14 Oracle Database Vaultのスキーマ、ロールおよびアカウント
Oracle Database Vaultには、Database Vaultオブジェクトが含まれるスキーマや、特定のタスクの職務分離を提供するロール、およびデフォルト・ユーザーのアカウントが用意されています。
- Oracle Database Vaultスキーマ
Oracle Database Vaultスキーマ(DVSYS
およびDVF
)は、Oracle Database Vaultの管理およびランタイム処理をサポートしています。 - Oracle Database Vaultロール
Oracle Database Vaultには、実行する必要がある特定のユーザー・タスクに基づいていて、職務分離の概念に従うデフォルト・ロールが用意されています。 - 登録中に作成されるOracle Database Vaultアカウント
登録プロセスの間に、Oracle Database Vault所有者およびOracle Database Vaultアカウント・マネージャのためのアカウントを作成する必要があります。 - バックアップOracle Database Vaultアカウント
ベスト・プラクティスとして、DV_OWNER
ロールとDV_ACCTMGR
ロールのバックアップ・アカウントを保持することをお薦めします。
14.1 Oracle Database Vaultスキーマ
Oracle Database Vaultスキーマ(DVSYS
およびDVF
)は、Oracle Database Vaultの管理およびランタイム処理をサポートしています。
14.1.1 DVSYSスキーマ
DVSYS
スキーマには、Oracle Database Vaultデータベース・オブジェクトが含まれます。
このオブジェクトは、Oracle Database Vault構成情報を格納し、Oracle Database Vaultの管理およびランタイム処理をサポートしています。
デフォルト・インストールでは、DVSYS
スキーマはロックされています。DVSYS
スキーマは、AUDIT_TRAIL$
表も所有します。
マルチテナント・データベース環境で、DVSYS
スキーマは共通スキーマとみなされます(すなわち、DVSYS
内のオブジェクト(表、ビュー、PL/SQLパッケージなど)は任意の子プラガブル・データベース(PDB)で自動的に利用できます)。また、DVSYS
スキーマ・アカウントは、ALTER SESSION
文を使用して他のコンテナに切り替えることはできません。
Oracle Database Vaultでは、保護スキーマ設計を使用してDVSYS
スキーマを保護します。保護スキーマ設計により、スキーマはシステム権限(SELECT ANY TABLE
、CREATE ANY VIEW
、DROP ANY
など)の不正使用から保護されます。
DVSYS
スキーマは、Oracle Database Vaultによって次のように保護されます。
-
DVSYS
保護スキーマとその管理ロールは削除できません。デフォルトで、DVSYS
アカウントはロックされています。 -
デフォルトでは、ユーザーは
DVSYS
アカウントに直接ログインできません。ユーザーがこのアカウントに直接ログインできるように制御するには、DBMS_MACADM.DISABLE_DV_DICTIONARY_ACCTS
プロシージャを実行してユーザーがログインできないようにして、DBMS_MACADM.ENABLE_DV_DICTIONARY_ACCTS
プロシージャを実行してログインを許可します。 -
CREATE USER
、ALTER USER
、DROP USER
、CREATE PROFILE
、ALTER PROFILE
、DROP PROFILE
などの文は、DV_ACCTMGR
ロールを持つユーザーのみが発行できます。SYSDBA
管理権限でログインしたユーザーは、「アカウント/プロファイルを保守可能」ルール・セットを変更して許可された場合のみこれらの文を発行できます。 -
データベース定義言語(DDL)およびデータ操作言語(DML)のコマンドに対する強力な
ANY
システム権限は、保護スキーマではブロックされます。つまり、DVSYS
スキーマのオブジェクトは、スキーマ・アカウント自体によって作成される必要があります。また、スキーマ・オブジェクトへのアクセスは、オブジェクト権限の付与により認可される必要があります。 -
DVSYS
スキーマのオブジェクト権限は、スキーマのDatabase Vault管理ロールにのみ付与できます。つまり、ユーザーは、事前定義済管理ロールによってのみ保護スキーマにアクセスできます。 -
スキーマのDatabase Vault事前定義済管理ロールに対して
ALTER ROLE
文を発行できるのは、保護されたスキーマ・アカウントDVSYS
のみです。Oracle Database Vaultの事前定義済管理ロールの詳細は、「Oracle Database Vaultのロール」で説明します。 -
SQL文の実行に、
SYS.DBMS_SYS_SQL.PARSE_AS_USER
プロシージャを保護スキーマDVSYS
のかわりに使用することはできません。
ノート:
データベース・ユーザーは、Oracle Database Vaultの管理ロール(たとえばDV_ADMIN
およびDV_OWNER
)に、追加のオブジェクト権限およびロールを付与できます。ただし、付与に十分な権限がある場合にかぎります。
親トピック: Oracle Database Vaultスキーマ
14.1.2 DVFスキーマ
DVF
スキーマは、Oracle Database Vault DBMS_MACSEC_FUNCTION
PL/SQLパッケージの所有者です。
このパッケージには、ファクタ・アイデンティティを取得するファンクションが含まれます。Oracle Database Vaultのインストール後、DVF
アカウントをより確実に保護するために、このアカウントがインストール処理によってロックされます。新しいファクタを作成すると、Oracle Database Vaultでそのファクタの取得ファンクションが新たに作成され、このスキーマに保存されます。
マルチテナント環境で、DVF
ユーザーはALTER SESSION
文を使用して他のコンテナに切り替えることはできません。
デフォルトでは、ユーザーはDVF
アカウントに直接ログインできません。ユーザーがこのアカウントに直接ログインできるように制御するには、DBMS_MACADM.DISABLE_DV_DICTIONARY_ACCTS
プロシージャを実行してユーザーがログインできないようにして、DBMS_MACADM.ENABLE_DV_DICTIONARY_ACCTS
プロシージャを実行してログインを許可します。
親トピック: Oracle Database Vaultスキーマ
14.2 Oracle Database Vaultロール
Oracle Database Vaultには、実行する必要がある特定のユーザー・タスクに基づいていて、職務分離の概念に従うデフォルト・ロールが用意されています。
- Oracle Database Vaultロールについて
Oracle Database Vaultには、Oracle Database Vaultの管理に必要な一連のロールが用意されています。 - Oracle Database Vaultロールの権限
Oracle Database Vaultのロールは、職務分離の利点が最大限に高まるよう設計されています。 - ユーザーへのOracle Database Vaultのロールの付与
Enterprise Manager Cloud Controlを使用して、ユーザーにOracle Database Vaultのロールを付与できます。 - DV_ACCTMGR Database Vaultアカウント・マネージャ・ロール
DV_ACCTMGR
ロールは強力なロールであり、アカウント管理のために使用します。 - DV_ADMIN Database Vault構成管理者ロール
DV_ADMIN
ロールはOracle Database VaultのPL/SQLパッケージを制御します。 - DV_AUDIT_CLEANUP監査証跡クリーンアップ・ロール
DV_AUDIT_CLEANUP
ロールは、パージ操作のために使用します。 - DV_DATAPUMP_NETWORK_LINK Data Pumpネットワーク・リンク・ロール
DV_DATAPUMP_NETWORK_LINK
ロールはData Pumpインポート操作のために使用します。 - DV_GOLDENGATE_ADMIN GoldenGate管理ロール
DV_GOLDENGATE_ADMIN
ロールは、Oracle GoldenGateとともに使用します。 - DV_GOLDENGATE_REDO_ACCESS GoldenGate REDOログ・ロール
