日本語PDF

13 Oracle Database Vaultのスキーマ、ロールおよびアカウント

Oracle Database Vaultには、Database Vaultオブジェクトが含まれるスキーマや、特定のタスクの職務分離を提供するロール、およびデフォルト・ユーザーのアカウントが用意されています。

• Oracle Database Vaultスキーマ
  Oracle Database Vaultスキーマ(DVSYSおよびDVF)は、Oracle Database Vaultの管理およびランタイム処理をサポートしています。
• Oracle Database Vaultロール
  Oracle Database Vaultには、実行する必要がある特定のユーザー・タスクに基づいていて、職務分離の概念に従うデフォルト・ロールが用意されています。
• 登録中に作成されるOracle Database Vaultアカウント
  登録プロセスの間に、Oracle Database Vault所有者およびOracle Database Vaultアカウント・マネージャのためのアカウントを作成する必要があります。
• バックアップOracle Database Vaultアカウント
  ベスト・プラクティスとして、DV_OWNERロールとDV_ACCTMGRロールのバックアップ・アカウントを保持することをお薦めします。

13.1 Oracle Database Vaultスキーマ

Oracle Database Vaultスキーマ(DVSYSおよびDVF)は、Oracle Database Vaultの管理およびランタイム処理をサポートしています。

• DVSYSスキーマ
  DVSYSスキーマには、Oracle Database Vaultデータベース・オブジェクトが含まれます。
• DVFスキーマ
  DVFスキーマは、Oracle Database Vault DBMS_MACSEC_FUNCTION PL/SQLパッケージの所有者です。

13.1.1 DVSYSスキーマ

DVSYSスキーマには、Oracle Database Vaultデータベース・オブジェクトが含まれます。

このオブジェクトは、Oracle Database Vault構成情報を格納し、Oracle Database Vaultの管理およびランタイム処理をサポートしています。

デフォルト・インストールでは、DVSYSスキーマはロックされています。DVSYSスキーマは、AUDIT_TRAIL$表も所有します。

マルチテナント・データベース環境で、DVSYSスキーマは共通スキーマとみなされます(すなわち、DVSYS内のオブジェクト(表、ビュー、PL/SQLパッケージなど)は任意の子プラガブル・データベース(PDB)で自動的に利用できます)。また、DVSYSスキーマ・アカウントは、ALTER SESSION文を使用して他のコンテナに切り替えることはできません。

Oracle Database Vaultでは、保護スキーマ設計を使用してDVSYSスキーマを保護します。保護スキーマ設計により、スキーマはシステム権限(SELECT ANY TABLE、CREATE ANY VIEW、DROP ANYなど)の不正使用から保護されます。

DVSYSスキーマは、Oracle Database Vaultによって次のように保護されます。

• DVSYS保護スキーマとその管理ロールは削除できません。デフォルトで、DVSYSアカウントはロックされています。

• デフォルトでは、ユーザーはDVSYSアカウントに直接ログインできません。ユーザーがこのアカウントに直接ログインできるように制御するには、DBMS_MACADM.DISABLE_DV_DICTIONARY_ACCTSプロシージャを実行してユーザーがログインできないようにして、DBMS_MACADM.ENABLE_DV_DICTIONARY_ACCTSプロシージャを実行してログインを許可します。

• CREATE USER、ALTER USER、DROP USER、CREATE PROFILE、ALTER PROFILE、DROP PROFILEなどの文は、DV_ACCTMGRロールを持つユーザーのみが発行できます。SYSDBA管理権限でログインしたユーザーは、「アカウント/プロファイルを保守可能」ルール・セットを変更して許可された場合のみこれらの文を発行できます。

• データベース定義言語(DDL)およびデータ操作言語(DML)のコマンドに対する強力なANYシステム権限は、保護スキーマではブロックされます。つまり、DVSYSスキーマのオブジェクトは、スキーマ・アカウント自体によって作成される必要があります。また、スキーマ・オブジェクトへのアクセスは、オブジェクト権限の付与により認可される必要があります。

• DVSYSスキーマのオブジェクト権限は、スキーマのDatabase Vault管理ロールにのみ付与できます。つまり、ユーザーは、事前定義済管理ロールによってのみ保護スキーマにアクセスできます。

