| Oracle® Database Vault管理者ガイド 12cリリース1 (12.1) B71286-08 |
|
 前 |
 次 |
Oracle Database Vaultには、Database Vaultオブジェクトが含まれるスキーマや、特定のタスクの職務分離を提供するロール、およびデフォルト・ユーザーのアカウントが用意されています。
内容は次のとおりです。
Oracle Database VaultスキーマのDVSYSとDVFは、Oracle Database Vaultの管理と実行時処理をサポートします。
DVSYSとDVFには以下が含まれます。
DVSYSスキーマには、Oracle Database Vaultのデータベース・オブジェクトが含まれます。
これらのオブジェクトはOracle Database Vaultの構成情報を保存し、Oracle Database Vaultの管理と実行時処理をサポートします。
デフォルト・インストールでは、DVSYSスキーマはロックされています。DVSYSスキーマは、AUDIT_TRAIL$表も所有します。
マルチテナント・データベース環境で、DVSYSスキーマは共通スキーマとみなされます(すなわち、DVSYS内のオブジェクト(表、ビュー、PL/SQLパッケージなど)は任意の子プラガブル・データベース(PDB)で自動的に利用できます)。また、DVSYSスキーマ・アカウントは、ALTER SESSION文を使用して他のコンテナに切り替えることはできません。
Oracle Database Vaultでは、保護スキーマ設計を使用してDVSYSスキーマを保護します。保護スキーマ設計により、スキーマはシステム権限(SELECT ANY TABLE、CREATE ANY VIEW、DROP ANYなど)の不正使用から保護されます。
DVSYSスキーマは、Oracle Database Vaultによって次のように保護されます。
DVSYS保護スキーマとその管理ロールは削除できません。デフォルトで、DVSYSアカウントはロックされています。
デフォルトでは、ユーザーはDVSYSアカウントに直接ログインできません。ユーザーがこのアカウントに直接ログインできるように制御するには、DBMS_MACADM.DISABLE_DV_DICTIONARY_ACCTSプロシージャを実行してユーザーがログインできないようにして、DBMS_MACADM.ENABLE_DV_DICTIONARY_ACCTSプロシージャを実行してログインを許可します。
CREATE USER、ALTER USER、DROP USER、CREATE PROFILE、ALTER PROFILE、DROP PROFILEなどの文は、DV_ACCTMGRロールを持つユーザーのみが発行できます。SYSDBA管理権限でログインしたユーザーは、「アカウント/プロファイルを保守可能」ルール・セットを変更して許可された場合のみこれらの文を発行できます。
データベース定義言語(DDL)およびデータ操作言語(DML)のコマンドに対する強力なANYシステム権限は、保護スキーマではブロックされます。つまり、DVSYSスキーマのオブジェクトは、スキーマ・アカウント自体によって作成される必要があります。また、スキーマ・オブジェクトへのアクセスは、オブジェクト権限の付与により認可される必要があります。
DVSYSスキーマのオブジェクト権限は、スキーマのDatabase Vault管理ロールにのみ付与できます。つまり、ユーザーは、事前定義済管理ロールによってのみ保護スキーマにアクセスできます。
スキーマのDatabase Vault事前定義済管理ロールに対してALTER ROLE文を発行できるのは、保護されたスキーマ・アカウントDVSYSのみです。Oracle Database Vaultの事前定義済管理ロールの詳細は、「Oracle Database Vaultのロール」で説明します。
SQL文の実行に、SYS.DBMS_SYS_SQL.PARSE_AS_USERプロシージャを保護スキーマDVSYSのかわりに使用することはできません。
注意:
データベース・ユーザーは、Oracle Database Vaultの管理ロール(たとえばDV_ADMINおよびDV_OWNER)に、追加のオブジェクト権限およびロールを付与できます。ただし、付与に十分な権限がある場合にかぎります。
DVFスキーマは、Oracle Database Vault DBMS_MACSEC_FUNCTION PL/SQLパッケージの所有者です。
このパッケージには、ファクタ・アイデンティティを取得するファンクションが含まれています。Oracle Database Vaultのインストール後、DVFアカウントをより確実に保護するために、このアカウントがインストール処理によってロックされます。新しいファクタを作成すると、Oracle Database Vaultでそのファクタの取得ファンクションが新たに作成され、このスキーマに保存されます。
マルチテナント環境で、DVFユーザーはALTER SESSION文を使用して他のコンテナに切り替えることはできません。
デフォルトでは、ユーザーはDVFアカウントに直接ログインできません。ユーザーがこのアカウントに直接ログインできるように制御するには、DBMS_MACADM.DISABLE_DV_DICTIONARY_ACCTSプロシージャを実行してユーザーがログインできないようにして、DBMS_MACADM.ENABLE_DV_DICTIONARY_ACCTSプロシージャを実行してログインを許可します。
Oracle Database Vaultには、特定のユーザー・タスクに基づく、職務分離の概念に従ったデフォルト・ロールが用意されています。
内容は次のとおりです。
Oracle Database Vaultには、Oracle Database Vaultの管理に必要な一連のロールが用意されています。
図12-1は、これらのロールがデータベース内の職務分離の第1段階を実現するために設計されていることを示しています。これらのロールをどのように使用するかは、会社の要件によって異なります。
注意:
追加のオブジェクト権限およびロールをOracle Database Vaultロールに付与して、権限の範囲を拡大できます。たとえば、SYSDBA管理権限でログインしたユーザーは、オブジェクトがDVSYSスキーマまたはレルムにないかぎり、オブジェクト権限をOracle Database Vaultロールに付与できます。
関連項目:
ロール管理の一般的なガイドラインについては、『Oracle Databaseセキュリティ・ガイド』を参照してください
Oracle Database Vaultのロールは、職務分離の利点が最大限に高まるよう設計されています。
DV_PATCH_ADMIN、DV_STREAMS_ADMIN、DV_XSTREAM、DV_GOLDENGATE_ADMIN、およびDV_GOLDENGATE_REDO_ACCESSロールは、システム権限がないため、次の表には含まれていません。
表12-1に、Oracle Database Vaultロールで使用できる権限をまとめています。
表12-1 Oracle Database Vaultロールの権限
