータベース・アプリケーションのサポートに使用されるデータベース表、オブジェクト、トリガー、ビュー、プロシージャなどを所有するデータベース・アカウントに付与できます。
これは、スキーマ・タイプのデータベース・アカウントを対象としたロールです。Oracleシステム権限およびロール管理レルムのレルム所有者(SYS
など)は、このロールを、任意のデータベース・アカウントまたはロールに付与できます。
Oracle Database Vaultセキュリティを無効にした場合のDV_REALM_RESOURCEステータス
すべてのOracle Databaseロールの保護は、Oracle Database Vaultが有効な場合のみ実施されます。
Oracle Database Vaultが無効になっている場合、GRANT ANY ROLE
システム権限を持つアカウントはすべて、保護対象のDatabase Vaultロールに対してGRANT
操作およびREVOKE
操作を実行できます。
関連項目:
Oracle Database Vaultの無効化および有効化については、「Oracle Database Vaultの無効化および有効化」を参照してください
登録プロセス時には、Oracle Database Vault所有者とOracle Database Vaultアカウント・マネージャ用のアカウントを作成する必要があります。
Oracle Database Vault所有者アカウントのアカウント名およびパスワードは、インストール時に指定する必要があります。Oracle Database Vaultアカウント・マネージャの作成はオプションですが、より適切な業務分離のためにお薦めします。
Oracle Database Vault所有者アカウントには、DV_OWNER
ロールが付与されます。このアカウントは、Oracle Database Vaultのロールおよび構成を管理できます。(このロールの詳細は、「DV_OWNER Database Vault所有者ロール」を参照)。
Oracle Database Vaultアカウント・マネージャ・アカウントには、DV_ACCTMGR
ロールが付与されます。このアカウントは、データベース・ユーザー・アカウントを管理して職務分離をしやすくするために使用されます。(このロールの詳細は、「DV_ACCTMGR Database Vaultアカウント・マネージャ・ロール」を参照)。
インストール時にOracle Database Vaultアカウント・マネージャ・アカウントを作成しない場合、DV_OWNER
とDV_ACCTMGR
の両方のロールがOracle Database Vault所有者ユーザー・アカウントに付与されます。
表12-2に、インストール時に作成するアカウントの他に必要なOracle Database Vaultデータベース・アカウントを示します。
表12-2 Oracle Database Vaultで使用されるデータベース・アカウント
データベース・アカウント | ロールおよび権限 | 説明 |
---|---|---|
|
いくつかのシステム権限およびオブジェクト権限がOracle Database Vaultをサポートするために用意されています。このアカウントでセッションを作成する権限は、インストールの最後に取り消され、アカウントはロックされます。 |
Oracle Database Vaultのスキーマおよび関連オブジェクトの所有者 |
|
限定されたシステム権限がOracle Database Vaultをサポートするために用意されています。このアカウントでセッションを作成する権限は、インストールの最後に取り消され、アカウントはロックされます。 |
ファクタ・アイデンティティを取得するために作成されるOracle Database Vaultのファンクションの所有者 |
|
このアカウントは、Oracle Universal Installerのカスタム・インストール・オプションを使用してOracle Label Securityをインストールすると作成されます。(Oracle Database Vaultのインストール時には作成されません。)このアカウントは削除または再作成しないでください。 ファクタとOracle Label Securityポリシーを統合する場合、このファクタを使用するレルムの所有者としてこのユーザーを割り当てる必要があります。詳細は、「Oracle Label SecurityポリシーでのOracle Database Vaultファクタの使用方法」を参照してください。 |
Oracle Label Securityのスキーマの所有者 |
Oracle Database Vaultの職務分離要件を満たすために別のデータベース・アカウントを作成できます。表12-3に、指針となるモデル・データベース・アカウントの一部を示します。(表12-3に示すアカウントは、Oracle Database Vaultロールの実装の指針となります。これらは、インストール時に作成される実際のアカウントではありません。)
表12-3 Oracle Database Vaultのモデル・データベース・アカウント
データベース・アカウント | ロールおよび権限 | 説明 |
---|---|---|
|
|
Oracle Database Vaultレルムのレルム所有者になるアカウント。このアカウントの機能は次のとおりです。
|
|
|
データベース・アカウントおよびプロファイルを管理するためのアカウント。このアカウントの機能は次のとおりです。
注意: このアカウントでは、ロールの作成、および |
|
|
アクセス制御管理者として機能するアカウント。このアカウントの機能は次のとおりです。
注意: このアカウントでは、 |
|
|
Oracle Database Vaultレポートを実行するためのアカウント |
関連項目:
エンタープライズ・ユーザー・アカウントとしてのDatabase Vaultアカウントの構成については、「Oracle Database Vaultアカウントをエンタープライズ・ユーザー・アカウントとして構成」を参照してください
DV_OWNER
およびDV_ACCTMGR
アカウントのバックアップ・アカウントの保持の重要性については、「バックアップOracle Database Vaultアカウント」を参照してください
ベスト・プラクティスとして、DV_OWNER
ロールとDV_ACCTMGR
ロールのバックアップ・アカウントを保持することをお薦めします。
Oracle Database Vault登録プロセスでは、DV_OWNER
ロールとDV_ACCTMGR
ロールの日常用アカウントとバックアップ・アカウントの作成が必要となります。これらのロールのいずれかを付与されているユーザーが自分のパスワードを忘れた場合や組織を退職した場合に備えた安全対策として、これらのアカウントを保持し続ける必要があります。それにより、バックアップ・アカウントにログインして、パスワードの回復や新しいアカウントへのロールの付与が可能です。これらは、特権アカウント管理または組織のブレークグラス(または非常時パスワード回復)システムで安全を確保されているバックアップ・アカウントとしてのみ使用する必要があります。
Oracle Database Vaultで実装されている強力な職務分離により、DV_OWNER
アカウントにアクセスできなくなった場合はデータベースの再構築が必要になります。SYS
アカウントは、DV_OWNER
アカウントをオーバーライドできません。
関連項目:
DV_OWNER
またはDV_ACCTMGR
を付与されているユーザーが紛失したパスワードのリセットについては、Oracle Database Vaultアカウントのパスワードのリセットを参照してください