| Oracle® Label Security管理者ガイド 12cリリース1 (12.1) E56367-02 |
|
 前 |
 次 |
Oracle Label Securityポリシーは、Oracle Label Securityを実装するコマンドの名前付きセットです。
内容は次のとおりです。
Oracle Label Securityポリシーを作成する場合は、一般的な一連の手順に従う必要があります。
ポリシー名、Oracle Label Securityが保護対象の表に追加する列の名前、この列を非表示にするかどうか、ポリシーを有効にするかどうか、およびポリシーのデフォルトの強制オプションを定義するポリシー・コンテナを作成します。
詳細は、「手順1: ラベル・セキュリティ・ポリシー・コンテナの作成」を参照してください。
ラベルの機密性レベルの属性を定義します。また、オプションで区分とグループの属性を定義して、ラベルの機密性をさらにフィルタします。属性を定義した後で、ラベル自体を作成し、それらの属性をラベルに関連付けます。
「手順2: ラベル・セキュリティ・ポリシーのデータ・ラベルの作成」を参照してください。
ポリシーに対してユーザーを認可します。
詳細は、「手順3: ラベル・セキュリティ・ポリシーのユーザーの認可」を参照してください。
これらのユーザーまたはトラステッド・プログラム・ユニットに権限を付与します。
詳細は、「手順4: ユーザーおよびトラステッド・ストアド・プログラム・ユニットへの権限の付与」を参照してください。
ポリシーをデータベース表に適用します。または、スキーマ全体にポリシーを適用できます。
詳細は、「手順5: データベース表またはスキーマへのポリシーの適用」を参照してください。
ポリシー・ラベルを表の行に追加します。ポリシーに使用される表を更新する必要があります。
詳細は、「手順6: 表の行へのポリシー・ラベルの追加」を参照してください。
オプションで、ユーザーの監査設定を構成します。
詳細は、「手順7: (オプション)監査の構成」を参照してください。
Oracle Label Securityポリシー・コンテナは、ポリシー設定の保管場所です。
内容は次のとおりです。
Oracle Label Securityポリシー・コンテナには、ポリシーの動作方法を説明するメタデータが格納されます。
このコンテナは、ポリシー名、Oracle Label Securityが保護対象の表に追加する列の名前、この列を非表示にするかどうか、ポリシーを有効にするかどうか、およびポリシーのデフォルトの強制オプションを定義します。
保護する表に追加する列には、特定の列の値に基づいて表の特定の行に割り当てられたデータ・ラベル(後で作成)が含まれます。
Oracle Enterprise Manager Cloud Controlにポリシー・コンテナを作成するか、SA_SYSDBA.CREATE_POLICYプロシージャを使用できます。
SA_SYSDBA.CREATE_POLICYプロシージャを使用して、Oracle Label Securityポリシー・コンテナを作成できます。
ポリシーを作成するには、SA_SYSDBA.CREATE_POLICYを実行し、ポリシー名、列名およびデフォルト・オプションを指定します。
次に例を示します。
BEGIN SA_SYSDBA.CREATE_POLICY ( policy_name => 'emp_ols_pol', column_name => 'ols_col', default_options => 'read_control, update_control'); END; /
関連項目:
使用可能なポリシー・オプションのリストは、「ポリシー強制オプションのカテゴリ」を参照してください
policy_DBAロールの詳細は、「Oracle Label Security管理者の責任」を参照してください
ポリシー・コンテナを作成すると、各データベース表の行にデータ・ラベルを作成する準備ができます。
内容は次のとおりです。
データ・ラベルは、データベース表の行の機密性を示します。
各ラベルは、ユーザー・アクセスに使用するフィルタのタイプを制御する複数のコンポーネントを持つ単一の属性です。
表5-1に、データ・ラベルの様々なコンポーネントについて説明します。
表5-1 機密性データ・ラベルのコンポーネント
| コンポーネント | 説明 | 例 |
|---|---|---|
レベル |
設定済の順序付けランク内のラベル付きデータの機密性の単一指定 |
|
区分 |
ラベル付きデータに対応付けられた0個以上のカテゴリ |
|
グループ |
データを所有するか、データにアクセスする組織の0個以上の識別子 |
|