| 権限 | DV_OWNER | DV_ADMIN | DV_MONITOR | DV_SECANALYST | DV_ACCTMGR | DV_REALM_OWNER | DV_REALM_RESOURCE | DV_PUBLIC | DV_AUDIT_CLEANUP |
|---|---|---|---|---|---|---|---|---|---|
|
あり脚注1 |
あり脚注2 |
なし |
なし |
なし |
なし |
なし |
なし |
なし |
|
あり |
あり |
あり |
あり(一部のDatabase Vaultビュー)脚注3 |
なし |
なし |
なし |
なし脚注4 |
あり(一部のDatabase Vault表およびビュー)脚注5 |
|
あり(一部のDatabase Vault表およびビュー)脚注6 |
なし |
なし |
なし |
なし |
なし |
なし |
なし |
あり(一部のDatabase Vault表およびビュー)脚注7 |
|
なし |
なし |
なし |
なし |
なし |
なし |
なし |
なし |
なし |
|
あり |
なし |
なし |
なし |
なし |
なし |
なし |
なし |
なし |
|
あり |
なし |
なし |
あり |
なし |
なし |
なし |
なし |
なし |
Database Vaultの監視 |
あり |
あり |
あり |
あり |
なし |
なし |
なし |
なし |
なし |
Database Vaultレポートの実行 |
あり |
あり |
なし |
あり |
なし |
なし |
なし |
なし |
なし |
|
あり |
なし |
あり |
あり( |
なし |
なし |
なし |
なし |
なし |
|
あり(一部) |
なし |
なし |
あり(一部) |
なし |
なし |
なし |
なし |
なし |
|
なし |
なし |
なし |
なし |
あり |
なし |
なし |
なし |
なし |
レルムを定義するスキーマ内のオブジェクトの管理脚注9 |
なし |
なし |
なし |
なし |
なし |
あり脚注10 |
なし |
なし |
なし |
|
なし |
なし |
なし |
なし |
なし |
なし |
あり |
なし |
なし |
脚注1
すべてのOracle Database Vault PL/SQLパッケージに対するEXECUTE権限が含まれます。
脚注2
すべてのOracle Database Vault PL/SQLパッケージに対するEXECUTE権限が含まれます。
脚注3
DV_SECANALYSTは、Oracle Database Vaultで提供されるビューを使用した場合のみ、DVSYSスキーマ・オブジェクトに問合せできます。
脚注4
DV_PUBLICは、Oracle Database Vaultで提供されるビューを使用した場合のみ、DVSYSスキーマ・オブジェクトに問合せできます。
脚注5
DV_AUDIT_CLEANUPは、AUDIT_TRAIL$表、DV$ENFORCEMENT_AUDITビューおよびDV$CONFIGURATION_AUDITビューでSELECT文を実行できます。
脚注6
DV_AUDIT_CLEANUPは、AUDIT_TRAIL$表、DV$ENFORCEMENT_AUDITビューおよびDV$CONFIGURATION_AUDITビューでDELETE文を実行できます。
脚注7
DV_AUDIT_CLEANUPは、AUDIT_TRAIL$表、DV$ENFORCEMENT_AUDITビューおよびDV$CONFIGURATION_AUDITビューでDELETE文を実行できます。
脚注8
この権限には、DVSYSアカウントの削除や変更、およびDVSYSパスワードの変更のための権限は含まれません。
脚注9
この権限には、CREATE ANY、ALTER ANY、およびDROP ANYなどのANY権限が含まれます。
脚注10
このロールがあるユーザーは、システム権限を実行するには、レルム参加者またはレルム所有者である必要もあります。
脚注11
RESOURCEロールは、CREATE CLUSTER、CREATE INDEXTYPE、CREATE OPERATOR、CREATE PROCEDURE、CREATE SEQUENCE、CREATE TABLE、CREATE TRIGGER、CREATE TYPEといったシステム権限を提供します。
DV_OWNERロールでは、Oracle Database Vaultロールおよびその構成を管理できます。
『Oracle Database Vault管理者ガイド』では、このロールを使用するサンプル・アカウントはleo_dvownerです。
DV_OWNERロールに関連付けられた権限
DV_OWNERロールには、DV_ADMINロールによって提供される管理機能とDV_SECANALYSTロールによって提供されるレポート機能が含まれます。
このロールには、Oracle Database Vaultを監視する権限も備わっています。Oracle Database Vaultのインストール時に作成され、DVSYSスキーマに対するほとんどの権限を有します。DV_ADMINロール以外に、DV_OWNERロールは、GRANT ANY ROLE、ADMINISTER DATABASE TRIGGERおよびALTER ANY TRIGGER権限を持ちます。
DV_OWNERロールに関連付けられたシステム権限とオブジェクト権限の完全なリストを検索するには、データベース・インスタンスにログインし、次の問合せを入力します。
SELECT TABLE_NAME, OWNER, PRIVILEGE FROM DBA_TAB_PRIVS WHERE GRANTEE = 'DV_OWNER'; SELECT PRIVILEGE FROM DBA_SYS_PRIVS WHERE GRANTEE = 'DV_OWNER';
Oracle Database Vaultをインストールして登録すると、DV_OWNERアカウントが作成されます。このロールを付与されたユーザーは、ADMINオプションも付与され、任意のOracle Database Vaultロール(DV_ACCTMGRを除く)を任意のアカウントに付与できます。また、このロールを付与されたユーザーは、Oracle Database Vaultレポートの実行およびOracle Database Vaultの監視ができます。
ヒント:
DV_OWNERユーザーの別個の名前付きアカウントを作成することをお薦めします。これにより、ユーザーが使用できなくなった場合(退社した場合など)、このユーザー・アカウントを再作成して、このユーザーにDV_OWNERロールを付与できます。
DV_OWNERがGRANT操作とREVOKE操作に及ぼす影響
DV_OWNERロールを持つすべてのユーザーは、別のユーザーにDV_OWNERおよびDV_ADMINロールを付与できます。
このロールを付与されたアカウントは、付与されたDatabase Vaultロールを別のアカウントから取り消すことができます。SYSやSYSTEMなど、GRANT ANY ROLEシステム権限のみを持つ(直接またはロールを使用して間接的に付与された)アカウントには、他のデータベース・アカウントに対してDV_OWNERロールを付与する権限または取り消す権限がありません。また、DV_OWNERロールを持つユーザーは、DV_ACCTMGRロールの付与または取消しを実行できません。