DV_GOLDENGATE_REDO_ACCESS
ロールは、Oracle GoldenGateとともに使用します。 - DV_MONITOR Database Vault監視ロール
DV_MONITOR
ロールはOracle Database Vaultを監視するために使用します。 - DV_OWNER Database Vault所有者ロール
DV_OWNER
ロールでは、Oracle Database Vaultロールおよびその構成を管理できます。 - DV_PATCH_ADMIN Database Vaultデータベース・パッチ・ロール
DV_PATCH_ADMIN
ロールは、パッチ操作のために使用します。 - DV_POLICY_OWNER Database Vault所有者ロール
DV_POLICY_OWNER
ロールでは、データベース・ユーザーが、制限されたレベルのOracle Database Vaultポリシーを管理できるようになります。 - DV_PUBLIC Database Vault PUBLICロール
DV_PUBLIC
ロールは使用されなくなりました。 - DV_REALM_OWNER Database VaultレルムDBAロール
DV_REALM_OWNER
ロールは、レルム管理のために使用します。 - DV_REALM_RESOURCE Database Vaultアプリケーション・リソース所有者ロール
DV_REALM_RESOURCE
ロールは、レルム・リソースの管理のために使用します。 - DV_SECANALYST Database Vaultセキュリティ分析者ロール
DV_SECANALYST
ロールでは、アクティビティを分析できます。 - DV_STREAMS_ADMIN Oracle Streams構成ロール
DV_STREAMS_ADMIN
ロールは、Oracle Streamsとともに使用します。 - DV_XSTREAM_ADMIN XStream管理ロール
DV_XSTREAM_ADMIN
ロールは、Oracle XStreamのために使用します。
14.2.1 Oracle Database Vaultロールについて
Oracle Database Vaultには、Oracle Database Vaultの管理に必要な一連のロールが用意されています。
図14-1では、これらのロールが、データベース内の職務分離の第1段階を実現するためにどのように設計されているかを示します。これらのロールをどのように使用するかは、会社の要件によって異なります。
ノート:
追加のオブジェクト権限およびロールをOracle Database Vaultロールに付与して、権限の範囲を拡大できます。たとえば、SYSDBA
管理権限でログインしたユーザーは、オブジェクトがDVSYS
スキーマまたはレルムにないかぎり、オブジェクト権限をOracle Database Vaultロールに付与できます。
14.2.2 Oracle Database Vaultロールの権限
Oracle Database Vaultのロールは、職務分離の利点が最大限に高まるよう設計されています。
DV_PATCH_ADMIN
、DV_STREAMS_ADMIN
、DV_XSTREAM
、DV_GOLDENGATE_ADMIN
およびDV_GOLDENGATE_REDO_ACCESS
ロールは、システム権限がないため、次のセクションには含まれていません。
DVSYSスキーマ、EXECUTE権限
この権限を使用できるロール:
DV_ADMIN
(すべてのOracle Database Vault PL/SQLパッケージに対するEXECUTE
権限が含まれます)DV_OWNER
(すべてのOracle Database Vault PL/SQLパッケージに対するEXECUTE
権限が含まれます)DV_POLICY_OWNER
(一部のDBMS_MACADM
プロシージャ)
この権限を拒否されるロール:
DV_ACCTMGR
DV_AUDIT_CLEANUP
DV_MONITOR
DV_PUBLIC
DV_REALM_OWNER
DV_REALM_RESOURCE
DV_SECANALYST
DVSYSスキーマ、SELECT権限
この権限を使用できるロール:
DV_ADMIN
DV_AUDIT_CLEANUP
(一部のDatabase Vault表とビュー。AUDIT_TRAIL$
表、DV$ENFORCEMENT_AUDIT
ビューおよびDV$CONFIGURATION_AUDIT
ビューに対してSELECT
文を実行できます)DV_MONITOR
DV_OWNER
DV_POLICY_OWNER
(一部のDBMS_MACADM
プロシージャおよびPOLICY_OWNER
*ビューのみ)DV_SECANALYST
(一部のDatabase Vaultビュー。DV_SECANALYST
は、Oracle Database Vaultで提供されるビューを介して、DVSYS
スキーマ・オブジェクトに問合せできます)
この権限を拒否されるロール:
DV_ACCTMGR
DV_PUBLIC
DV_REALM_OWNER
DV_REALM_RESOURCE
DVSYSスキーマ、DELETE権限
この権限を使用できるロール:
DV_AUDIT_CLEANUP
(一部のDatabase Vault表とビュー、AUDIT_TRAIL$
表、DV$ENFORCEMENT_AUDIT
ビューおよびDV$CONFIGURATION_AUDIT
ビューに対してDELETE
を実行できます)DV_OWNER
(一部のDatabase Vault表とビュー、AUDIT_TRAIL$
表、DV$ENFORCEMENT_AUDIT
ビューおよびDV$CONFIGURATION_AUDIT
ビューに対してDELETE
を実行できます)
この権限を拒否されるロール:
DV_ACCTMGR
DV_ADMIN
DV_MONITOR
DV_POLICY_OWNER
DV_PUBLIC
DV_REALM_OWNER
DV_REALM_RESOURCE
DV_SECANALYST
DVSYSスキーマ、オブジェクトの権限の付与
この権限を使用できるロール: なし
この権限を拒否されるロール:
DV_ACCTMGR
DV_ADMIN
DV_AUDIT_CLEANUP
DV_MONITOR
DV_OWNER
DV_POLICY_OWNER
DV_PUBLIC
DV_SECANALYST
DV_REALM_OWNER
DV_REALM_RESOURCE
DVFスキーマ、EXECUTE権限
この権限を使用できるロール:
DV_OWNER
この権限を拒否されるロール:
DV_ACCTMGR
DV_ADMIN
DV_AUDIT_CLEANUP
DV_MONITOR
DV_OWNER
DV_POLICY_OWNER
DV_PUBLIC
DV_REALM_OWNER
DV_REALM_RESOURCE
DV_SECANALYST
DVFスキーマ、SELECT権限
この権限を使用できるロール:
DV_OWNER
DV_SECANALYST
この権限を拒否されるロール:
DV_ACCTMGR
DV_ADMIN
DV_AUDIT_CLEANUP
DV_MONITOR
DV_POLICY_OWNER
DV_PUBLIC
DV_REALM_OWNER
DV_REALM_RESOURCE
Database Vaultの監視権限
この権限を使用できるロール:
DV_ADMIN
DV_OWNER
DV_MONITOR
DV_SECANALYST
この権限を拒否されるロール:
DV_ACCTMGR
DV_AUDIT_CLEANUP
DV_POLICY_OWNER
DV_PUBLIC
DV_REALM_OWNER
DV_REALM_RESOURCE
Database Vaultレポートの実行権限
この権限を使用できるロール:
DV_ADMIN
DV_OWNER
DV_SECANALYST
この権限を拒否されるロール:
DV_ACCTMGR
DV_AUDIT_CLEANUP
DV_MONITOR
DV_POLICY_OWNER
DV_PUBLIC
DV_REALM_OWNER
DV_REALM_RESOURCE
SYSスキーマ、SELECT権限
この権限を使用できるロール:
DV_MONITOR
DV_OWNER
DV_SECANALYST
(DV_OWNER
およびDV_ADMIN
と同じシステム・ビュー)
この権限を拒否されるロール:
DV_ACCTMGR
DV_ADMIN
DV_AUDIT_CLEANUP
DV_POLICY_OWNER
DV_PUBLIC
DV_REALM_OWNER
DV_REALM_RESOURCE
SYSMANスキーマ、SELECT権限
この権限を使用できるロール:
DV_OWNER
(SYSMAN
の一部)DV_SECANALYST
(SYSMAN
の一部)