• スキーマのDatabase Vault事前定義済管理ロールに対してALTER ROLE文を発行できるのは、保護されたスキーマ・アカウントDVSYSのみです。Oracle Database Vaultの事前定義済管理ロールの詳細は、「Oracle Database Vaultのロール」で説明します。

• SQL文の実行に、SYS.DBMS_SYS_SQL.PARSE_AS_USERプロシージャを保護スキーマDVSYSのかわりに使用することはできません。

ノート:

データベース・ユーザーは、Oracle Database Vaultの管理ロール(たとえばDV_ADMINおよびDV_OWNER)に、追加のオブジェクト権限およびロールを付与できます。ただし、付与に十分な権限がある場合にかぎります。

13.1.2 DVFスキーマ

DVFスキーマは、Oracle Database Vault DBMS_MACSEC_FUNCTION PL/SQLパッケージの所有者です。

このパッケージには、ファクタ・アイデンティティを取得するファンクションが含まれます。Oracle Database Vaultのインストール後、DVFアカウントをより確実に保護するために、このアカウントがインストール処理によってロックされます。新しいファクタを作成すると、Oracle Database Vaultでそのファクタの取得ファンクションが新たに作成され、このスキーマに保存されます。

マルチテナント環境で、DVFユーザーはALTER SESSION文を使用して他のコンテナに切り替えることはできません。

デフォルトでは、ユーザーはDVFアカウントに直接ログインできません。ユーザーがこのアカウントに直接ログインできるように制御するには、DBMS_MACADM.DISABLE_DV_DICTIONARY_ACCTSプロシージャを実行してユーザーがログインできないようにして、DBMS_MACADM.ENABLE_DV_DICTIONARY_ACCTSプロシージャを実行してログインを許可します。

13.2 Oracle Database Vaultロール

Oracle Database Vaultには、実行する必要がある特定のユーザー・タスクに基づいていて、職務分離の概念に従うデフォルト・ロールが用意されています。

• Oracle Database Vaultロールについて
  Oracle Database Vaultには、Oracle Database Vaultの管理に必要な一連のロールが用意されています。
• Oracle Database Vaultロールの権限
  Oracle Database Vaultのロールは、職務分離の利点が最大限に高まるよう設計されています。
• ユーザーへのOracle Database Vaultのロールの付与
  Enterprise Manager Cloud Controlを使用して、ユーザーにOracle Database Vaultのロールを付与できます。
• DV_OWNER Database Vault所有者ロール
  DV_OWNERロールでは、Oracle Database Vaultロールおよびその構成を管理できます。
• DV_ADMIN Database Vault構成管理者ロール
  DV_ADMINロールはOracle Database VaultのPL/SQLパッケージを制御します。
• DV_MONITOR Database Vault監視ロール
  DV_MONITORロールはOracle Database Vaultを監視するために使用します。
• DV_SECANALYST Database Vaultセキュリティ分析者ロール
  DV_SECANALYSTロールでは、アクティビティを分析できます。
• DV_AUDIT_CLEANUP監査証跡クリーンアップ・ロール
  DV_AUDIT_CLEANUPロールは、パージ操作のために使用します。
• DV_DATAPUMP_NETWORK_LINK Data Pumpネットワーク・リンク・ロール
  DV_DATAPUMP_NETWORK_LINKロールはData Pumpインポート操作のために使用します。
• DV_XSTREAM_ADMIN XStream管理ロール
  DV_XSTREAM_ADMINロールは、Oracle XStreamのために使用します。
• DV_GOLDENGATE_ADMIN GoldenGate管理ロール
  DV_GOLDENGATE_ADMINロールは、Oracle GoldenGateとともに使用します。
• DV_GOLDENGATE_REDO_ACCESS GoldenGate REDOログ・ロール
  DV_GOLDENGATE_REDO_ACCESSロールは、Oracle GoldenGateとともに使用します。
• DV_PATCH_ADMIN Database Vaultデータベース・パッチ・ロール
  DV_PATCH_ADMINロールは、パッチ操作のために使用します。
• DV_ACCTMGR Database Vaultアカウント・マネージャ・ロール
  DV_ACCTMGRロールは強力なロールであり、アカウント管理のために使用します。
• DV_REALM_OWNER Database VaultレルムDBAロール
  DV_REALM_OWNERロールは、レルム管理のために使用します。
• DV_REALM_RESOURCE Database Vaultアプリケーション・リソース所有者ロール
  DV_REALM_RESOURCEロールは、レルム・リソースの管理のために使用します。
• DV_POLICY_OWNER Database Vault所有者ロール
  DV_POLICY_OWNERロールでは、データベース・ユーザーが、制限されたレベルのOracle Database Vaultポリシーを管理できるようになります。
• DV_PUBLIC Database Vault PUBLICロール
  DV_PUBLICロールは使用されなくなりました。