DV_OWNERロールを持つユーザーのパスワード変更の管理
DV_OWNERロールを付与されている他のユーザーのパスワードを変更するには、あらかじめ、そのユーザー・アカウントからDV_OWNERロールを取り消しておく必要があります。
ただし、DV_OWNERロールの取消しには注意が必要です。サイトの少なくとも1人のユーザーに、このロールが付与されている必要があります。このロールが付与されている他のDV_OWNERユーザーのパスワードを変更する必要がある場合は、そのユーザーから一時的にDV_OWNERを取り消すことができます。また、DV_OWNERロールを付与されているユーザーは、自分自身からロールを取り消さなくても、自分のパスワードを変更できます。
DV_OWNERユーザー・パスワードを変更するには、次のようにします。
DV_OWNERロールを付与されているアカウントを使用して、データベース・インスタンスにログインします。
パスワード変更が必要なユーザー・アカウントからDV_OWNERロールを取り消します。
DV_ACCTMGRロールを付与されているユーザーとして接続し、このユーザーのパスワードを変更します。
DV_OWNERユーザーとして接続し、DV_OWNERロールをパスワードを変更したユーザーに再び付与します。
Oracle Database Vaultセキュリティを無効にした場合のDV_OWNERステータス
すべてのOracle Database Vaultロールの保護は、Oracle Database Vaultが有効な場合のみ実施されます。
Oracle Database Vaultが無効になっている場合、GRANT ANY ROLEシステム権限を持つアカウントはすべて、保護対象のDatabase Vaultロールに対してGRANT操作およびREVOKE操作を実行できます。
関連項目:
Oracle Database Vaultの無効化および有効化については、「Oracle Database Vaultの無効化および有効化」を参照してください
DV_ADMINロールはOracle Database VaultのPL/SQLパッケージを制御します。
これらのパッケージは、Oracle Enterprise Manager Cloud ControlでDatabase Vault Administratorユーザー・インタフェースの基礎となるインタフェースです。
DV_ADMINロールに関連付けられた権限
DV_ADMINロールは、DVSYSパッケージ(DBMS_MACADM、DBMS_MACSECROLESおよびDBMS_MACUTL)に対するEXECUTE権限を保持します。
また、DV_ADMINにはDV_SECANALYSTロールによって提供された機能が含まれるため、これを使用するとOracle Database Vaultレポートの実行やOracle Database Vaultの監視が可能になります。インストール中、DV_ADMINロールがDV_OWNERロールにADMIN OPTION付きで付与されます。
DV_ADMINロールに関連付けられたシステム権限とオブジェクト権限の完全なリストを検索するには、十分な権限でデータベース・インスタンスにログインし、次の問合せを入力します。
SELECT TABLE_NAME, OWNER, PRIVILEGE FROM DBA_TAB_PRIVS WHERE GRANTEE = 'DV_ADMIN'; SELECT PRIVILEGE FROM DBA_SYS_PRIVS WHERE GRANTEE = 'DV_ADMIN';
DV_ADMINがGRANT操作とREVOKE操作に及ぼす影響
SYSやSYSTEMなど、GRANT ANY ROLEシステム権限のみを持つアカウントには、他のデータベース・アカウントに対してDV_ADMINを付与する権限または取り消す権限がありません。
DV_OWNERロールを持つユーザーは、任意のデータベース・アカウントに対してこのロールを付与する、または取り消すことができます。
DV_ADMINロールを持つユーザーのパスワード変更の管理
DV_ADMINロールを付与されているユーザーのパスワードを変更するには、あらかじめ、このアカウントからDV_ADMINロールを取り消しておく必要があります。
DV_ADMINロールを付与されているユーザーは、自分自身からロールを取り消さなくても、自分のパスワードを変更できます。
DV_ADMINユーザー・パスワードを変更するには、次のようにします。
DV_OWNERロールを付与されているアカウントを使用して、データベース・インスタンスにログインします。
パスワード変更が必要なユーザー・アカウントからDV_ADMINロールを取り消します。
DV_ACCTMGRロールを付与されているユーザーとして接続し、このユーザーのパスワードを変更します。
DV_OWNERユーザーとして接続し、DV_ADMINロールをパスワードを変更したユーザーに再び付与します。
Oracle Database Vaultセキュリティを無効にした場合のDV_ADMINステータス
すべてのOracle Database Vaultロールの保護は、Oracle Database Vaultが有効な場合のみ実施されます。
Oracle Database Vaultが無効になっている場合、GRANT ANY ROLEシステム権限を持つアカウントはすべて、保護対象のDatabase Vaultロールに対してGRANT操作およびREVOKE操作を実行できます。
関連項目:
Oracle Database Vaultの無効化および有効化については、「Oracle Database Vaultの無効化および有効化」 を参照してください
DV_MONITORロールはOracle Database Vaultを監視するために使用します。
注意:
この機能は、Oracle Database 12cリリース1 (12.1.0.2)で更新されています。
DV_MONITORロールにより、Oracle Enterprise Manager Cloud Controlエージェントは、Oracle Database Vaultでレルムまたはコマンド・ルール定義に関する違反未遂および構成の問題を監視できます。
このロールにより、Cloud Controlでは、レルム定義およびコマンド・ルール定義を読み取ってデータベース間で伝播できます。
DV_MONITORロールに関連付けられた権限
DV_MONITORロールに関連付けられているシステム権限はありませんが、SYSオブジェクトとDVSYSオブジェクトに対するSELECT権限を持ちます。
DV_MONITORオブジェクト権限の完全なリストを検索するには、十分な権限(DV_OWNERなど)でデータベース・インスタンスにログインし、次の問合せを入力します。
SELECT TABLE_NAME, OWNER, PRIVILEGE FROM DBA_TAB_PRIVS WHERE GRANTEE = 'DV_MONITOR';
DV_MONITORがGRANT操作とREVOKE操作に及ぼす影響