すべてのデータ・ラベルにはレベル・コンポーネントを含める必要がありますが、区分コンポーネントとグループ・コンポーネントはオプションです。区分とグループは、ユーザーがデータに対して持つアクセス権を微調整する方法です。すべてのラベル・コンポーネント指定に有効な文字には、英数字、アンダースコアおよび空白も含まれます。(先頭および後続の空白は無視されます。)データ・ラベル自体を作成する前に、ラベル・コンポーネントを定義する必要があります。
Cloud Controlを使用して、既存のポリシーのラベルとそのコンポーネントを作成できます。また、SA_COMPONENTS PL/SQLパッケージを使用してラベル・コンポーネントを作成し、SA_LABEL_ADMINパッケージを使用してデータ・ラベルを作成できます。
レベルは、ラベルを付ける情報の機密性を示すランキングです。
情報の機密性が高いほど、レベルも高くなります。情報の機密性が低いほど、レベルも低くなります。
ラベルには必ず1つのレベルを含める必要があります。Oracle Label Securityでは、1つのポリシーに最大10,000のレベルを定義できます。レベルごとに、数値書式、詳細名および必須の簡易名を定義する必要があります。
表5-2にレベルの例を示します。
表5-2 ポリシー・レベルの例
| 数値 | 詳細名 | 短縮名 |
|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
表5-2に、レベルの数値書式、詳細名および簡易名を説明します。
表5-3 レベル指定の書式
| 書式 | 説明 |
|---|---|
数値(タグとも呼ばれる) |
数値のレベルは0から9999です。機密性はこの数値でランキングされるため、機密性の高いレベルほど大きい数値、機密性の低いレベルほど小さい数値を割り当てる必要があります。表5-2では、40 ( 管理者は、レベルの数値に連番を使用しないようにします。適切な方法は、レベル間に等間隔の増分(50や100など)を使用することです。これにより、既存の2つのレベル間に後からレベルを追加挿入できます。 |
詳細名 |
レベルの詳細名は80文字以内です。 |
短縮名 |
短縮名は30文字以内です。 |
レベル(およびその他の各ラベル・コンポーネント)に詳細名と短縮名の両方を定義しますが、検索時に表示されるのは短縮名のみです。ユーザーがラベルを操作する際は、コンポーネントの短縮名のみが使用されます。
レベルの例は、TOP_SECRET、SECRET、CONFIDENTIAL、UNCLASSIFIED、またはTRADE_SECRET、PROPRIETARY、COMPANY_CONFIDENTIAL、PUBLIC_DOMAINなどの名前です。
レベルのみを使用する場合、この例のレベル40のユーザーであれば、レベル40以下のすべてのデータ行に対して、アクセスまたは変更ができます。
SA_COMPONENTS.CREATE_LEVELプロシージャは、ポリシー・レベル・コンポーネントを作成します。
ポリシー・レベル・コンポーネントを作成するには、SA_COMPONENTS.CREATE_LEVELを実行し、ポリシー名およびコンポーネントの詳細を指定します。
次に例を示します。
BEGIN SA_COMPONENTS.CREATE_LEVEL ( policy_name => 'emp_ols_pol', level_num => 40, short_name => 'HS', long_name => 'HIGHLY_SENSITIVE'); END; /
コンパートメントは、ラベルが割り当てられたデータの機密性を表す領域を識別し、レベル内のより詳細なレベルを表します。
区分により、データが1つ以上のセキュリティ領域に対応付けられます。特定のプロジェクトに関連するすべてのデータに、同じ区分をラベル付けすることができます。
表5-4に、区分セットの例を示します。
表5-4 ポリシー区分の例
| 数値 | 詳細名 | 短縮名 |
|---|---|---|
|
|
|
|
|
|
|
|
|
表5-5に、区分を指定する様々な方法を示します。
表5-5 区分指定の書式
| 書式 | 説明 |
|---|---|
数値 |
数値の範囲は0から9999です。レベルに使用されている数値とは無関係です。区分の数値は、機密性のレベルを示すわけではありません。区分の数値は、ラベル文字列での区分短縮名の表示順序を制御します。たとえば、表5-4に示した3つの区分すべてとレベル S:OP,CHEM,FINCL これは、 表示順序は、区分に割り当てられた数値の順序に従います。45は65より小さく、65は85より小さい数値です。対照的に、 S:FINCL,OP,CHEM |
詳細名 |
区分の詳細名は80文字以内です。 |
短縮名 |
短縮名は30文字以内です。 |
区分はオプションです。ラベルには最大10,000区分を含めることができます。
区分を含まないラベルがあってもかまいません。たとえば、HIGHLY_SENSITIVEおよびCONFIDENTIALレベルは区分なしで指定し、SENSITIVEレベルは区分を含むように指定できます。