この権限を拒否されるロール:
DV_ACCTMGR
DV_ADMIN
DV_AUDIT_CLEANUP
DV_MONITOR
DV_POLICY_OWNER
DV_PUBLIC
DV_REALM_OWNER
DV_REALM_RESOURCE
ユーザー・アカウントおよびプロファイルのCREATE、ALTER、DROP権限
この権限には、DVSYS
アカウントの削除や変更、およびDVSYS
パスワードの変更のための権限は含まれません。
この権限を使用できるロール:
DV_ACCTMGR
この権限を拒否されるロール:
DV_ADMIN
DV_AUDIT_CLEANUP
DV_MONITOR
DV_OWNER
DV_POLICY_OWNER
DV_PUBLIC
DV_REALM_OWNER
DV_REALM_RESOURCE
DV_SECANALYST
レルムを定義するスキーマのオブジェクトの管理
この権限には、CREATE ANY
、ALTER ANY
およびDROP ANY
など、ANY
権限が含まれます。
この権限を使用できるロール:
DV_REALM_OWNER
(このロールがあるユーザーは、システム権限を使用するには、レルム参加者またはレルム所有者である必要もあります。)
この権限を拒否されるロール:
DV_ACCTMGR
DV_AUDIT_CLEANUP
DV_ADMIN
DV_MONITOR
DV_OWNER
(SYSMAN
の一部)DV_POLICY_OWNER
DV_PUBLIC
DV_REALM_RESOURCE
DV_SECANALYST
(SYSMAN
の一部)
RESOURCEロール権限
RESOURCE
ロールは、CREATE CLUSTER
、CREATE INDEXTYPE
、CREATE OPERATOR
、CREATE PROCEDURE
、CREATE SEQUENCE
、CREATE TABLE
、CREATE TRIGGER
、CREATE TYPE
といったシステム権限を提供します。
この権限を使用できるロール:
DV_REALM_RESOURCE
この権限を拒否されるロール:
DV_ACCTMGR
DV_ADMIN
DV_AUDIT_CLEANUP
DV_MONITOR
DV_OWNER
(SYSMAN
の一部)DV_POLICY_OWNER
DV_PUBLIC
DV_REALM_OWNER
DV_SECANALYST
(SYSMAN
の一部)
親トピック: Oracle Database Vaultロール
14.2.3 ユーザーへのOracle Database Vaultのロールの付与
Enterprise Manager Cloud Controlを使用して、ユーザーにOracle Database Vaultのロールを付与できます。
親トピック: Oracle Database Vaultロール
14.2.4 DV_ACCTMGR Database Vaultアカウント・マネージャ・ロール
DV_ACCTMGR
ロールは強力なロールであり、アカウント管理のために使用します。
DV_ACCTMGR
ロールを使用して、データベース・アカウントとデータベース・プロファイルの作成および管理を行います。このマニュアルでは、例のDV_ACCTMGR
ロールがbea_dvacctmgr
というユーザーに割り当てられます。
DV_ACCTMGRロールに関連付けられた権限
このロールを付与されているユーザーは、DV_SECANALYST
、DV_AUDIT_CLEANUP
およびDV_MONITOR
ロールを付与されているユーザーを含め、ユーザー・アカウントまたはプロファイルに対してCREATE
文、ALTER
文、DROP
文を使用できます。
このユーザーは、他のユーザーにCREATE SESSION
権限を付与することもできます。ただし、DV_ACCTMGR
ロールを付与されているユーザーは、次の操作は実行できません。
-
DVSYS
アカウントに対するALTER
文またはDROP
文 -
DV_ADMIN
またはDV_OWNER
ロールが付与されているユーザーに対するALTER
文またはDROP
文 -
DV_ADMIN
またはDV_OWNER
ロールが付与されているユーザーのパスワード変更
CDBルート内のDV_ACCTMGR
ロールを付与された共通ユーザーは、共通DV_ACCTMGR
ユーザーにPDBでのSET CONTAINER
権限またはDV_ACCTMGR
ロールがない場合でも、CDBルート内の共通ユーザーまたは共通プロファイルを変更できます。
DV_ACCTMGR
ロールに関連付けられたシステム権限とオブジェクト権限の完全なリストを検索するには、十分な権限でデータベース・インスタンスにログインし、次の問合せを入力します。
SELECT TABLE_NAME, OWNER, PRIVILEGE FROM DBA_TAB_PRIVS WHERE GRANTEE = 'DV_ACCTMGR'; SELECT PRIVILEGE FROM DBA_SYS_PRIVS WHERE GRANTEE = 'DV_ACCTMGR';
ヒント:
-
DV_ACCTMGR
ユーザーが他のユーザーにANY
権限を付与または取り消せるようにする場合は、SYSDBA
権限を持つユーザーSYS
としてログインし、このユーザーにGRANT ANY PRIVILEGE
権限およびREVOKE ANY PRIVILEGE
権限を付与します。次に、このユーザーを所有者としてOracleシステム権限およびロール管理レルムに追加します。 -
DV_ACCTMGR
ユーザーの別個の名前付きアカウントを作成することをお薦めします。これにより、このユーザーがパスワードを忘れた場合、元のDV_ACCTMGR
アカウントとしてログインして、ユーザーのパスワードをリセットできます。それ以外の場合は、Oracle Database Vaultを無効にし、SYS
またはSYSTEM
としてログインしてパスワードを再作成し、Oracle Database Vaultを再び有効にする必要があります。
DV_ACCTMGRがGRANT操作とREVOKE操作に及ぼす影響
SYS
やSYSTEM
など、GRANT ANY ROLE
システム権限のみを持つアカウントには、他のデータベース・アカウントに対してこのロールを付与する権限または取り消す権限がありません。
DV_ACCTMGR
ロールおよびADMIN OPTION
を持つアカウントは、このロールを指定されたデータベース・アカウントに付与することも、他のアカウントからこのロールを取り消すこともできます。
Oracle Database Vaultセキュリティを無効にした場合のDV_ACCTMGRステータス
すべてのOracle Databaseロールの保護は、Oracle Database Vaultが有効な場合のみ実施されます。
Oracle Database Vaultが無効になっている場合、GRANT ANY ROLE
システム権限を持つアカウントはすべて、保護対象のDatabase Vaultロールに対してGRANT
操作およびREVOKE
操作を実行できます。
親トピック: Oracle Database Vaultロール
14.2.5 DV_ADMIN Database Vault構成管理者ロール
DV_ADMIN
ロールはOracle Database VaultのPL/SQLパッケージを制御します。
これらのパッケージは、Oracle Enterprise Manager Cloud ControlでDatabase Vault Administratorユーザー・インタフェースの基礎となるインタフェースです。
DV_ADMINロールに関連付けられた権限
DV_ADMIN
ロールは、DVSYS
パッケージ(DBMS_MACADM
およびDBMS_MACUTL
)に対するEXECUTE
権限を保持します。
また、DV_ADMIN
にはDV_SECANALYST
ロールによって提供された機能が含まれるため、これを使用するとOracle Database Vaultレポートの実行やOracle Database Vaultの監視が可能になります。インストール中、DV_ADMIN
ロールがDV_OWNER
ロールにADMIN OPTION
付きで付与されます。
また、DV_ADMIN
ロールは、DBA_DV_POLICY
、DBA_DV_POLICY_OWNER
およびDBA_DV_POLICY_OBJECT
データ・ディクショナリ・ビューに対するSELECT
権限を提供します。
DV_ADMIN
ロールに関連付けられたシステム権限とオブジェクト権限の完全なリストを検索するには、十分な権限でデータベース・インスタンスにログインし、次の問合せを入力します。
SELECT TABLE_NAME, OWNER, PRIVILEGE FROM DBA_TAB_PRIVS WHERE GRANTEE = 'DV_ADMIN'; SELECT PRIVILEGE FROM DBA_SYS_PRIVS WHERE GRANTEE = 'DV_ADMIN';