デフォルトでは、DV_MONITORロールはDV_OWNERロールおよびDBSNMPユーザーに付与されます。
DV_OWNERロールを付与されているユーザーのみ、別のユーザーに対してDV_MONITORロールを付与する、または取り消すことができます。
Oracle Database Vaultセキュリティを無効にした場合のDV_MONITORステータス
すべてのOracle Database Vaultロールの保護は、Oracle Database Vaultが有効な場合のみ実施されます。
Oracle Database Vaultが無効になっている場合、GRANT ANY ROLEシステム権限を持つアカウントはすべて、保護対象のDatabase Vaultロールに対してGRANT操作およびREVOKE操作を実行できます。
DV_SECANALYSTロールにより、ユーザーはアクティビティを分析できます。
注意:
この機能は、Oracle Database 12cリリース1 (12.1.0.2)で更新されています。
DV_SECANALYSTロールを使用して、Oracle Database Vaultレポートの実行およびOracle Database Vaultの監視を行います。
このロールは、データベース関連のレポートにも使用されます。また、「Oracle Database Vaultのデータ・ディクショナリ・ビュー」 の説明にあるように、このロールを使用すると、DVSYSビューに問い合せることでDVSYS構成をチェックできます。
DV_SECANALYSTロールに関連付けられた権限
DV_SECANALYSTロールに関連付けられているシステム権限はありませんが、このロールには、DVSYSおよびDVFに関連するエンティティについてレポートするために、DVSYSスキーマ・オブジェクトと一部のSYSおよびSYSMANスキーマ・オブジェクトに対するSELECT権限があります。
DV_SECANALYSTオブジェクト権限の完全なリストを検索するには、十分な権限でデータベース・インスタンスにログインし、次の問合せを入力します。
SELECT TABLE_NAME, OWNER, PRIVILEGE FROM DBA_TAB_PRIVS WHERE GRANTEE = 'DV_SECANALYST';
DV_SECANALYSTがGRANT操作とREVOKE操作に及ぼす影響
SYSやSYSTEMなど、GRANT ANY ROLEシステム権限のみを持つアカウントには、他のデータベース・アカウントに対してこのロールを付与する権限または取り消す権限がありません。
DV_OWNERロールを持つユーザーのみ、他のユーザーに対してこのロールを付与する、または取り消すことができます。
Oracle Database Vaultセキュリティを無効にした場合のDV_SECANALYSTステータス
すべてのOracle Database Vaultロールの保護は、Oracle Database Vaultが有効な場合のみ実施されます。
Oracle Database Vaultが無効になっている場合、GRANT ANY ROLEシステム権限を持つアカウントはすべて、保護対象のDatabase Vaultロールに対してGRANT操作およびREVOKE操作を実行できます。
関連項目:
Oracle Database Vaultの無効化および有効化については、「Oracle Database Vaultの無効化および有効化」 を参照してください
DV_MONITORロールはパージ操作のために使用します。
注意:
この機能は、Oracle Database 12cリリース1 (12.1.0.2)で更新されています。
非統合監査環境でDatabase Vault監査証跡のパージを担当するユーザーにDV_AUDIT_CLEANUPロールを付与します。
このロールを使用してパージ操作を完了する方法については、「Oracle Database Vault監査証跡のアーカイブおよびパージ」で説明します。
DV_AUDIT_CLEANUPロールに関連付けられた権限
DV_AUDIT_CLEANUPロールには、Database Vault関連の3つの監査ビューに対してSELECTおよびDELETE権限があります。
DVSYS.AUDIT_TRAIL$表に対するSELECTおよびDELETE
DVSYS.DV$ENFORCEMENT_AUDITビューに対するSELECTおよびDELETE
DVSYS.DV$CONFIGURATION_AUDITビューに対するSELECTおよびDELETE
DV_AUDIT_CLEANUPがGRANT操作とREVOKE操作に及ぼす影響
デフォルトでは、このロールは、ADMIN OPTION付きのDV_OWNERロールに付与されます。
DV_OWNERロールを付与されているユーザーのみ、別のユーザーに対してDV_AUDIT_CLEANUPロールを付与する、または取り消すことができます。
Oracle Database Vaultセキュリティを無効にした場合のDV_AUDIT_CLEANUPステータス
すべてのOracle Database Vaultロールの保護は、Oracle Database Vaultが有効な場合のみ実施されます。
Oracle Database Vaultが無効になっている場合、GRANT ANY ROLEシステム権限を持つアカウントはすべて、保護対象のDatabase Vaultロールに対してGRANT操作およびREVOKE操作を実行できます。
関連項目:
Oracle Database Vaultの無効化および有効化については、「Oracle Database Vaultの無効化および有効化」 を参照してください
DV_DATAPUMP_NETWORK_LINKロールはData Pumpインポート操作のために使用します。
Oracle Database Vault環境でNETWORK_LINKトランスポータブルData Pumpインポート操作の実行を担当するユーザーに、DV_DATAPUMP_NETWORK_LINKロールを付与します。
このロールを使用すると、Oracle Data PumpのNETWORK_LINKトランスポータブル・インポート・プロセスをDatabase Vaultで厳格に制御できます。ただし、通常のOracle Data Pump操作を実行する方法は変更または制限されません。
DV_DATAPUMP_NETWORK_LINKロールに関連付けられた権限
DV_DATAPUMP_NETWORK_LINKロールに関連付けられているシステム権限はありませんが、DVSYSオブジェクトに対するEXECUTE権限を持ちます。
DV_DATAPUMP_NETWORK_LINKオブジェクト権限の完全なリストを検索するには、十分な権限でデータベース・インスタンスにログインし、次の問合せを入力します。
SELECT TABLE_NAME, OWNER, PRIVILEGE FROM DBA_TAB_PRIVS WHERE GRANTEE = 'DV_DATAPUMP_NETWORK_LINK';