13.2.1 Oracle Database Vaultロールについて

Oracle Database Vaultには、Oracle Database Vaultの管理に必要な一連のロールが用意されています。

次の図は、これらのロールがデータベース内の職務分離の第1段階を実現するためにどのように設計されているかを示しています。これらのロールをどのように使用するかは、会社の要件によって異なります。

図13-1 Oracle Database Vaultロールの分類方法

「図13-1 Oracle Database Vaultロールの分類方法」の説明

ノート:

追加のオブジェクト権限およびロールをOracle Database Vaultロールに付与して、権限の範囲を拡大できます。たとえば、SYSDBA管理権限でログインしたユーザーは、オブジェクトがDVSYSスキーマまたはレルムにないかぎり、オブジェクト権限をOracle Database Vaultロールに付与できます。

13.2.2 Oracle Database Vaultロールの権限

Oracle Database Vaultのロールは、職務分離の利点が最大限に高まるよう設計されています。

DV_PATCH_ADMIN、DV_XSTREAM、DV_GOLDENGATE_ADMINおよびDV_GOLDENGATE_REDO_ACCESSロールは、システム権限がないため、次のセクションには含まれていません。

DVSYSスキーマ、EXECUTE権限

この権限を使用できるロール:

• DV_ADMIN (すべてのOracle Database Vault PL/SQLパッケージに対するEXECUTE権限が含まれます)
• DV_OWNER (すべてのOracle Database Vault PL/SQLパッケージに対するEXECUTE権限が含まれます)
• DV_POLICY_OWNER (一部のDBMS_MACADMプロシージャ)

この権限を拒否されるロール:

• DV_ACCTMGR
• DV_AUDIT_CLEANUP
• DV_MONITOR
• DV_PUBLIC
• DV_REALM_OWNER
• DV_REALM_RESOURCE
• DV_SECANALYST

DVSYSスキーマ、SELECT権限

この権限を使用できるロール:

• DV_ADMIN
• DV_AUDIT_CLEANUP (一部のDatabase Vault表とビュー。AUDIT_TRAIL$表、DV$ENFORCEMENT_AUDITビューおよびDV$CONFIGURATION_AUDITビューに対してSELECT文を実行できます)
• DV_MONITOR
• DV_OWNER
• DV_POLICY_OWNER (一部のDBMS_MACADMプロシージャおよびPOLICY_OWNER*ビューのみ)
• DV_SECANALYST (一部のDatabase Vaultビュー。DV_SECANALYSTは、Oracle Database Vaultで提供されるビューを介して、DVSYSスキーマ・オブジェクトに問合せできます)

この権限を拒否されるロール:

• DV_ACCTMGR
• DV_PUBLIC
• DV_REALM_OWNER
• DV_REALM_RESOURCE

DVSYSスキーマ、DELETE権限

この権限を使用できるロール:

• DV_AUDIT_CLEANUP (一部のDatabase Vault表とビュー、AUDIT_TRAIL$表、DV$ENFORCEMENT_AUDITビューおよびDV$CONFIGURATION_AUDITビューに対してDELETEを実行できます)
• DV_OWNER (一部のDatabase Vault表とビュー、AUDIT_TRAIL$表、DV$ENFORCEMENT_AUDITビューおよびDV$CONFIGURATION_AUDITビューに対してDELETEを実行できます)

この権限を拒否されるロール:

• DV_ACCTMGR
• DV_ADMIN
• DV_MONITOR
• DV_POLICY_OWNER
• DV_PUBLIC
• DV_REALM_OWNER
• DV_REALM_RESOURCE
• DV_SECANALYST

DVSYSスキーマ、オブジェクトの権限の付与

この権限を使用できるロール: なし

この権限を拒否されるロール:

• DV_ACCTMGR
• DV_ADMIN
• DV_AUDIT_CLEANUP
• DV_MONITOR
• DV_OWNER
• DV_POLICY_OWNER
• DV_PUBLIC
• DV_SECANALYST
• DV_REALM_OWNER
• DV_REALM_RESOURCE

DVFスキーマ、EXECUTE権限

この権限を使用できるロール:

• DV_OWNER

この権限を拒否されるロール:

• DV_ACCTMGR
• DV_ADMIN
• DV_AUDIT_CLEANUP
• DV_MONITOR
• DV_OWNER
• DV_POLICY_OWNER
• DV_PUBLIC
• DV_REALM_OWNER
• DV_REALM_RESOURCE
• DV_SECANALYST

DVFスキーマ、SELECT権限

この権限を使用できるロール:

• DV_OWNER
• DV_SECANALYST

この権限を拒否されるロール:

• DV_ACCTMGR
• DV_ADMIN
• DV_AUDIT_CLEANUP
• DV_MONITOR
• DV_POLICY_OWNER
• DV_PUBLIC
• DV_REALM_OWNER
• DV_REALM_RESOURCE

Database Vaultの監視権限

この権限を使用できるロール:

• DV_ADMIN
• DV_OWNER
• DV_MONITOR
• DV_SECANALYST

この権限を拒否されるロール:

• DV_ACCTMGR
• DV_AUDIT_CLEANUP
• DV_POLICY_OWNER
• DV_PUBLIC
• DV_REALM_OWNER
• DV_REALM_RESOURCE

Database Vaultレポートの実行権限

この権限を使用できるロール:

• DV_ADMIN
• DV_OWNER
• DV_SECANALYST

この権限を拒否されるロール:

• DV_ACCTMGR
• DV_AUDIT_CLEANUP
• DV_MONITOR
• DV_POLICY_OWNER
• DV_PUBLIC
• DV_REALM_OWNER
• DV_REALM_RESOURCE

SYSスキーマ、SELECT権限

この権限を使用できるロール:

• DV_MONITOR
• DV_OWNER
• DV_SECANALYST (DV_OWNERおよびDV_ADMINと同じシステム・ビュー)

この権限を拒否されるロール:

• DV_ACCTMGR
• DV_ADMIN
• DV_AUDIT_CLEANUP
• DV_POLICY_OWNER
• DV_PUBLIC
• DV_REALM_OWNER
• DV_REALM_RESOURCE

SYSMANスキーマ、SELECT権限

この権限を使用できるロール:

• DV_OWNER (SYSMANの一部)
• DV_SECANALYST (SYSMANの一部)

この権限を拒否されるロール:

• DV_ACCTMGR
• DV_ADMIN
• DV_AUDIT_CLEANUP
• DV_MONITOR
• DV_POLICY_OWNER
• DV_PUBLIC
• DV_REALM_OWNER
• DV_REALM_RESOURCE

ユーザー・アカウントおよびプロファイルのCREATE、ALTER、DROP権限

この権限には、DVSYSアカウントの削除や変更、およびDVSYSパスワードの変更のための権限は含まれません。

この権限を使用できるロール:

• DV_ACCTMGR

この権限を拒否されるロール:

• DV_ADMIN
• DV_AUDIT_CLEANUP
• DV_MONITOR
• DV_OWNER
• DV_POLICY_OWNER
• DV_PUBLIC
• DV_REALM_OWNER
• DV_REALM_RESOURCE
• DV_SECANALYST

レルムを定義するスキーマのオブジェクトの管理

この権限には、CREATE ANY 、ALTER ANY およびDROP ANYなど、ANY権限が含まれます。

この権限を使用できるロール:

• DV_REALM_OWNER (このロールがあるユーザーは、システム権限を使用するには、レルム参加者またはレルム所有者である必要もあります。)

この権限を拒否されるロール:

• DV_ACCTMGR
• DV_AUDIT_CLEANUP
• DV_ADMIN
• DV_MONITOR
• DV_OWNER (SYSMANの一部)
• DV_POLICY_OWNER
• DV_PUBLIC
• DV_REALM_RESOURCE
• DV_SECANALYST (SYSMANの一部)