DV_ADMINがGRANT操作とREVOKE操作に及ぼす影響
SYS
やSYSTEM
など、GRANT ANY ROLE
システム権限のみを持つアカウントには、他のデータベース・アカウントに対してDV_ADMIN
を付与する権限または取り消す権限がありません。
DV_OWNER
ロールを持つユーザーは、任意のデータベース・アカウントに対してこのロールを付与する、または取り消すことができます。
DV_ADMINロールを持つユーザーのパスワード変更の管理
DV_ADMIN
ロールを付与されているユーザーのパスワードを変更するには、あらかじめ、このアカウントからDV_ADMIN
ロールを取り消しておく必要があります。
DV_ADMIN
ロールを付与されているユーザーは、自分自身からロールを取り消さなくても、自分のパスワードを変更できます。
DV_ADMIN
ユーザー・パスワードを変更するには、次のようにします。
-
DV_OWNER
ロールを付与されているアカウントを使用して、データベース・インスタンスにログインします。 -
パスワード変更が必要なユーザー・アカウントから
DV_ADMIN
ロールを取り消します。 -
DV_ACCTMGR
ロールを付与されているユーザーとして接続し、このユーザーのパスワードを変更します。 -
DV_OWNER
ユーザーとして接続し、DV_ADMIN
ロールをパスワードを変更したユーザーに再び付与します。
Oracle Database Vaultセキュリティを無効にした場合のDV_ADMINステータス
すべてのOracle Database Vaultロールの保護は、Oracle Database Vaultが有効な場合のみ実施されます。
Oracle Database Vaultが無効になっている場合、GRANT ANY ROLE
システム権限を持つアカウントはすべて、保護対象のDatabase Vaultロールに対してGRANT
操作およびREVOKE
操作を実行できます。
親トピック: Oracle Database Vaultロール
14.2.6 DV_AUDIT_CLEANUP監査証跡クリーンアップ・ロール
DV_MONITOR
ロールはパージ操作のために使用します。
非統合監査環境でDatabase Vault監査証跡のパージを担当するユーザーにDV_AUDIT_CLEANUP
ロールを付与します。
このロールを使用してパージ操作を完了する方法については、「Oracle Database Vault監査証跡のアーカイブおよびパージ」で説明します。
DV_AUDIT_CLEANUPロールに関連付けられた権限
DV_AUDIT_CLEANUP
ロールには、Database Vault関連の3つの監査ビューに対してSELECT
およびDELETE
権限があります。
-
DVSYS.AUDIT_TRAIL$
表に対するSELECT
およびDELETE
-
DVSYS.DV$ENFORCEMENT_AUDIT
ビューに対するSELECT
およびDELETE
-
DVSYS.DV$CONFIGURATION_AUDIT
ビューに対するSELECT
およびDELETE
DV_AUDIT_CLEANUPがGRANT操作とREVOKE操作に及ぼす影響
デフォルトでは、このロールは、ADMIN OPTION
付きのDV_OWNER
ロールに付与されます。
DV_OWNER
ロールを付与されているユーザーのみ、別のユーザーに対してDV_AUDIT_CLEANUP
ロールを付与する、または取り消すことができます。
Oracle Database Vaultセキュリティを無効にした場合のDV_AUDIT_CLEANUPステータス
すべてのOracle Database Vaultロールの保護は、Oracle Database Vaultが有効な場合のみ実施されます。
Oracle Database Vaultが無効になっている場合、GRANT ANY ROLE
システム権限を持つアカウントはすべて、保護対象のDatabase Vaultロールに対してGRANT
操作およびREVOKE
操作を実行できます。
親トピック: Oracle Database Vaultロール
14.2.7 DV_DATAPUMP_NETWORK_LINK Data Pumpネットワーク・リンク・ロール
DV_DATAPUMP_NETWORK_LINK
ロールはData Pumpインポート操作のために使用します。
Oracle Database Vault環境でNETWORK_LINK
トランスポータブルData Pumpインポート操作の実行を担当するユーザーにDV_DATAPUMP_NETWORK_LINK
ロールを付与します。
このロールを使用すると、Oracle Data PumpのNETWORK_LINK
トランスポータブル・インポート・プロセスをDatabase Vaultで厳格に制御できます。ただし、通常のOracle Data Pump操作を実行する方法は変更または制限されません。
DV_DATAPUMP_NETWORK_LINKロールに関連付けられた権限
DV_DATAPUMP_NETWORK_LINK
ロールに関連付けられているシステム権限はありませんが、DVSYS
オブジェクトに対するEXECUTE
権限を持ちます。
DV_DATAPUMP_NETWORK_LINK
オブジェクト権限の完全なリストを検索するには、十分な権限でデータベース・インスタンスにログインし、次の問合せを入力します。
SELECT TABLE_NAME, OWNER, PRIVILEGE FROM DBA_TAB_PRIVS WHERE GRANTEE = 'DV_DATAPUMP_NETWORK_LINK';
DV_DATAPUMP_NETWORK_LINK
ロールでは、NETWORK_LINK
トランスポータブルData Pumpインポート操作を実行するための十分なデータベース権限が提供されないことに注意してください。DV_DATAPUMP_NETWORK_LINK
ロールは、データベース管理者がOracle Database Vault環境でNETWORK_LINK
トランスポータブルData Pumpインポートを実行するための追加要件(Oracle Data Pumpで現在必要な権限を補うもの)です。
DV_DATAPUMP_NETWORK_LINKがGRANT操作とREVOKE操作に及ぼす影響
DV_OWNER
ロールを付与されているユーザーのみ、別のユーザーに対してDV_DATAPUMP_NETWORK_LINK
ロールを付与する、または取り消すことができます。
Oracle Database Vaultセキュリティを無効にした場合のDV_DATAPUMP_NETWORK_LINKステータス
すべてのOracle Databaseロールの保護は、Oracle Database Vaultが有効な場合のみ実施されます。
Oracle Database Vaultが無効になっている場合、GRANT ANY ROLE
システム権限を持つアカウントはすべて、保護対象のDatabase Vaultロールに対してGRANT
操作およびREVOKE
操作を実行できます。
14.2.8 DV_GOLDENGATE_ADMIN GoldenGate管理ロール
DV_GOLDENGATE_ADMIN
ロールはOracle GoldenGateとともに使用します。
thetoを、Oracle Database Vault環境でOracle GoldenGateの構成を担当する任意のユーザーに付与します。
これにより、Oracle GoldenGateプロセスの管理をDatabase Vaultで厳格に制御できます。ただし、管理者が通常Oracle GoldenGateを管理する方法は変更または制限されません。
DV_GOLDENGATE_ADMINロールに関連付けられた権限
DV_GOLDENGATE_ADMIN
ロールに関連付けられた権限はありません。
DV_GOLDENGATE_ADMIN
ロールは、Oracle GoldenGateを構成するための十分なデータベース権限は提供しません。正確には、DV_GOLDENGATE_ADMIN
ロールは、データベース管理者がOracle Database Vault環境でOracle GoldenGateを構成するための追加要件(Oracle GoldenGateで現在必要な権限を補うもの)です。
DV_GOLDENGATE_ADMINがGRANT操作とREVOKE操作に及ぼす影響
DV_OWNER
ロールを付与されているユーザーのみ、別のユーザーに対してDV_GOLDENGATE_ADMIN
ロールを付与する、または取り消すことができます。
Oracle Database Vaultセキュリティを無効にした場合のDV_GOLDENGATE_ADMINステータス