DV_DATAPUMP_NETWORK_LINKロールでは、NETWORK_LINKトランスポータブルData Pumpインポート操作を実行するための十分なデータベース権限が提供されないことに注意してください。DV_DATAPUMP_NETWORK_LINKロールは、データベース管理者がOracle Database Vault環境でNETWORK_LINK トランスポータブルData Pumpインポートを実行するための追加要件(Oracle Data Pumpで現在必要な権限を補うもの)です。
DV_DATAPUMP_NETWORK_LINKがGRANT操作とREVOKE操作に及ぼす影響
DV_OWNERロールを付与されているユーザーのみ、別のユーザーに対してDV_DATAPUMP_NETWORK_LINKロールを付与する、または取り消すことができます。
Oracle Database Vaultセキュリティを無効にした場合のDV_DATAPUMP_NETWORK_LINKステータス
すべてのOracle Databaseロールの保護は、Oracle Database Vaultが有効な場合のみ実施されます。
Oracle Database Vaultが無効になっている場合、GRANT ANY ROLEシステム権限を持つアカウントはすべて、保護対象のDatabase Vaultロールに対してGRANT操作およびREVOKE操作を実行できます。
関連項目:
Oracle Database Vaultの無効化および有効化については、「Oracle Database Vaultの無効化および有効化」を参照してください
DV_STREAMS_ADMINロールはOracle Streamsとともに使用します。
DV_STREAMS_ADMINロールを、Oracle Database Vault環境でOracle Streamsの構成を担当する任意のユーザーに付与します。
これにより、Oracle Streamsプロセスの管理をDatabase Vaultで厳格に制御できます。ただし、管理者が通常Oracle Streamsを管理する方法は変更または制限されません。
DV_STREAMS_ADMINロールに関連付けられた権限
DV_STREAMS_ADMINロールに関連付けられているシステム権限はありませんが、DVSYSオブジェクトに対するSELECT権限を持ちます。
DV_STREAMS_ADMINオブジェクト権限の完全なリストを検索するには、十分な権限でデータベース・インスタンスにログインし、次の問合せを入力します。
SELECT TABLE_NAME, OWNER, PRIVILEGE FROM DBA_TAB_PRIVS WHERE GRANTEE = 'DV_STREAMS_ADMIN';
DV_STREAMS_ADMINロールは、Oracle Streamsを構成するための十分なデータベース権限は提供しません。DV_STREAMS_ADMINロールは、データベース管理者がOracle Database Vault環境でOracle Streamsを構成するための追加要件(Oracle Streamsで現在必要な権限を補うもの)です。
DV_STREAMS_ADMINがGRANT操作とREVOKE操作に及ぼす影響
DV_OWNERロールを付与されているユーザーのみ、別のユーザーに対してDV_STREAMS_ADMINロールを付与する、または取り消すことができます。
Oracle Database Vaultセキュリティを無効にした場合のDV_STREAMS_ADMINステータス
すべてのOracle Databaseロールの保護は、Oracle Database Vaultが有効な場合のみ実施されます。
Oracle Database Vaultが無効になっている場合、GRANT ANY ROLEシステム権限を持つアカウントはすべて、保護対象のDatabase Vaultロールに対してGRANT操作およびREVOKE操作を実行できます。
関連項目:
Oracle Database Vaultの無効化および有効化については、「Oracle Database Vaultの無効化および有効化」を参照してください
DV_XSTREAM_ADMINロールはOracle XStream用に使用します。
DV_XSTREAM_ADMINロールを、Oracle Database Vault環境でOracle XStreamの構成を担当する任意のユーザーに付与します。
これにより、XStreamプロセスの管理をDatabase Vaultで厳格に制御できます。ただし、管理者が通常XStreamを管理する方法は変更または制限されません。
DV_XSTREAM_ADMINロールに関連付けられた権限
DV_XSTREAM_ADMINロールに関連付けられた権限はありません。
DV_XSTREAM_ADMINロールは、XStreamを構成するための十分なデータベース権限は提供しません。DV_XSTREAM_ADMINロールは、データベース管理者がOracle Database Vault環境でXStreamを構成するための追加要件(XStreamで現在必要な権限を補うもの)です。
DV_XSTREAM_ADMINがGRANT操作とREVOKE操作に及ぼす影響
DV_OWNERロールを付与されているユーザーのみ、別のユーザーに対してDV_XSTREAM_ADMINロールを付与する、または取り消すことができます。
Oracle Database Vaultセキュリティを無効にした場合のDV_XSTREAM_ADMINステータス
すべてのOracle Databaseロールの保護は、Oracle Database Vaultが有効な場合のみ実施されます。
Oracle Database Vaultが無効になっている場合、GRANT ANY ROLEシステム権限を持つアカウントはすべて、保護対象のDatabase Vaultロールに対してGRANT操作およびREVOKE操作を実行できます。
DV_GOLDENGATE_ADMINロールはOracle GoldenGateとともに使用します。
thetoを、Oracle Database Vault環境でOracle GoldenGateの構成を担当する任意のユーザーに付与します。
これにより、Oracle GoldenGateプロセスの管理をDatabase Vaultで厳格に制御できます。ただし、管理者が通常Oracle GoldenGateを管理する方法は変更または制限されません。
DV_GOLDENGATE_ADMINロールに関連付けられた権限
DV_GOLDENGATE_ADMINロールに関連付けられた権限はありません。
DV_GOLDENGATE_ADMINロールは、Oracle GoldenGateを構成するための十分なデータベース権限は提供しません。正確には、DV_GOLDENGATE_ADMINロールは、データベース管理者がOracle Database Vault環境でOracle GoldenGateを構成するための追加要件(Oracle GoldenGateで現在必要な権限を補うもの)です。
DV_GOLDENGATE_ADMINがGRANT操作とREVOKE操作に及ぼす影響
DV_OWNERロールを付与されているユーザーのみ、別のユーザーに対してDV_GOLDENGATE_ADMINロールを付与する、または取り消すことができます。
Oracle Database Vaultセキュリティを無効にした場合のDV_GOLDENGATE_ADMINステータス