データの機密性を分析すると、一部の区分が特定のレベルでのみ有用であることがわかる場合があります。
図5-1に、区分を使用してデータをカテゴリに分類する方法を示します。
この図では、区分FINCL、CHEMおよびOPがレベルHIGHLY_SENSITIVE (HS)とともに使用されています。ラベルHIGHLY_SENSITIVE:FINCL, CHEMは、2つの名前付き区分を持つレベル40を示します。区分FINCLとCHEMの機密性は同じです。保護されている表の一部のデータがどの区分にも属さない場合もあることに注意してください。
区分を指定した場合、行データへのアクセスが通常は許可されるレベルのユーザーであっても、行ラベルで表示されるすべての区分もユーザーのラベルに含まれていないかぎりアクセスは禁止されます。たとえば、HSレベルへのアクセス権を付与されるユーザーhprestonには、FINCLおよびCHEMへのアクセス権のみ付与され、OPへのアクセス権は付与されません。
SA_COMPONENTS.CREATE_COMPARTMENTプロシージャは、Oracle Label Securityの区分を作成します。
区分を作成するには、SA_COMPONENTS.CREATE_COMPARTMENTプロシージャを実行して区分を作成し、ポリシー名および区分の詳細を指定します。
次に例を示します。
BEGIN SA_COMPONENTS.CREATE_COMPARTMENT ( policy_name => 'emp_ols_pol', comp_num => '85', short_name => 'FINCL', long_name => 'FINANCIAL'); END; /
グループでは、EASTERN_REGION、WESTERN_REGION、WR_SALESなど、データを所有する組織またはデータにアクセスする組織を識別します。
特定の部門に関連するすべてのデータに、その部門のグループをラベル付けすることができます。グループは、データを制御された方法で送信したり、組織の変更に適切なタイミングで対処する場合に役立ちます。会社組織の再編時には、データ・アクセス権も再編成に沿って適切に変更できます。
グループは階層型です。組織のインフラストラクチャに基づいてデータにラベルを付けることができます。つまり、グループを親グループに対応付けることができます。
図5-2に、次のような組織階層に対応するグループ・セットを定義する方法を示します。
WESTERN_REGIONグループには、3つのサブグループWR_SALES、WR_HUMAN_RESOURCESおよびWR_FINANCEが含まれています。WR_FINANCEサブグループは、WR_ACCOUNTS_RECEIVABLEおよびWR_ACCOUNTS_PAYABLEに分割されています。
表5-6に、この例の組織構造をOracle Label Securityのグループの書式で表す方法を示します。グループに割り当てられた数値書式は表示順序のみに影響します。階層(つまり、親子関係)を別々に指定します。最初にリストされるグループWESTERN_REGIONは、表の残りのグループの親グループです。
表5-6 グループの例
| 数値 | 詳細名 | 短縮名 | 親グループ |
|---|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
表5-7に、グループを指定する際に使用する必要のある書式を示します。
表5-7 グループ指定の書式
| 書式 | 説明 |
|---|---|
数値 |
グループの数値の範囲は0から9999で、ポリシーごとに一意である必要があります。 数値は、ランキングを示すわけではありません。また、親子関係も機密性レベルも示しません。単に、ラベル文字列でのグループの短縮名の表示順序を制御します。 たとえば、表5-6にリストしたようにレベル S:CHEM:WR,WR_HR 1000は1200より前に位置するため、 |
詳細名 |
グループの詳細名は80文字以内です。 |
短縮名 |
短縮名は30文字以内です。 |
グループはオプションです。ラベルには10,000グループまで含むことができます。
すべてのラベルにグループは必要ではありません。データの機密性を分析すると、一部のグループが特定のレベルでのみ使用されている場合があります。たとえば、HIGHLY_SENSITIVEおよびCONFIDENTIALラベルはグループなしで指定し、SENSITIVEラベルはグループを含むように指定できます。
SA_COMPONENTS.CREATE_GROUPプロシージャは、データ・ラベル・グループを作成します。
必要なデータ・ラベル・グループごとに、SA_COMPONENTS.CREATE_GROUPプロシージャを実行します。
次の例では、最初のCREATE_GROUPプロシージャは親グループWRを作成し、2番目のプロシージャはparent_nameパラメータを使用して2番目のグループをWRグループに関連付けます。