すべてのOracle Databaseロールの保護は、Oracle Database Vaultが有効になっている場合にのみ適用されます。
Oracle Database Vaultが無効になっている場合、GRANT ANY ROLE
システム権限を持つアカウントはすべて、保護対象のDatabase Vaultロールに対してGRANT
操作およびREVOKE
操作を実行できます。
14.2.9 DV_GOLDENGATE_REDO_ACCESS GoldenGate REDOログ・ロール
DV_GOLDENGATE_REDO_ACCESS
ロールはOracle GoldenGateとともに使用します。
DV_GOLDENGATE_REDO_ACCESS
ロールを、Oracle Database Vault環境でOracle GoldenGateのTRANLOGOPTIONS DBLOGREADER
メソッドの使用によるREDOログへのアクセスを担当する任意のユーザーに付与します。
これにより、Oracle GoldenGateプロセスの管理をDatabase Vaultで厳格に制御できます。ただし、管理者が通常Oracle GoldenGateを管理する方法は変更または制限されません。
DV_GOLDENGATE_REDO_ACCESSロールに関連付けられた権限
DV_GOLDENGATE_REDO_ACCESS
ロールに関連付けられた権限はありません。
DV_GOLDENGATE_REDO_ACCESS
ロールは、Oracle GoldenGateを構成するための十分なデータベース権限は提供しません。DV_GOLDENGATE_REDO_ACCESS
ロールは、データベース管理者がOracle Database Vault環境でOracle Streamsを構成するための追加要件(Oracle GoldenGateで現在必要な権限を補うもの)です。
DV_GOLDENGATE_REDO_ACCESSがGRANT操作とREVOKE操作に及ぼす影響
DV_GOLDENGATE_REDO_ACCESS
ロールをADMIN OPTION
付きで付与することはできません。
DV_OWNER
ロールを付与されているユーザーのみ、別のユーザーに対してDV_GOLDENGATE_REDO_ACCESS
ロールを付与する、または取り消すことができます。
Oracle Database Vaultセキュリティを無効にした場合のDV_GOLDENGATE_REDO_ACCESSステータス
すべてのOracle Databaseロールの保護は、Oracle Database Vaultが有効な場合のみ実施されます。
Oracle Database Vaultが無効になっている場合、GRANT ANY ROLE
システム権限を持つアカウントはすべて、保護対象のDatabase Vaultロールに対してGRANT
操作およびREVOKE
操作を実行できます。
14.2.10 DV_MONITOR Database Vault監視ロール
DV_MONITOR
ロールはOracle Database Vaultを監視するために使用します。
DV_MONITOR
ロールにより、Oracle Enterprise Manager Cloud Controlエージェントは、Oracle Database Vaultでレルムまたはコマンド・ルール定義に関する違反未遂および構成の問題を監視できます。
このロールにより、Cloud Controlでは、レルム定義およびコマンド・ルール定義を読み取ってデータベース間で伝播できます。
DV_MONITORロールに関連付けられた権限
DV_MONITOR
ロールに関連付けられているシステム権限はありませんが、SYS
オブジェクトとDVSYS
オブジェクトに対するSELECT
権限を持ちます。
また、DV_MONITOR
ロールは、DBA_DV_POLICY
、DBA_DV_POLICY_OWNER
およびDBA_DV_POLICY_OBJECT
データ・ディクショナリ・ビューに対するSELECT
権限を提供します。
DV_MONITOR
オブジェクト権限の完全なリストを検索するには、十分な権限(DV_OWNER
など)でデータベース・インスタンスにログインし、次の問合せを入力します。
SELECT TABLE_NAME, OWNER, PRIVILEGE FROM DBA_TAB_PRIVS WHERE GRANTEE = 'DV_MONITOR';
DV_MONITORがGRANT操作とREVOKE操作に及ぼす影響
デフォルトでは、DV_MONITOR
ロールはDV_OWNER
ロールおよびDBSNMP
ユーザーに付与されます。
DV_OWNER
ロールを付与されているユーザーのみ、別のユーザーに対してDV_MONITOR
ロールを付与する、または取り消すことができます。
Oracle Database Vaultセキュリティを無効にした場合のDV_MONITORステータス
すべてのOracle Database Vaultロールの保護は、Oracle Database Vaultが有効な場合のみ実施されます。
Oracle Database Vaultが無効になっている場合、GRANT ANY ROLE
システム権限を持つアカウントはすべて、保護対象のDatabase Vaultロールに対してGRANT
操作およびREVOKE
操作を実行できます。
14.2.11 DV_OWNER Database Vault所有者ロール
DV_OWNER
ロールでは、Oracle Database Vaultロールおよびその構成を管理できます。
『Oracle Database Vault管理者ガイド』では、このロールを使用するサンプル・アカウントはleo_dvowner
です。
DV_OWNERロールに関連付けられた権限
DV_OWNER
ロールには、DV_ADMIN
ロールによって提供される管理機能とDV_SECANALYST
ロールによって提供されるレポート機能が含まれます。
このロールには、Oracle Database Vaultを監視する権限も備わっています。Oracle Database Vaultのインストール時に作成され、DVSYS
スキーマに対するほとんどの権限を有します。DV_ADMIN
ロールも有しています。
DV_OWNER
ロールに関連付けられたシステム権限とオブジェクト権限をすべて示すリストを確認するには、データベース・インスタンスにログインし、次の問合せを入力します。
SELECT TABLE_NAME, OWNER, PRIVILEGE FROM DBA_TAB_PRIVS WHERE GRANTEE = 'DV_OWNER'; SELECT PRIVILEGE FROM DBA_SYS_PRIVS WHERE GRANTEE = 'DV_OWNER';
Oracle Database Vaultをインストールして登録すると、DV_OWNER
アカウントが作成されます。このロールを付与されたユーザーは、ADMIN
オプションも付与され、任意のOracle Database Vaultロール(DV_ACCTMGR
を除く)を任意のアカウントに付与できます。また、このロールを付与されたユーザーは、Oracle Database Vaultレポートの実行およびOracle Database Vaultの監視ができます。
ヒント:
DV_OWNER
ユーザーの別個の名前付きアカウントを作成することをお薦めします。これにより、ユーザーが使用できなくなった場合(退社した場合など)、このユーザー・アカウントを再作成して、このユーザーにDV_OWNER
ロールを付与できます。
DV_OWNERがGRANT操作とREVOKE操作に及ぼす影響
DV_OWNER
ロールを持つすべてのユーザーは、別のユーザーにDV_OWNER
およびDV_ADMIN
ロールを付与できます。
このロールを付与されたアカウントは、付与されたDatabase Vaultロールを別のアカウントから取り消すことができます。SYS
やSYSTEM
など、GRANT ANY ROLE
システム権限のみを持つ(直接またはロールを使用して間接的に付与された)アカウントには、他のデータベース・アカウントに対してDV_OWNER
ロールを付与する権限または取り消す権限がありません。また、DV_OWNER
ロールを持つユーザーは、DV_ACCTMGR
ロールの付与または取消しを実行できません。
DV_OWNERロールを持つユーザーのパスワード変更の管理
DV_OWNER
ロールを付与されている他のユーザーのパスワードを変更するには、あらかじめ、そのユーザー・アカウントからDV_OWNER
ロールを取り消しておく必要があります。
ただし、DV_OWNER
ロールの取消しには注意が必要です。サイトの少なくとも1人のユーザーに、このロールが付与されている必要があります。このロールが付与されている他のDV_OWNER