すべてのOracle Databaseロールの保護は、Oracle Database Vaultが有効な場合のみ実施されます。
Oracle Database Vaultが無効になっている場合、GRANT ANY ROLEシステム権限を持つアカウントはすべて、保護対象のDatabase Vaultロールに対してGRANT操作およびREVOKE操作を実行できます。
DV_GOLDENGATE_REDO_ACCESSロールはOracle GoldenGateとともに使用します。
DV_GOLDENGATE_REDO_ACCESSロールを、Oracle Database Vault環境でOracle GoldenGateのTRANLOGOPTIONS DBLOGREADERメソッドの使用によるREDOログへのアクセスを担当する任意のユーザーに付与します。
これにより、Oracle GoldenGateプロセスの管理をDatabase Vaultで厳格に制御できます。ただし、管理者が通常Oracle GoldenGateを管理する方法は変更または制限されません。
DV_GOLDENGATE_REDO_ACCESSロールに関連付けられた権限
DV_GOLDENGATE_REDO_ACCESSロールに関連付けられた権限はありません。
DV_GOLDENGATE_REDO_ACCESSロールは、Oracle GoldenGateを構成するための十分なデータベース権限は提供しません。DV_GOLDENGATE_REDO_ACCESSロールは、データベース管理者がOracle Database Vault環境でOracle Streamsを構成するための追加要件(Oracle GoldenGateで現在必要な権限を補うもの)です。
DV_GOLDENGATE_REDO_ACCESSがGRANT操作とREVOKE操作に及ぼす影響
DV_GOLDENGATE_REDO_ACCESSロールをADMIN OPTION付きで付与することはできません。
DV_OWNERロールを付与されているユーザーのみ、別のユーザーに対してDV_GOLDENGATE_REDO_ACCESSロールを付与する、または取り消すことができます。
Oracle Database Vaultセキュリティを無効にした場合のDV_GOLDENGATE_REDO_ACCESSステータス
すべてのOracle Databaseロールの保護は、Oracle Database Vaultが有効な場合のみ実施されます。
Oracle Database Vaultが無効になっている場合、GRANT ANY ROLEシステム権限を持つアカウントはすべて、保護対象のDatabase Vaultロールに対してGRANT操作およびREVOKE操作を実行できます。
DV_PATCH_ADMINロールはパッチ操作のために使用します。
Database Vaultメタデータに指定された監査ポリシーやDatabase Vault統合監査ポリシーに従ってDatabase Vault関連のすべての監査レコードを生成するには、DV_PATCH_ADMINロールを使用する前にDV_ADMINロールが付与されたユーザーとしてDBMS_MACADM.ENABLE_DV_PATCH_ADMIN_AUDITプロシージャを実行します。
一時的に、DV_PATCH_ADMINロールを、データベースのパッチ適用担当の任意のデータベース管理者に付与します。この管理者がパッチ操作を行う前に、DBMS_MACADM.ENABLE_DV_PATCH_ADMIN_AUDITプロシージャを実行します。このプロシージャでは、既存の監査構成に従って、DV_PATCH_ADMINロールを付与されたユーザーによるアクションのレルム、コマンド・ルールおよびルール・セットの監査が可能になります。混合モード監査を使用する場合、このユーザーのアクションはAUDIT_TRAIL$表に書き込まれます。純粋な統合監査が有効な場合、このユーザーのアクションを取得する統合監査ポリシーを作成する必要があります。
パッチ操作の完了後、データベース・パッチ操作の実行を担当するユーザーの監査をすぐに無効にしないでください。このように、DV_PATCH_ADMINロール・ユーザーのアクションを追跡できます。下位互換性を確保するために、このタイプの監査はデフォルトで無効になっています。
DV_PATCH_ADMINロールに関連付けられた権限
DV_PATCH_ADMINロールでは、保護されたデータにアクセスできません。
DV_PATCH_ADMINロールは、オブジェクト権限やシステム権限を持たない特殊なDatabase Vaultロールです。Database Vaultが有効なデータベースに、データベース管理者またはユーザーSYSがパッチを適用できるように(Database Vaultを無効にせずにデータベース・パッチを適用する場合など)設計されています。また、一部のパッチでは新しいスキーマを作成する必要があるため、データベース管理者はユーザーの作成も行うことができます。
DV_PATCH_ADMINがGRANT操作とREVOKE操作に及ぼす影響
DV_OWNERロールを持つユーザーのみ、他のユーザーに対してDV_PATCH_ADMINロールを付与する、または取り消すことができます。
Oracle Database Vaultセキュリティを無効にした場合のDV_PATCH_ADMINステータス
すべてのOracle Databaseロールの保護は、Oracle Database Vaultが有効な場合のみ実施されます。
Oracle Database Vaultが無効になっている場合、GRANT ANY ROLEシステム権限を持つアカウントはすべて、保護対象のDatabase Vaultロールに対してGRANT操作およびREVOKE操作を実行できます。
関連項目:
統合監査ポリシーの作成については、『Oracle Databaseセキュリティ・ガイド』を参照してください
DV_ACCTMGRロールは強力なロールであり、アカウント管理のために使用します。
注意:
この機能は、Oracle Database 12cリリース1 (12.1.0.2)で更新されています。
DV_ACCTMGRロールを使用して、データベース・アカウントとデータベース・プロファイルの作成および管理を行います。このマニュアルでは、例のDV_ACCTMGRロールがbea_dvacctmgrというユーザーに割り当てられます。
DV_ACCTMGRロールに関連付けられた権限
このロールを付与されているユーザーは、DV_SECANALYST、DV_AUDIT_CLEANUPおよびDV_MONITORロールを付与されているユーザーを含め、ユーザー・アカウントまたはプロファイルに対してCREATE文、ALTER文、DROP文を使用できます。
このユーザーは、他のユーザーにCREATE SESSION権限を付与することもできます。ただし、DV_ACCTMGRロールを付与されているユーザーは、次の操作は実行できません。
DVSYSアカウントに対するALTER文またはDROP文
DV_ADMINまたはDV_OWNERロールが付与されているユーザーに対するALTER文またはDROP文
DV_ADMINまたはDV_OWNERロールが付与されているユーザーのパスワード変更