RESOURCEロール権限

RESOURCEロールは、CREATE CLUSTER 、CREATE INDEXTYPE 、CREATE OPERATOR 、CREATE PROCEDURE 、CREATE SEQUENCE 、CREATE TABLE 、CREATE TRIGGER、CREATE TYPEといったシステム権限を提供します。

この権限を使用できるロール:

• DV_REALM_RESOURCE

この権限を拒否されるロール:

• DV_ACCTMGR
• DV_ADMIN
• DV_AUDIT_CLEANUP
• DV_MONITOR
• DV_OWNER (SYSMANの一部)
• DV_POLICY_OWNER
• DV_PUBLIC
• DV_REALM_OWNER
• DV_SECANALYST (SYSMANの一部)

13.2.3 ユーザーへのOracle Database Vaultのロールの付与

Enterprise Manager Cloud Controlを使用して、ユーザーにOracle Database Vaultのロールを付与できます。

1. DV_OWNERまたはSELECT ANY DICTIONARY権限を付与されているユーザーとして、Cloud ControlからOracle Database Vault Administratorにログインします。

   ログイン方法については、「Oracle Enterprise Cloud ControlからのOracle Database Vaultへのログイン」を参照してください。

   他のユーザーにロールを付与できるユーザーの要件を知るには、ロールの説明を参照してください。

2. 「管理」ページの「Database Vaultコンポーネント」で、「Database Vaultロール管理」をクリックします。
   「Database Vaultロール管理」ページが表示されます。
   
   図em_role_grant2.pngの説明
   
3. 次のいずれかを行います:
   • 付与のために新しいユーザーまたはロールを追加するには、「追加」ボタンをクリックして「認可の追加」ダイアログ・ボックスを表示します。「権限受領者」フィールドに権限受領者を入力してから、付与するロールを選択します。次に「OK」をクリックします。
     
     図em_role_grant1.pngの説明
     
   • 異なるロールを付与するか、「Database Vaultロール管理」ページに示されているユーザーまたはロールについてロール付与を変更するには、ユーザーまたはロールを選択し、「編集」をクリックしてから、必要に応じてロール付与を変更します。次に、「OK」をクリックします。

13.2.4 DV_OWNER Database Vault所有者ロール

DV_OWNERロールでは、Oracle Database Vaultロールおよびその構成を管理できます。

このマニュアルで、このロールを使用するサンプル・アカウントはsec_admin_owenです。

DV_OWNERロールに関連付けられた権限

DV_OWNERロールには、DV_ADMINロールによって提供される管理機能とDV_SECANALYSTロールによって提供されるレポート機能が含まれます。

このロールには、Oracle Database Vaultを監視する権限も備わっています。Oracle Database Vaultのインストール時に作成され、DVSYSスキーマに対するほとんどの権限を有します。DV_ADMINロールも有しています。

DV_OWNERロールに関連付けられたシステム権限とオブジェクト権限をすべて示すリストを確認するには、データベース・インスタンスにログインし、次の問合せを入力します。

SELECT TABLE_NAME, OWNER, PRIVILEGE FROM DBA_TAB_PRIVS WHERE GRANTEE = 'DV_OWNER';
SELECT PRIVILEGE FROM DBA_SYS_PRIVS WHERE GRANTEE = 'DV_OWNER';

Oracle Database Vaultを構成して有効化すると、DV_OWNERアカウントが作成されます。このロールを付与されたユーザーは、ADMINオプションも付与され、任意のOracle Database Vaultロール(DV_ACCTMGRを除く)を任意のアカウントに付与できます。また、このロールを付与されたユーザーは、Oracle Database Vaultレポートの実行およびOracle Database Vaultの監視ができます。

ヒント:

DV_OWNERユーザーの別個の名前付きアカウントを作成することをお薦めします。これにより、ユーザーが使用できなくなった場合(退社した場合など)、このユーザー・アカウントを再作成して、このユーザーにDV_OWNERロールを付与できます。

DV_OWNERがGRANT操作とREVOKE操作に及ぼす影響

DV_OWNERロールを持つすべてのユーザーは、別のユーザーにDV_OWNERおよびDV_ADMINロールを付与できます。

このロールを付与されたアカウントは、付与されたDatabase Vaultロールを別のアカウントから取り消すことができます。SYSやSYSTEMなど、GRANT ANY ROLEシステム権限のみを持つ(直接またはロールを使用して間接的に付与された)アカウントには、他のデータベース・アカウントに対してDV_OWNERロールを付与する権限または取り消す権限がありません。また、DV_OWNERロールを持つユーザーは、DV_ACCTMGRロールの付与または取消しを実行できません。