ユーザーのパスワードを変更する必要がある場合は、そのユーザーから一時的にDV_OWNER
を取り消すことができます。また、DV_OWNER
ロールを付与されているユーザーは、自分自身からロールを取り消さなくても、自分のパスワードを変更できます。
DV_OWNER
ユーザー・パスワードを変更するには、次のようにします。
-
DV_OWNER
ロールを付与されているアカウントを使用して、データベース・インスタンスにログインします。 -
パスワード変更が必要なユーザー・アカウントから
DV_OWNER
ロールを取り消します。 -
DV_ACCTMGR
ロールを付与されているユーザーとして接続し、このユーザーのパスワードを変更します。 -
DV_OWNER
ユーザーとして接続し、DV_OWNER
ロールをパスワードを変更したユーザーに再び付与します。
Oracle Database Vaultセキュリティを無効にした場合のDV_OWNERステータス
すべてのOracle Database Vaultロールの保護は、Oracle Database Vaultが有効な場合のみ実施されます。
Oracle Database Vaultが無効になっている場合、GRANT ANY ROLE
システム権限を持つアカウントはすべて、保護対象のDatabase Vaultロールに対してGRANT
操作およびREVOKE
操作を実行できます。
親トピック: Oracle Database Vaultロール
14.2.12 DV_PATCH_ADMIN Database Vaultデータベース・パッチ・ロール
DV_PATCH_ADMIN
ロールはパッチ操作のために使用します。
Database Vaultメタデータに指定された監査ポリシーやDatabase Vault統合監査ポリシーに従ってDatabase Vault関連のすべての監査レコードを生成するには、DV_PATCH_ADMIN
ロールを使用する前にDV_ADMIN
ロールが付与されたユーザーとしてDBMS_MACADM.ENABLE_DV_PATCH_ADMIN_AUDIT
プロシージャを実行します。
一時的に、DV_PATCH_ADMIN
ロールを、データベースのパッチ適用担当の任意のデータベース管理者に付与します。この管理者がパッチ操作を行う前に、DBMS_MACADM.ENABLE_DV_PATCH_ADMIN_AUDIT
プロシージャを実行します。このプロシージャでは、既存の監査構成に従って、DV_PATCH_ADMIN
ロールを付与されたユーザーによるアクションのレルム、コマンド・ルールおよびルール・セットの監査が可能になります。混合モード監査を使用する場合、このユーザーのアクションはAUDIT_TRAIL$
表に書き込まれます。純粋な統合監査が有効な場合、このユーザーのアクションを取得する統合監査ポリシーを作成する必要があります。
パッチ操作の完了後、データベース・パッチ操作の実行を担当するユーザーの監査をすぐに無効にしないでください。このように、DV_PATCH_ADMIN
ロール・ユーザーのアクションを追跡できます。下位互換性を確保するために、このタイプの監査はデフォルトで無効になっています。
DV_PATCH_ADMINロールに関連付けられた権限
DV_PATCH_ADMIN
ロールでは、保護されたデータにアクセスできません。
DV_PATCH_ADMIN
ロールは、オブジェクト権限やシステム権限を持たない特殊なDatabase Vaultロールです。Database Vaultが有効なデータベースに、データベース管理者またはユーザーSYS
がパッチを適用できるように(Database Vaultを無効にせずにデータベース・パッチを適用する場合など)設計されています。また、一部のパッチでは新しいスキーマを作成する必要があるため、データベース管理者はユーザーの作成も行うことができます。
DV_PATCH_ADMINがGRANT操作とREVOKE操作に及ぼす影響
DV_OWNER
ロールを持つユーザーのみ、他のユーザーに対してDV_PATCH_ADMIN
ロールを付与する、または取り消すことができます。
Oracle Database Vaultセキュリティを無効にした場合のDV_PATCH_ADMINステータス
すべてのOracle Databaseロールの保護は、Oracle Database Vaultが有効な場合のみ実施されます。
Oracle Database Vaultが無効になっている場合、GRANT ANY ROLE
システム権限を持つアカウントはすべて、保護対象のDatabase Vaultロールに対してGRANT
操作およびREVOKE
操作を実行できます。
関連項目:
-
統合監査ポリシーの作成については、『Oracle Databaseセキュリティ・ガイド』を参照してください
親トピック: Oracle Database Vaultロール
14.2.13 DV_POLICY_OWNER Database Vault所有者ロール
DV_POLICY_OWNER
ロールでは、データベース・ユーザーが、制限されたレベルのOracle Database Vaultポリシーを管理できるようになります。
DV_POLICY_OWNERロールに関連付けられた権限
DV_POLICY_OWNER
ロールは、Database Vault管理ユーザー以外に、Database Vaultポリシーの有効化または無効化、レルムへの認可の追加またはレルムからの認可の削除、および次のデータベース・ビューに対するSELECT
権限の使用のための十分な権限を提供します。
-
DVSYS.POLICY_OWNER_COMMAND_RULE
-
DVSYS.POLICY_OWNER_POLICY
-
DVSYS.POLICY_OWNER_REALM
-
DVSYS.POLICY_OWNER_REALM_AUTH
-
DVSYS.POLICY_OWNER_REALM_OBJECT
-
DVSYS.POLICY_OWNER_RULE_SET
-
DVSYS.POLICY_OWNER_RULE
-
DVSYS.POLICY_OWNER_RULE_SET_RULE
DV_POLICY_OWNER
のみ、これらのビューを問合せできます。DV_OWNER
ロールとDV_ADMIN
ロールがあるユーザーであっても、これらのビューを問い合せることはできません。
DV_POLICY_OWNER
ロールには、システム権限はありません。DV_POLICY_OWNER
ロールに関連付けられたオブジェクト権限をすべて示すリストを確認するには、データベース・インスタンスにログインし、次の問合せを入力します。
SELECT TABLE_NAME, OWNER, PRIVILEGE FROM DBA_TAB_PRIVS WHERE GRANTEE = 'DV_POLICY_OWNER';
DV_POLICY_OWNERがGRANT操作とREVOKE操作に及ぼす影響
DV_POLICY_OWNER
ロールを付与されているユーザーは、このロールを他のユーザーに付与することや他のユーザーから取り消すことはできません。
Oracle Database Vaultセキュリティを無効にした場合のDV_POLICY_OWNERステータス
すべてのOracle Database Vaultロールの保護は、Oracle Database Vaultが有効な場合のみ実施されます。
Oracle Database Vaultが無効になっている場合、GRANT ANY ROLE
システム権限を持つアカウントはすべて、保護対象のDatabase Vaultロールに対してGRANT
操作およびREVOKE
操作を実行できます。
親トピック: Oracle Database Vaultロール
14.2.14 DV_PUBLIC Database Vault PUBLICロール
DV_PUBLIC
ロールは使用されなくなりました。
インストール時にDV_PUBLIC
ロールは引き続き作成されますが、ロールや権限は付与されません。以前のリリースでDV_PUBLIC
に付与された権限はすべてPUBLIC
ロールに直接付与されるようになりました。
親トピック: Oracle Database Vaultロール
14.2.15 DV_REALM_OWNER Database VaultレルムDBAロール
DV_REALM_OWNER
ロールはレルム管理のために使用します。
DV_REALM_OWNER
ロールを使用して、レルムを定義する複数のスキーマ内のデータベース・オブジェクトを管理します。
このロールを、レルムとそれに関連付けられたロール内の1つ以上のスキーマ・データベース・アカウントを管理するデータベース・アカウントに付与します。
DV_REALM_OWNERロールに関連付けられた権限
このロールを付与されているユーザーは、CREATE ANY
、ALTER ANY
、DROP ANY