DV_ACCTMGRロールに関連付けられたシステム権限とオブジェクト権限の完全なリストを検索するには、十分な権限でデータベース・インスタンスにログインし、次の問合せを入力します。
SELECT TABLE_NAME, OWNER, PRIVILEGE FROM DBA_TAB_PRIVS WHERE GRANTEE = 'DV_ACCTMGR'; SELECT PRIVILEGE FROM DBA_SYS_PRIVS WHERE GRANTEE = 'DV_ACCTMGR';
ヒント:
DV_ACCTMGRユーザーが他のユーザーにANY権限を付与または取り消せるようにする場合は、SYSDBA権限を持つユーザーSYSとしてログインし、このユーザーにGRANT ANY PRIVILEGE権限およびREVOKE ANY PRIVILEGE権限を付与します。次に、このユーザーを所有者としてOracleシステム権限およびロール管理レルムに追加します。
DV_ACCTMGRユーザーに、別個の名前付きアカウントを作成することを検討してください。これにより、このユーザーがパスワードを忘れた場合、元のDV_ACCTMGRアカウントとしてログインして、ユーザーのパスワードをリセットできます。それ以外の場合は、Oracle Database Vaultを無効にし、SYSまたはSYSTEMとしてログインしてパスワードを再作成し、Oracle Database Vaultを再び有効にする必要があります。
DV_ACCTMGRがGRANT操作とREVOKE操作に及ぼす影響
SYSやSYSTEMなど、GRANT ANY ROLEシステム権限のみを持つアカウントには、他のデータベース・アカウントに対してこのロールを付与する権限または取り消す権限がありません。
DV_ACCTMGRロールおよびADMIN OPTIONを持つアカウントは、このロールを指定されたデータベース・アカウントに付与することも、他のアカウントからこのロールを取り消すこともできます。
Oracle Database Vaultセキュリティを無効にした場合のDV_ACCTMGRステータス
すべてのOracle Databaseロールの保護は、Oracle Database Vaultが有効な場合のみ実施されます。
Oracle Database Vaultが無効になっている場合、GRANT ANY ROLEシステム権限を持つアカウントはすべて、保護対象のDatabase Vaultロールに対してGRANT操作およびREVOKE操作を実行できます。
関連項目:
Oracle Database Vaultの無効化および有効化については、「Oracle Database Vaultの無効化および有効化」を参照してください
DV_REALM_OWNERロールはレルム管理のために使用します。
DV_REALM_OWNERロールを使用して、レルムを定義する複数のスキーマ内のデータベース・オブジェクトを管理します。
このロールを、レルムとそれに関連付けられたロール内の1つ以上のスキーマ・データベース・アカウントを管理するデータベース・アカウントに付与します。
DV_REALM_OWNERロールに関連付けられた権限
このロールを付与されているユーザーは、CREATE ANY、ALTER ANY、DROP ANYなどの強力なシステム権限をレルム内で使用できます。
ただし、これらの権限を使用するには、このユーザーをレルムの参加者または所有者にする必要があります。手順については、「レルム認可について」を参照してください。
DV_REALM_OWNERロールにはオブジェクト権限は付与されていませんが、いくつかのシステム権限が付与されています。DV_REALM_OWNERシステム権限の完全なリストを検索するには、十分な権限でデータベース・インスタンスにログインし、次の問合せを入力します。
SELECT PRIVILEGE FROM DBA_SYS_PRIVS WHERE GRANTEE = 'DV_REALM_OWNER';
DV_REALM_OWNERがGRANT操作とREVOKE操作に及ぼす影響
Oracleシステム権限およびロール管理レルムのレルム所有者(SYSなど)は、このロールを、指定された任意のデータベース・アカウントまたはロールに付与できます。
このロールには強力なシステム権限がありますが、Oracle Database Vaultのロール(DV_OWNERまたはDV_ADMINロールなど)はないことに注意してください。
このロールを特定のレルムに関連付ける場合は、アカウントまたは業務関連のロールに割り当てた後、そのアカウントまたはロールをレルムで認可します。
Oracle Database Vaultセキュリティを無効にした場合のDV_REALM_OWNERステータス
すべてのOracle Databaseロールの保護は、Oracle Database Vaultが有効な場合のみ実施されます。
Oracle Database Vaultが無効になっている場合、GRANT ANY ROLEシステム権限を持つアカウントはすべて、保護対象のDatabase Vaultロールに対してGRANT操作およびREVOKE操作を実行できます。
関連項目:
Oracle Database Vaultの無効化および有効化については、「Oracle Database Vaultの無効化および有効化」を参照してください
DV_REALM_RESOURCEロールはレルム・リソースの管理のために使用します。
DV_REALM_RESOURCEロールは、レルムで一般に使用される表、ビュー、トリガー、シノニムおよびその他のオブジェクトの作成などの操作に使用します。
DV_REALM_RESOURCEロールに関連付けられた権限
DV_REALM_RESOURCEロールには、OracleのRESOURCEロールと同じシステム権限があります。さらに、CREATE SYNONYMとCREATE VIEWの両方がこのロールに付与されます。
DV_REALM_RESOURCEロールにはオブジェクト権限は付与されていませんが、いくつかのシステム権限が付与されています。DV_REALM_RESOURCEシステム権限の完全なリストを検索するには、十分な権限でデータベース・インスタンスにログインし、次の問合せを入力します。
SELECT PRIVILEGE FROM DBA_SYS_PRIVS WHERE GRANTEE = 'DV_REALM_RESOURCE';
このロールには強力なシステム権限がありますが、Oracle Database Vaultのロール(DV_OWNERまたはDV_ADMINロールなど)はありません。
DV_REALM_RESOURCEがGRANT操作とREVOKE操作に及ぼす影響
DV_REALM_RESOURCEロールは、任意のデータベース・アプリケーションのサポートに使用されるデータベース表、オブジェクト、トリガー、ビュー、プロシージャなどを所有するデータベース・アカウントに付与できます。
これは、スキーマ・タイプのデータベース・アカウントを対象としたロールです。Oracleシステム権限およびロール管理レルムのレルム所有者(SYSなど)は、このロールを、任意のデータベース・アカウントまたはロールに付与できます。