DV_OWNERロールを持つユーザーのパスワード変更の管理

DV_OWNERロールを付与されている他のユーザーのパスワードを変更するには、あらかじめ、そのユーザー・アカウントからDV_OWNERロールを取り消しておく必要があります。

ただし、DV_OWNERロールの取消しには注意が必要です。サイトの少なくとも1人のユーザーに、このロールが付与されている必要があります。このロールが付与されている他のDV_OWNERユーザーのパスワードを変更する必要がある場合は、そのユーザーから一時的にDV_OWNERを取り消すことができます。また、DV_OWNERロールを付与されているユーザーは、自分自身からロールを取り消さなくても、自分のパスワードを変更できます。

DV_OWNERユーザー・パスワードを変更するには、次のようにします。

1. DV_OWNERロールを付与されているアカウントを使用して、データベース・インスタンスにログインします。

2. パスワード変更が必要なユーザー・アカウントからDV_OWNERロールを取り消します。

3. DV_ACCTMGRロールを付与されているユーザーとして接続し、このユーザーのパスワードを変更します。

4. DV_OWNERユーザーとして接続し、DV_OWNERロールをパスワードを変更したユーザーに再び付与します。

Oracle Database Vaultセキュリティを無効にした場合のDV_OWNERステータス

すべてのOracle Database Vaultロールの保護は、Oracle Database Vaultが有効な場合のみ実施されます。

Oracle Database Vaultが無効になっている場合、GRANT ANY ROLEシステム権限を持つアカウントはすべて、保護対象のDatabase Vaultロールに対してGRANT操作およびREVOKE操作を実行できます。

13.2.5 DV_ADMIN Database Vault構成管理者ロール

DV_ADMINロールはOracle Database VaultのPL/SQLパッケージを制御します。

これらのパッケージは、Oracle Enterprise Manager Cloud ControlでDatabase Vault Administratorユーザー・インタフェースの基礎となるインタフェースです。

DV_ADMINロールに関連付けられた権限

DV_ADMINロールは、DVSYSパッケージ(DBMS_MACADMおよびDBMS_MACUTL)に対するEXECUTE権限を保持します。

また、DV_ADMINにはDV_SECANALYSTロールによって提供された機能が含まれるため、これを使用するとOracle Database Vaultレポートの実行やOracle Database Vaultの監視が可能になります。インストール中、DV_ADMINロールがDV_OWNERロールにADMIN OPTION付きで付与されます。

また、DV_ADMINロールは、DBA_DV_POLICY、DBA_DV_POLICY_OWNERおよびDBA_DV_POLICY_OBJECTデータ・ディクショナリ・ビューに対するSELECT権限を提供します。

DV_ADMINロールに関連付けられたシステム権限とオブジェクト権限の完全なリストを検索するには、十分な権限でデータベース・インスタンスにログインし、次の問合せを入力します。

SELECT TABLE_NAME, OWNER, PRIVILEGE FROM DBA_TAB_PRIVS WHERE GRANTEE = 'DV_ADMIN';
SELECT PRIVILEGE FROM DBA_SYS_PRIVS WHERE GRANTEE = 'DV_ADMIN';

DV_ADMINがGRANT操作とREVOKE操作に及ぼす影響

SYSやSYSTEMなど、GRANT ANY ROLEシステム権限のみを持つアカウントには、他のデータベース・アカウントに対してDV_ADMINを付与する権限または取り消す権限がありません。