などの強力なシステム権限をレルム内で使用できます。
ただし、これらの権限を使用するには、このユーザーをレルムの参加者または所有者にする必要があります。手順については、「レルム認可について」を参照してください。
DV_REALM_OWNER
ロールにはオブジェクト権限は付与されていませんが、いくつかのシステム権限が付与されています。DV_REALM_OWNER
システム権限の完全なリストを検索するには、十分な権限でデータベース・インスタンスにログインし、次の問合せを入力します。
SELECT PRIVILEGE FROM DBA_SYS_PRIVS WHERE GRANTEE = 'DV_REALM_OWNER';
DV_REALM_OWNERがGRANT操作とREVOKE操作に及ぼす影響
Oracleシステム権限およびロール管理レルムのレルム所有者(SYS
など)は、このロールを、指定された任意のデータベース・アカウントまたはロールに付与できます。
このロールには強力なシステム権限がありますが、Oracle Database Vaultのロール(DV_OWNER
またはDV_ADMIN
ロールなど)はないことに注意してください。
このロールを特定のレルムに関連付ける場合は、アカウントまたは業務関連のロールに割り当てた後、そのアカウントまたはロールをレルムで認可します。
Oracle Database Vaultセキュリティを無効にした場合のDV_REALM_OWNERステータス
すべてのOracle Databaseロールの保護は、Oracle Database Vaultが有効な場合のみ実施されます。
Oracle Database Vaultが無効になっている場合、GRANT ANY ROLE
システム権限を持つアカウントはすべて、保護対象のDatabase Vaultロールに対してGRANT
操作およびREVOKE
操作を実行できます。
親トピック: Oracle Database Vaultロール
14.2.16 DV_REALM_RESOURCE Database Vaultアプリケーション・リソース所有者ロール
DV_REALM_RESOURCE
ロールはレルム・リソースの管理のために使用します。
DV_REALM_RESOURCE
ロールは、レルムで一般に使用される表、ビュー、トリガー、シノニムおよびその他のオブジェクトの作成などの操作に使用します。
DV_REALM_RESOURCEロールに関連付けられた権限
DV_REALM_RESOURCE
ロールには、OracleのRESOURCE
ロールと同じシステム権限があります。さらに、CREATE SYNONYM
とCREATE VIEW
の両方がこのロールに付与されます。
DV_REALM_RESOURCE
ロールにはオブジェクト権限は付与されていませんが、いくつかのシステム権限が付与されています。DV_REALM_RESOURCE
システム権限の完全なリストを検索するには、十分な権限でデータベース・インスタンスにログインし、次の問合せを入力します。
SELECT PRIVILEGE FROM DBA_SYS_PRIVS WHERE GRANTEE = 'DV_REALM_RESOURCE';
このロールには強力なシステム権限がありますが、Oracle Database Vaultのロール(DV_OWNER
またはDV_ADMIN
ロールなど)はありません。
DV_REALM_RESOURCEがGRANT操作とREVOKE操作に及ぼす影響
DV_REALM_RESOURCE
ロールは、任意のデータベース・アプリケーションのサポートに使用されるデータベース表、オブジェクト、トリガー、ビュー、プロシージャなどを所有するデータベース・アカウントに付与できます。
これは、スキーマ・タイプのデータベース・アカウントを対象としたロールです。Oracleシステム権限およびロール管理レルムのレルム所有者(SYS
など)は、このロールを、任意のデータベース・アカウントまたはロールに付与できます。
Oracle Database Vaultセキュリティを無効にした場合のDV_REALM_RESOURCEステータス
すべてのOracle Databaseロールの保護は、Oracle Database Vaultが有効な場合のみ実施されます。
Oracle Database Vaultが無効になっている場合、GRANT ANY ROLE
システム権限を持つアカウントはすべて、保護対象のDatabase Vaultロールに対してGRANT
操作およびREVOKE
操作を実行できます。
親トピック: Oracle Database Vaultロール
14.2.17 DV_SECANALYST Database Vaultセキュリティ分析者ロール
DV_SECANALYST
ロールにより、ユーザーはアクティビティを分析できます。
DV_SECANALYST
ロールを使用して、Oracle Database Vaultレポートの実行およびOracle Database Vaultの監視を行います。
このロールは、データベース関連のレポートにも使用されます。また、「Oracle Database Vaultのデータ・ディクショナリ・ビュー」の説明にあるように、このロールを使用すると、DVSYS
ビューに問い合せることでDVSYS
構成をチェックできます。
DV_SECANALYSTロールに関連付けられた権限
DV_SECANALYST
ロールに関連付けられているシステム権限はありませんが、このロールには、DVSYS
およびDVF
に関連するエンティティについてレポートするために、DVSYS
スキーマ・オブジェクトと一部のSYS
およびSYSMAN
スキーマ・オブジェクトに対するSELECT
権限があります。
また、DV_SECANALYST
ロールは、DBA_DV_POLICY
、DBA_DV_POLICY_OWNER
およびDBA_DV_POLICY_OBJECT
データ・ディクショナリ・ビューに対するSELECT
権限を提供します。
DV_SECANALYST
オブジェクト権限の完全なリストを検索するには、十分な権限でデータベース・インスタンスにログインし、次の問合せを入力します。
SELECT TABLE_NAME, OWNER, PRIVILEGE FROM DBA_TAB_PRIVS WHERE GRANTEE = 'DV_SECANALYST';
DV_SECANALYSTがGRANT操作とREVOKE操作に及ぼす影響
SYS
やSYSTEM
など、GRANT ANY ROLE
システム権限のみを持つアカウントには、他のデータベース・アカウントに対してこのロールを付与する権限または取り消す権限がありません。
DV_OWNER
ロールを持つユーザーのみ、他のユーザーに対してこのロールを付与する、または取り消すことができます。
Oracle Database Vaultセキュリティを無効にした場合のDV_SECANALYSTステータス
すべてのOracle Database Vaultロールの保護は、Oracle Database Vaultが有効な場合のみ実施されます。
Oracle Database Vaultが無効になっている場合、GRANT ANY ROLE
システム権限を持つアカウントはすべて、保護対象のDatabase Vaultロールに対してGRANT
操作およびREVOKE
操作を実行できます。
親トピック: Oracle Database Vaultロール
14.2.18 DV_STREAMS_ADMIN Oracle Streams構成ロール
DV_STREAMS_ADMIN
ロールはOracle Streamsとともに使用します。
DV_STREAMS_ADMIN
ロールを、Oracle Database Vault環境でOracle Streamsの構成を担当する任意のユーザーに付与します。
これにより、Oracle Streamsプロセスの管理をDatabase Vaultで厳格に制御できます。ただし、管理者が通常Oracle Streamsを管理する方法は変更または制限されません。
DV_STREAMS_ADMINロールに関連付けられた権限
DV_STREAMS_ADMIN
ロールに関連付けられているシステム権限はありませんが、DVSYS
オブジェクトに対するSELECT
権限を持ちます。
DV_STREAMS_ADMIN
オブジェクト権限の完全なリストを検索するには、十分な権限でデータベース・インスタンスにログインし、次の問合せを入力します。
SELECT TABLE_NAME, OWNER, PRIVILEGE FROM DBA_TAB_PRIVS WHERE GRANTEE = 'DV_STREAMS_ADMIN';
DV_STREAMS_ADMIN
ロールは、Oracle Streamsを構成するための十分なデータベース権限は提供しません。DV_STREAMS_ADMIN