BEGIN SA_COMPONENTS.CREATE_GROUP ( policy_name => 'emp_ols_pol', group_num => 1000, short_name => 'WR', long_name => 'WESTERN_REGION'); END; / BEGIN SA_COMPONENTS.CREATE_GROUP ( policy_name => 'emp_ols_pol', group_num => 1100, short_name => 'WR_SAL', long_name => 'WR_SALES', parent_name => 'WR'); END; /
データ・ラベル・コンポーネントを定義した後で、それを既存のレベルに関連付けることで、データ・ラベル自体を作成できます。
オプションで、この関連付けに区分およびグループを含めることができます。
Oracle Enterprise Manager Cloud ControlまたはSA_LABEL_ADMIN.CREATE_LABELプロシージャを使用できます。ラベルの文字列表現の構文は、次のとおりです。
level:compartment1,...,compartmentn:group1,...,groupn
ラベルを指定するテキスト文字列は、英数字、空白およびアンダースコアを含めて4,000文字以内です。ラベル名は、大文字/小文字を区別します。そのため大文字、小文字または大/小文字両方で入力できますが、文字列がデータ・ディクショナリに格納され、表示されるときには大文字が使用されます。各コンポーネントのセットをコロンで区切ります。この構文では、後続のデリミタを入力する必要はありません。
たとえば、次のような有効なラベルを作成できます。
SENSITIVE:FINANCIAL,CHEMICAL:EASTERN_REGION,WESTERN_REGION CONFIDENTIAL:FINANCIAL:VP_GRP SENSITIVE HIGHLY_SENSITIVE:FINANCIAL SENSITIVE::WESTERN_REGION
SA_LABEL_ADMIN.CREATE_LABELプロシージャは、データ・ラベルを作成します。
SA_LABEL_ADMIN.CREATE_LABELを実行し、ポリシー名およびポリシー・コンポーネントの詳細を指定します。
次に例を示します。
BEGIN SA_LABEL_ADMIN.CREATE_LABEL ( policy_name => 'emp_ols_pol', label_tag => '1310', label_value => 'SENSITIVE:FINANCIAL,CHEMICAL:EASTERN_REGION,WESTERN_REGION', data_label => TRUE); END; /
データ・ラベルを作成する場合、2つの追加アクションが発生します。
ラベルが有効なデータ・ラベルとして自動的に指定されます。この機能では、データに割当て可能なラベルが制限されます。Oracle Label Securityでは、Oracle Internet Directoryで事前定義済のデータ・ラベルから、有効なデータ・ラベルを実行時に動的に作成することもできます。ただし、ほとんどのユーザーは、データ・ラベルの増加を制限するために、ラベルを手動で作成する方法を選択します。
ラベルを表すテキスト文字列に数値ラベル・タグが関連付けられます。保護されている表のポリシー・ラベル列には、テキスト文字列ではなく、このラベル・タグが格納されます。
注意:
Oracle Internet Directoryを使用しないOracle Label Securityインストールでは、有効なデータ・ラベルの動的作成にはTO_DATA_LABELファンクションを使用します。また、その使用は厳密に制御する必要があります。「TO_DATA_LABELを使用したラベルの挿入」を参照してください。
ユーザーがOracle Label Securityポリシーで保護されているデータにアクセスできるようになる前に、認可を受けている必要があります。
内容は次のとおりです。
ユーザーを認可する場合、データ・ラベルの定義方法に基づいて行データにアクセスできるようにします。
まず、ラベルに関連付けられる各レベル、区分およびグループについてユーザーの認可を設定します。ユーザーに現在付与されている権限を確認するには、DBA_SA_USER_PRIVSデータ・ディクショナリ・ビューに問い合せます。
デフォルト、最小および最大の認可レベルを明示的に設定できます。
表5-8 管理者が設定する認可レベル
| 認可レベル | 意味 |
|---|---|
最大レベル |
ユーザーが読取りおよび書込み操作中にアクセスできる機密性の最大ランキング。 |
最小レベル |
ユーザーが書込み操作中にアクセスできる機密性の最小ランキング。最大レベルは最小レベル以上に設定する必要があります。 |
