Oracle Cloud Infrastructureドキュメント

Oracle Data Safeサービス・アカウントのロール

ターゲット・データベースで使用できるOracle Data Safeの機能は、そのターゲット・データベースでOracle Data Safeサービス・アカウントに付与されているロールによって異なります。

次の表では、DBシステムまたはAutonomous DatabaseのOracle Data Safeサービス・アカウントに対して付与または取り消すことができるロールについて説明します。

DB Systemロール Autonomous Databaseロール 説明

ASSESSMENT

DS$ASSESSMENT_ROLE

ユーザー・アセスメントおよびセキュリティ・アセスメントに必要な権限

AUDIT_COLLECTION

DS$AUDIT_COLLECTION_ROLE

ターゲット・データベースの監査証跡へのアクセスに必要な権限

DATA_DISCOVERY

DS$DATA_DISCOVERY_ROLE

データ検出に必要な権限(ターゲット・データベースの機密データの検出)

MASKING

DS$DATA_MASKING_ROLE

データ・マスキング(ターゲット・データベースの機密データのマスキング)に必要な権限

AUDIT_SETTING

DS$AUDIT_SETTING_ROLE

ターゲット・データベースの監査ポリシーの更新に必要な権限

最小権限のルールに従い、Oracleでは、各ターゲット・データベースに必要なロールのみを付与することをお薦めします。 Oracle Data Safeサービス・アカウントに対してロールを付与または取り消す方法は、ターゲット・データベースのタイプによって異なります:

  • DBシステムの場合は、SYSユーザーとしてSQL権限スクリプトを実行する必要があります。 このスクリプトは必要に応じて何回でも実行できます。 たとえば、最初に、Oracle Data Safeでアクティビティ監査機能のみを使用する必要があるとします。 SQL権限スクリプトを実行し、アクティビティ監査のみにターゲット・データベースへのアクセス権を付与できます。 後で、データ検出機能を使用することもできます。 ターゲット・データベースでSQL権限スクリプトを再度実行して、データベースへのデータ検出へのアクセス権を付与できます。 ターゲット・データベース(CDB$ROOT)のルート・コンテナでSQL権限スクリプトを実行することはできません。
  • Autonomous Databaseの場合は、PDB Adminユーザー(ADMIN)として、またはDS_TARGET_UTIL PL/SQLパッケージに対する実行権限を持つユーザーとして、DS_TARGET_UTILという名前のPL/SQLパッケージを実行する必要があります。 デフォルトでは、DS$ASSESSMENT_ROLEおよびDS$AUDIT_COLLECTION_ROLEOracle Data Safeサービス・アカウント(DS$ADMIN)に付与されます。 これらのロールを使用すると、ターゲット・データベースを評価し、データベースの登録直後に監査証跡収集を開始できます。