ロールは、データベース管理者がOracle Database Vault環境でOracle Streamsを構成するための追加要件(Oracle Streamsで現在必要な権限を補うもの)です。
DV_STREAMS_ADMINがGRANT操作とREVOKE操作に及ぼす影響
DV_OWNER
ロールを付与されているユーザーのみ、別のユーザーに対してDV_STREAMS_ADMIN
ロールを付与する、または取り消すことができます。
Oracle Database Vaultセキュリティを無効にした場合のDV_STREAMS_ADMINステータス
すべてのOracle Databaseロールの保護は、Oracle Database Vaultが有効な場合のみ実施されます。
Oracle Database Vaultが無効になっている場合、GRANT ANY ROLE
システム権限を持つアカウントはすべて、保護対象のDatabase Vaultロールに対してGRANT
操作およびREVOKE
操作を実行できます。
親トピック: Oracle Database Vaultロール
14.2.19 DV_XSTREAM_ADMIN XStream管理ロール
DV_XSTREAM_ADMIN
ロールはOracle XStream用に使用します。
DV_XSTREAM_ADMIN
ロールを、Oracle Database Vault環境でOracle XStreamの構成を担当する任意のユーザーに付与します。
これにより、XStreamプロセスの管理をDatabase Vaultで厳格に制御できます。ただし、管理者が通常XStreamを管理する方法は変更または制限されません。
DV_XSTREAM_ADMINロールに関連付けられた権限
DV_XSTREAM_ADMIN
ロールに関連付けられた権限はありません。
DV_XSTREAM_ADMIN
ロールは、XStreamを構成するための十分なデータベース権限は提供しません。DV_XSTREAM_ADMIN
ロールは、データベース管理者がOracle Database Vault環境でXStreamを構成するための追加要件(XStreamで現在必要な権限を補うもの)です。
DV_XSTREAM_ADMINがGRANT操作とREVOKE操作に及ぼす影響
DV_OWNER
ロールを付与されているユーザーのみ、別のユーザーに対してDV_XSTREAM_ADMIN
ロールを付与する、または取り消すことができます。
Oracle Database Vaultセキュリティを無効にした場合のDV_XSTREAM_ADMINステータス
すべてのOracle Databaseロールの保護は、Oracle Database Vaultが有効な場合のみ実施されます。
Oracle Database Vaultが無効になっている場合、GRANT ANY ROLE
システム権限を持つアカウントはすべて、保護対象のDatabase Vaultロールに対してGRANT
操作およびREVOKE
操作を実行できます。
14.3 登録中に作成されるOracle Database Vaultアカウント
登録プロセスの間に、Oracle Database Vault所有者およびOracle Database Vaultアカウント・マネージャのためのアカウントを作成する必要があります。
Oracle Database Vault所有者アカウントのアカウント名およびパスワードは、インストール時に指定する必要があります。Oracle Database Vaultアカウント・マネージャの作成はオプションですが、より適切な業務分離のためにお薦めします。
Oracle Database Vault所有者アカウントには、DV_OWNER
ロールが付与されます。このアカウントでは、Oracle Database Vaultのロールおよび構成を管理できます。
Oracle Database Vaultアカウント・マネージャ・アカウントには、DV_ACCTMGR
ロールが付与されます。このアカウントは、データベース・ユーザー・アカウントを管理して職務分離をしやすくするために使用されます。
インストール時にOracle Database Vaultアカウント・マネージャ・アカウントを作成しない場合、DV_OWNER
とDV_ACCTMGR
の両方のロールがOracle Database Vault所有者ユーザー・アカウントに付与されます。
表14-1に、インストール時に作成するアカウントの他に必要なOracle Database Vaultデータベース・アカウントを示します。
表14-1 Oracle Database Vaultで使用されるデータベース・アカウント
データベース・アカウント | ロールおよび権限 | 説明 |
---|---|---|
|
いくつかのシステム権限およびオブジェクト権限がOracle Database Vaultをサポートするために用意されています。このアカウントでセッションを作成する権限は、インストールの最後に取り消され、アカウントはロックされます。 |
Oracle Database Vaultのスキーマおよび関連オブジェクトの所有者 |
|
限定されたシステム権限がOracle Database Vaultをサポートするために用意されています。このアカウントでセッションを作成する権限は、インストールの最後に取り消され、アカウントはロックされます。 |
ファクタ・アイデンティティを取得するために作成されるOracle Database Vaultのファンクションの所有者 |
|
このアカウントは、Oracle Universal Installerのカスタム・インストール・オプションを使用してOracle Label Securityをインストールすると作成されます。(Oracle Database Vaultのインストール時には作成されません。)このアカウントは削除または再作成しないでください。 ファクタとOracle Label Securityポリシーを統合する場合、このファクタを使用するレルムの所有者としてこのユーザーを割り当てる必要があります。詳細は、「Oracle Label SecurityポリシーでのOracle Database Vaultファクタの使用方法」を参照してください。 |
Oracle Label Securityのスキーマの所有者 |
Oracle Database Vaultの職務分離要件を満たすために別のデータベース・アカウントを作成できます。表14-2に、指針となるモデル・データベース・アカウントの一部を示します。(表14-2に示すアカウントは、Oracle Database Vaultロールの実装の指針となります。これらは、インストール時に作成される実際のアカウントではありません。)
表14-2 Oracle Database Vaultのモデル・データベース・アカウント
データベース・アカウント | ロールおよび権限 | 説明 |
---|---|---|
|
|
Oracle Database Vaultレルムのレルム所有者になるアカウント。このアカウントには次のことが可能です。
|
|
|
データベース・アカウントおよびプロファイルを管理するためのアカウント。このアカウントには次のことが可能です。
ノート: このアカウントでは、ロールの作成、および |
|
|
アクセス制御管理者として機能するアカウント。このアカウントには次のことが可能です。
ノート: このアカウントでは、 |
|
|
Oracle Database Vaultレポートを実行するためのアカウント |
14.4 バックアップOracle Database Vaultアカウント
ベスト・プラクティスとして、DV_OWNER
ロールとDV_ACCTMGR
ロールのバックアップ・アカウントを保持することをお薦めします。
Oracle Database Vault登録プロセスでは、DV_OWNER
ロールとDV_ACCTMGR
ロールの日常用アカウントとバックアップ・アカウントの作成が必要となります。これらのロールのいずれかを付与されているユーザーが自分のパスワードを忘れた場合や組織を退職した場合に備えた安全対策として、これらのアカウントを保持し続ける必要があります。それにより、バックアップ・アカウントにログインして、パスワードの回復や新しいアカウントへのロールの付与が可能です。これらは、特権アカウント管理または組織のブレークグラス(または非常時パスワード回復)システムで安全を確保されているバックアップ・アカウントとしてのみ使用する必要があります。これらのロールのいずれかをユーザーに付与する場合は、GRANT
文にWITH ADMIN OPTION
句を含めます。
Oracle Database Vaultで実装されている強力な職務分離により、DV_OWNER
アカウントにアクセスできなくなった場合はデータベースの再構築が必要になります。SYS
アカウントは、DV_OWNER
アカウントをオーバーライドできません。