デフォルト・レベル |
Oracle Databaseへの接続時にデフォルトで想定されるレベル |
デフォルト行レベル |
Oracle Databaseへのデータの挿入時にデフォルトで使用されるレベル |
たとえば、ユーザーhprestonに対して次の認可レベルを設定できます。
| 型 | 短縮名 | 詳細名 | 説明 |
|---|---|---|---|
最大値 |
|
|
ユーザーの最上位レベル |
最小値 |
|
|
ユーザーの最下位レベル |
デフォルト |
|
|
ユーザーのデフォルト・レベル |
行 |
|
|
|
SA_USER_ADMIN.SET_LEVELSプロシージャは、ポリシー・レベル・コンポーネントに対してユーザーを認可します。
レベルを指定する場合は、詳細名ではなく簡易名を常に使用する必要があります。
SA_USER_ADMIN.SET_LEVELSを実行してレベルを認可し、ポリシー名、ユーザー名およびレベルを指定します。
次に例を示します。
BEGIN SA_USER_ADMIN.SET_LEVELS ( policy_name => 'ols_admin_pol', user_name => 'hpreston', max_level => 'HS', min_level => 'P', def_level => 'C', row_level => 'C'); END; /
特定のレベルに対してユーザーを認可した後、オプションでセッション・ラベルに追加する区分を指定できます。
区分ごとに、書込みアクセス権を明示的に指定する必要があります。ユーザーは、書込み認可を持たない区分を含む行を直接挿入、更新または削除することはできません。
たとえば、ユーザーhprestonに対して次の認可区分を設定できます。
| 短縮名 | 詳細名 | 書込み | デフォルト | 行 |
|---|---|---|---|---|
|
|
あり |
あり |
なし |
|
|
あり |
あり |
なし |
|
|
あり |
あり |
あり |
SA_USER_ADMIN.SET_COMPARTMENTSプロシージャは、区分コンポーネントに対してユーザーを認可します。
区分を指定する場合は、詳細名ではなく簡易名を常に使用する必要があります。
SA_USER_ADMIN.SET_COMPARTMENTSを実行して区分に対してユーザーを認可し、ポリシー名、ユーザー名および区分の詳細を指定します。
次に例を示します。
BEGIN SA_USER_ADMIN.SET_COMPARTMENTS ( policy_name => 'ols_admin_pol', user_name => 'hpreston', read_comps => 'FINCL', write_comps => 'FINCL', def_comps => 'FINCL', row_comps => 'FINCL'); END; /
このプロシージャを実行した後で、SA_USER_ADMIN.ADD_COMPARTMENTSプロシージャを実行することで追加区分に対してユーザーを認可できます。
ユーザーがセッション・ラベルに配置できるグループのリストを指定できます。
リストに含めるグループごとに、書込みアクセス権を明示的に指定する必要があります。
たとえば、次の認可グループを設定できます。
| 短縮名 | 詳細名 | 書込み | デフォルト | 行 | 親 |
|---|---|---|---|---|---|
|
|
あり |
あり |
あり |
|
|
|
あり |
あり |
なし |
|
|
|
あり |
あり |
なし |
|
SA_USER_ADMIN.SET_GROUPSプロシージャは、ポリシー・グループに対してユーザーを認可します。
SA_USER_ADMIN.SET_GROUPSを実行してユーザーを認可し、ポリシー名、ユーザー名および必要な認可を指定します。グループを指定する場合は、詳細名ではなく簡易名を使用する必要があります。
次に例を示します。
BEGIN SA_USER_ADMIN.SET_GROUPS ( policy_name => 'ols_admin_pol', user_name => 'hpreston', read_groups => 'WR_AP', write_groups => 'WR_AP', def_groups => 'WR_AP', row_groups => 'WR_AP'); END; /
ユーザーがOracle Label Securityポリシーで保護されているデータを読み取ることができるように、READなどの権限をユーザーに付与できます。
内容は次のとおりです。
ポリシー・レベル、区分およびグループに対してユーザーを認可した後で、ユーザー権限を付与する準備ができます。