Oracle Database Vaultセキュリティを無効にした場合のDV_REALM_RESOURCEステータス
すべてのOracle Databaseロールの保護は、Oracle Database Vaultが有効な場合のみ実施されます。
Oracle Database Vaultが無効になっている場合、GRANT ANY ROLEシステム権限を持つアカウントはすべて、保護対象のDatabase Vaultロールに対してGRANT操作およびREVOKE操作を実行できます。
関連項目:
Oracle Database Vaultの無効化および有効化については、「Oracle Database Vaultの無効化および有効化」を参照してください
登録プロセス時には、Oracle Database Vault所有者とOracle Database Vaultアカウント・マネージャ用のアカウントを作成する必要があります。
Oracle Database Vault所有者アカウントのアカウント名およびパスワードは、インストール時に指定する必要があります。Oracle Database Vaultアカウント・マネージャの作成はオプションですが、より適切な業務分離のためにお薦めします。
Oracle Database Vault所有者アカウントには、DV_OWNERロールが付与されます。このアカウントは、Oracle Database Vaultのロールおよび構成を管理できます。(このロールの詳細は、「DV_OWNER Database Vault所有者ロール」を参照)。
Oracle Database Vaultアカウント・マネージャ・アカウントには、DV_ACCTMGRロールが付与されます。このアカウントは、データベース・ユーザー・アカウントを管理して職務分離をしやすくするために使用されます。(このロールの詳細は、「DV_ACCTMGR Database Vaultアカウント・マネージャ・ロール」を参照)。
インストール時にOracle Database Vaultアカウント・マネージャ・アカウントを作成しない場合、DV_OWNERとDV_ACCTMGRの両方のロールがOracle Database Vault所有者ユーザー・アカウントに付与されます。
表12-2に、インストール時に作成するアカウントの他に必要なOracle Database Vaultデータベース・アカウントを示します。
表12-2 Oracle Database Vaultで使用されるデータベース・アカウント
| データベース・アカウント | ロールおよび権限 | 説明 |
|---|---|---|
|
いくつかのシステム権限およびオブジェクト権限がOracle Database Vaultをサポートするために用意されています。このアカウントでセッションを作成する権限は、インストールの最後に取り消され、アカウントはロックされます。 |
Oracle Database Vaultのスキーマおよび関連オブジェクトの所有者 |
|
限定されたシステム権限がOracle Database Vaultをサポートするために用意されています。このアカウントでセッションを作成する権限は、インストールの最後に取り消され、アカウントはロックされます。 |
ファクタ・アイデンティティを取得するために作成されるOracle Database Vaultのファンクションの所有者 |
|
このアカウントは、Oracle Universal Installerのカスタム・インストール・オプションを使用してOracle Label Securityをインストールすると作成されます。(Oracle Database Vaultのインストール時には作成されません。)このアカウントは削除または再作成しないでください。 ファクタとOracle Label Securityポリシーを統合する場合、このファクタを使用するレルムの所有者としてこのユーザーを割り当てる必要があります。詳細は、「Oracle Label SecurityポリシーでのOracle Database Vaultファクタの使用方法」を参照してください。 |
Oracle Label Securityのスキーマの所有者 |
Oracle Database Vaultの職務分離要件を満たすために別のデータベース・アカウントを作成できます。表12-3に、指針となるモデル・データベース・アカウントの一部を示します。(表12-3に示すアカウントは、Oracle Database Vaultロールの実装の指針となります。これらは、インストール時に作成される実際のアカウントではありません。)
表12-3 Oracle Database Vaultのモデル・データベース・アカウント
| データベース・アカウント | ロールおよび権限 | 説明 |
|---|---|---|
|
|
Oracle Database Vaultレルムのレルム所有者になるアカウント。このアカウントの機能は次のとおりです。
|
|
|
データベース・アカウントおよびプロファイルを管理するためのアカウント。このアカウントの機能は次のとおりです。
注意: このアカウントでは、ロールの作成、および |
|
|
アクセス制御管理者として機能するアカウント。このアカウントの機能は次のとおりです。
注意: このアカウントでは、 |
|
|
Oracle Database Vaultレポートを実行するためのアカウント |
関連項目:
エンタープライズ・ユーザー・アカウントとしてのDatabase Vaultアカウントの構成については、「Oracle Database Vaultアカウントをエンタープライズ・ユーザー・アカウントとして構成」を参照してください
DV_OWNERおよびDV_ACCTMGRアカウントのバックアップ・アカウントの保持の重要性については、「バックアップOracle Database Vaultアカウント」を参照してください
ベスト・プラクティスとして、DV_OWNERロールとDV_ACCTMGRロールのバックアップ・アカウントを保持することをお薦めします。
Oracle Database Vault登録プロセスでは、DV_OWNERロールとDV_ACCTMGRロールの日常用アカウントとバックアップ・アカウントの作成が必要となります。これらのロールのいずれかを付与されているユーザーが自分のパスワードを忘れた場合や組織を退職した場合に備えた安全対策として、これらのアカウントを保持し続ける必要があります。それにより、バックアップ・アカウントにログインして、パスワードの回復や新しいアカウントへのロールの付与が可能です。これらは、特権アカウント管理または組織のブレークグラス(または非常時パスワード回復)システムで安全を確保されているバックアップ・アカウントとしてのみ使用する必要があります。
Oracle Database Vaultで実装されている強力な職務分離により、DV_OWNERアカウントにアクセスできなくなった場合はデータベースの再構築が必要になります。SYSアカウントは、DV_OWNERアカウントをオーバーライドできません。
関連項目:
DV_OWNERまたはDV_ACCTMGRを付与されているユーザーが紛失したパスワードのリセットについては、Oracle Database Vaultアカウントのパスワードのリセットを参照してください
