Oracle Database VaultとAutonomous Databaseの使用
Oracle Database Vaultには、「Autonomous Data Warehouseデータベース」の強力なセキュリティ制御が実装されています。 これらの独自のセキュリティ制御によって、権限のあるデータベース・ユーザーによるアプリケーション・データへのアクセスが制限され、内部や外部の脅威のリスクが減少し、一般的なコンプライアンス要件に対処できます。
詳細については、「Oracle Database Vaultとは」を参照してください。
Autonomous DatabaseでのOracle Database Vaultユーザーおよびロール
Oracle Database Vaultは、不正なアクセスからアプリケーション・データを保護し、プライバシおよび規制上の要件に準拠するために管理者とデータ所有者間の義務の分離を実装するための強力なセキュリティ制御を提供します。
デフォルトでは、ADMINユーザーにはDV_OWNERロールとDV_ACCTMGRロールがあります。 DV_OWNERおよびDV_ACCTMGRアカウントに別々のユーザーを設定する場合は、「Oracle Database Vaultスキーマ、ロールおよびアカウント」を参照してください。
Oracle Database Vaultが有効になっている場合、ユーザー管理はデフォルトでAPEXコンポーネントに対して有効になっています。 ユーザー管理が有効な場合、CREATE | ALTER | DROPのユーザーに対して必要なロールを持つAPEXユーザーは、Database Vaultが有効なときにこれらの操作を実行するために必要な権限を持っています。 これを変更するには、「Autonomous DatabaseのOracle Database Vaultでのユーザー管理の無効化」を参照してください。
Oracle Database Vaultを有効にしたAutonomous Databaseでは、次の権限を付与します:
-
Oracle GoldenGateを使用するときは、
GGADMINユーザーDV_GOLDENGATE_ADMINおよびDV_GOLDENGATE_REDO_ACCESSを付与します。 -
ADMINユーザーは、Oracle Data Pumpを使用する必要があるユーザーに
BECOME USER権限を付与する必要があります。 一部のOracle Data Pump操作を実行するには、Oracle Database Vaultの承認が必要になる場合があります。 たとえば、全データベースのエクスポートを実行する場合や、レルムで保護されたスキーマをエクスポートする場合には、DBMS_MACADM.AUTHORIZE_DATAPUMP_USERを使用する必要があります。詳細については、「AUTHORIZE_DATAPUMP_USERプロシージャ」を参照してください。
Autonomous DatabaseでのOracle Database Vaultの有効化
Autonomous Database上でOracle Database Vaultを有効にするためのステップを示します。
Oracle Database Vaultは、Autonomous Databaseではデフォルトで無効になっています。 Autonomous DatabaseでOracle Database Vaultを構成して有効にするには、次の手順を実行します:
次のコマンドを使用して、Oracle Database Vaultが有効か無効かを確認します:
SELECT * FROM DBA_DV_STATUS;出力は、次のようになります。
NAME STATUS
-------------------- -----------
DV_CONFIGURE_STATUS TRUE
DV_ENABLE_STATUS TRUEDV_ENABLE_STATUS値TRUEでは、Oracle Database Vaultが有効になっていることが示されます。
ノート:
バックアップやパッチ適用などのAutonomous Databaseのメンテナンス操作は、Oracle Database Vaultが有効である場合は影響を受けません。Oracle Database Vaultの無効化の詳細は、「Autonomous DatabaseでのOracle Database Vaultの無効化」を参照してください。
Autonomous DatabaseでのOracle Database Vaultの無効化
Autonomous Database上でOracle Database Vaultを無効にするステップを示します。
Autonomous DatabaseでOracle Database Vaultを無効化するには、次の手順を実行します:
次のコマンドを使用して、Oracle Database Vaultが有効か無効かを確認します:
SELECT * FROM DBA_DV_STATUS;出力は、次のようになります。
NAME STATUS
-------------------- -----------
DV_CONFIGURE_STATUS TRUE
DV_ENABLE_STATUS FALSEDV_ENABLE_STATUS値FALSEでは、Oracle Database Vaultが有効になっていることが示されます。
Autonomous DatabaseのOracle Database Vaultでのユーザー管理の無効化
Oracle Database Vaultを有効にして、Autonomous Databaseで指定したコンポーネントに対するユーザー管理関連の操作を禁止する方法を示します。
Oracle Database Vaultが有効になっているAutonomous Databaseには、デフォルトでOracle Application Express (APEX)コンソールに対して有効なユーザー管理があります。 職務分掌を強化し、このコンソールからユーザー管理を禁止する場合は、DBMS_CLOUD_MACADM.DISABLE_USERMGMT_DATABASE_VAULTを使用します。
詳細については、「DISABLE_USERMGMT_DATABASE_VAULTプロシージャ」を参照してください。
Autonomous DatabaseのOracle Database Vaultでのユーザー管理の有効化
Oracle Database Vaultを有効にして、Autonomous Databaseで指定したコンポーネントのユーザー管理を許可するステップを示します。
Oracle Database Vaultが有効になっているAutonomous Databaseには、デフォルトでOracle Application Express (APEX)コンソールに対して有効なユーザー管理があります。 これにより、Autonomous Database内の指定されたコンポーネントからのCREATE USER、ALTER USER、DROP USERなどの操作に対するユーザー管理が可能になります。
DBMS_CLOUD_MACADM.ENABLE_USERMGMT_DATABASE_VAULTを使用して、Oracle Database Vaultが有効である場合に、指定されたユーザー・アカウントがユーザー管理を実行できるようにします。 ユーザー管理が無効で、再度有効にする場合は、この手順を使用します。
詳細については、「ENABLE_USERMGMT_DATABASE_VAULTプロシージャ」を参照してください。