トラステッド・プログラム・ユニットは、Oracle Label Security権限を付与されているファンクション、プロシージャまたはパッケージです。トラステッド・ストアド・プログラム・ユニットの作成方法は、標準的なプロシージャ、ファンクションまたはパッケージを作成する場合と同じで、CREATE PROCEDURE、CREATE FUNCTIONまたはCREATE PACKAGEおよびCREATE PACKAGE BODYの各文を使用します。プログラム・ユニットは、Oracle Label Security権限を付与するとトラステッド・プログラム・ユニットになります。
表5-9に、ユーザーまたはトラステッド・ストアド・プログラム・ユニットに付与できる権限のサマリーを示します。
表5-9 Oracle Label Securityの権限
| セキュリティ権限 | 説明 |
|---|---|
|
ポリシーで保護されている全データへの読取りアクセスを許可します。 |
|
ポリシーで保護されている全データへの完全な読取りおよび書込みアクセスを許可します。 |
|
行のグループから独立して、行の区分で認可されているデータへのセッション・アクセスを許可します。 |
|
セッションに対して、そのラベルと権限を別のユーザーのラベルおよび権限に変更することを許可します。 |
|
ユーザーに対して、行ラベル内でそのユーザーが認可されている最大レベル以下のレベルのみの設定または引上げを許可します。( |
|
ユーザーに対して、行ラベル内でそのユーザーが認可されている最小レベル以上のレベルへの設定または引下げを許可します。( |
|
ユーザーに対して、行ラベルのグループと区分の設定または変更は許可し、レベルの変更は禁止します。( |
SA_USER_ADMIN.SET_USER_PRIVSプロシージャは、ユーザー権限を付与します。
SA_USER_ADMIN.SET_USER_PRIVSを実行し、ポリシー名、ユーザー名および付与する権限を指定します。
次に例を示します。
BEGIN SA_USER_ADMIN.SET_USER_PRIVS( policy_name => 'ols_admin_pol', user_name => 'hpreston', privileges => 'WRITEDOWN'); END; /
SA_USER_ADMIN.SET_PROG_PRIVSプロシージャは、トラステッド・プログラム・ユニットに権限を付与します。
SA_USER_ADMIN.SET_PROG_PRIVSを実行して権限を付与し、ポリシー名、スキーマ名、プログラム・ユニット名および付与する権限を指定します。
次に例を示します。
BEGIN SA_USER_ADMIN.SET_PROG_PRIVS ( policy_name => 'oe_ols_pol', schema_name => 'oe', program_unit_name => 'check_order_updates', privileges => 'READ'); END; /
Oracle Label Securityポリシーへの認可および権限の付与を作成すると、それをデータベース表またはスキーマに適用できます。
表にポリシーを適用する場合、ポリシーは自動的に有効になります。
ポリシーを無効にすると保護がオフになりますが、ポリシーは表に適用されたままになります。ポリシーを有効にすると、特定の表またはスキーマに対するそのポリシーの保護がオンになり、強制されます。
ポリシーを削除すると、表またはスキーマから完全に削除されます。ただし、ポリシーのラベル列およびそのラベルは、明示的に削除しないかぎり表に残ります。
今後スキーマに作成できる表のデフォルトのポリシー強制オプションを変更できます。ただし、この変更は、スキーマにある既存の表のポリシー施行オプションには反映されません。
既存の表の強制オプションを変更するには、最初に表からポリシーを削除し、目的の変更を行ってから、ポリシーを表に再適用します。
外部表にOracle Label Securityポリシーを強制できないことに注意してください。
ポリシー・コンポーネントを作成し、ユーザー認証、権限およびそれらの監査を構成した後で、ポリシーをデータベース表またはスキーマ全体に適用できます。
ポリシーをデータベース表に適用する場合、ポリシー名およびターゲット・スキーマ表に加えて、次の情報を指定する必要があります。
table_options: 表に使用するポリシー強制オプションのカンマ区切りのリストです。NULLの場合は、ポリシーのデフォルト・オプションが使用されます。
label_function: デフォルトとして使用するラベル値を戻すファンクションをコールする文字列です。たとえば、my_label(:new.dept,:new.status)を指定すると、行のDEPT列とSTATUS列の新規の値に基づいてラベルが計算されます。
predicate: READ_CONTROLのラベルベースの述語と(ANDまたはORを使用して)結合する追加の述語です。
スキーマでOracle Label Securityのポリシーを使用する場合は、次の側面に注意してください。
ポリシーを空のスキーマに適用すると、そのスキーマ内で表を作成するたびにポリシーが適用されます。ポリシーをスキーマに適用すると、選択したデフォルト・オプションは追加するすべての表に適用されます。
保護を解除するために表からポリシーを削除してから、SA_POLICY_ADMIN.ENABLE_SCHEMA_POLICYを実行しても、その表の保護は解除されたままになります。表を再び保護する場合は、その表にポリシーを適用するか、スキーマにポリシーを再適用する必要があります。
すでにポリシーで保護されている表を含むスキーマにポリシーを適用すると、将来のすべての表には、ポリシーの適用時に指定した新規オプションが設定されます。既存の表に設定されていたオプションは変更されません。
SA_POLICY_ADMIN.APPLY_TABLE_POLICYプロシージャは、スキーマ内の表またはスキーマ全体のいずれかにポリシーを適用します。
SA_POLICY_ADMIN.APPLY_TABLE_POLICYを実行してポリシーをスキーマに適用し、ポリシー名、スキーマ名および必要なオプションを指定します。
次の例に、SA_POLICY_ADMIN.APPLY_TABLE_POLICYプロシージャを使用して、ols_admin_polポリシーをHR.EMPLOYEES表に適用する方法を示します。
BEGIN SA_USER_ADMIN.APPLY_TABLE_POLICY ( policy_name => 'ols_admin_pol', schema_name => 'hr', table_name => 'employees', table_options => 'READ_CONTROL,WRITE_CONTROL,CHECK_CONTROL', label_function => ''hr.gen_emp_label(:new.deptartment_id,:new.salary', predicate => NULL); END; /
この例に、SA_POLICY_ADMIN.APPLY_SCHEMA_POLICYプロシージャを使用してポリシーをスキーマ全体に適用する方法を示します。
BEGIN SA_USER_ADMIN.APPLY_SCHEMA_POLICY ( policy_name => 'ols_admin_pol', schema_name => 'hr', default_options => NULL); END; /
関連項目:
ポリシーを表に適用した後は、データ・ラベルを表の行に追加する必要があります。
これらのラベルは、以前に表内に作成したポリシーのラベル列に格納されています。表を更新するユーザーには、ポリシーに対するFULLセキュリティ権限が必要です。通常、このユーザーは表の所有者です。
ポリシーに対してユーザーを認可し、権限を付与した後で、各ユーザーおよびポリシー自体について監査を構成できます。
統合監査が有効になっていない場合は、この項の手順を使用して監査を構成します。有効になっている場合は、『Oracle Databaseセキュリティ・ガイド』の説明に従って統合監査ポリシーを作成する必要があります。
表5-10で、使用可能な監査オプションについて説明します。
表5-10 Oracle Label Securityの監査オプション
| オプション | 説明 |
|---|---|
|
表およびスキーマに対する指定したOracle Label Securityポリシーの適用を監査します。 |
|
表およびスキーマからの指定したOracle Label Securityポリシーの削除を監査します。 |
|
ユーザー認証およびユーザーとプログラムの権限の設定を監査します。 |
|
ポリシー固有のすべての権限の使用を監査します。 |
Oracle Enterprise Manager Cloud Controlで、Oracle Label Securityポリシーを作成できます。
内容は次のとおりです。
Cloud Controlで、Oracle Label Securityポリシーのデータ・ラベルを作成できます。
また、SA_LABEL_ADMINパッケージを使用してポリシーのラベル・コンポーネントを定義できます。
ユーザー作成プロセス中に、ポリシーに対するユーザーの認可、権限付与および監査の設定を行うことができます。
また、SA_USER_ADMINパッケージを使用してユーザーを認可する方法もあります。
Cloud Controlで、トラステッド・プログラム・ユニットに権限を付与できます。
また、SA_USER_ADMINパッケージを使用してトラステッド・プログラム・ユニットを認可する方法もあります。
Cloud Controlのデータベース表にOracle Label Securityポリシーを適用できます。
また、SA_POLICY_ADMINパッケージを使用して、表およびスキーマにポリシーを適用する方法もあります。