DV_OWNERロールを持つユーザーは、任意のデータベース・アカウントに対してこのロールを付与する、または取り消すことができます。

DV_ADMINロールを持つユーザーのパスワード変更の管理

DV_ADMINロールを付与されているユーザーのパスワードを変更するには、あらかじめ、このアカウントからDV_ADMINロールを取り消しておく必要があります。

DV_ADMINロールを付与されているユーザーは、自分自身からロールを取り消さなくても、自分のパスワードを変更できます。

DV_ADMINユーザー・パスワードを変更するには、次のようにします。

1. DV_OWNERロールを付与されているアカウントを使用して、データベース・インスタンスにログインします。

2. パスワード変更が必要なユーザー・アカウントからDV_ADMINロールを取り消します。

3. DV_ACCTMGRロールを付与されているユーザーとして接続し、このユーザーのパスワードを変更します。

4. DV_OWNERユーザーとして接続し、DV_ADMINロールをパスワードを変更したユーザーに再び付与します。

Oracle Database Vaultセキュリティを無効にした場合のDV_ADMINステータス

すべてのOracle Database Vaultロールの保護は、Oracle Database Vaultが有効な場合のみ実施されます。

Oracle Database Vaultが無効になっている場合、GRANT ANY ROLEシステム権限を持つアカウントはすべて、保護対象のDatabase Vaultロールに対してGRANT操作およびREVOKE操作を実行できます。

13.2.6 DV_MONITOR Database Vault監視ロール

DV_MONITORロールはOracle Database Vaultを監視するために使用します。

DV_MONITORロールにより、Oracle Enterprise Manager Cloud Controlエージェントは、Oracle Database Vaultでレルムまたはコマンド・ルール定義に関する違反未遂および構成の問題を監視できます。

このロールにより、Cloud Controlでは、レルム定義およびコマンド・ルール定義を読み取ってデータベース間で伝播できます。

DV_MONITORロールに関連付けられた権限

DV_MONITORロールに関連付けられているシステム権限はありませんが、SYSオブジェクトとDVSYSオブジェクトに対するSELECT権限を持ちます。

また、DV_MONITORロールは、DBA_DV_POLICY、DBA_DV_POLICY_OWNERおよびDBA_DV_POLICY_OBJECTデータ・ディクショナリ・ビューに対するSELECT権限を提供します。

DV_MONITORオブジェクト権限の完全なリストを検索するには、十分な権限(DV_OWNERなど)でデータベース・インスタンスにログインし、次の問合せを入力します。

SELECT TABLE_NAME, OWNER, PRIVILEGE FROM DBA_TAB_PRIVS WHERE GRANTEE = 'DV_MONITOR';

DV_MONITORがGRANT操作とREVOKE操作に及ぼす影響

デフォルトでは、DV_MONITORロールはDV_OWNERロールおよびDBSNMPユーザーに付与されます。

DV_OWNERロールを付与されているユーザーのみ、別のユーザーに対してDV_MONITORロールを付与する、または取り消すことができます。

Oracle Database Vaultセキュリティを無効にした場合のDV_MONITORステータス

すべてのOracle Database Vaultロールの保護は、Oracle Database Vaultが有効な場合のみ実施されます。

Oracle Database Vaultが無効になっている場合、GRANT ANY ROLEシステム権限を持つアカウントはすべて、保護対象のDatabase Vaultロールに対してGRANT操作およびREVOKE操作を実行できます。

13.2.7 DV_SECANALYST Database Vaultセキュリティ分析者ロール

DV_SECANALYSTロールにより、ユーザーはアクティビティを分析できます。

DV_SECANALYSTロールを使用して、Oracle Database Vaultレポートの実行およびOracle Database Vaultの監視を行います。

このロールは、データベース関連のレポートにも使用されます。また、「Oracle Database Vaultのデータ・ディクショナリ・ビュー」の説明にあるように、このロールを使用すると、DVSYSビューに問い合せることでDVSYS構成をチェックできます。

DV_SECANALYSTロールに関連付けられた権限

DV_SECANALYSTロールに関連付けられているシステム権限はありませんが、このロールには、DVSYSおよびDVFに関連するエンティティについてレポートするために、DVSYSスキーマ・オブジェクトと一部のSYSおよびSYSMANスキーマ・オブジェクトに対するSELECT権限があります。

また、DV_SECANALYSTロールは、DBA_DV_POLICY、DBA_DV_POLICY_OWNERおよびDBA_DV_POLICY_OBJECTデータ・ディクショナリ・ビューに対するSELECT権限を提供します。

DV_SECANALYSTオブジェクト権限の完全なリストを検索するには、十分な権限でデータベース・インスタンスにログインし、次の問合せを入力します。

SELECT TABLE_NAME, OWNER, PRIVILEGE FROM DBA_TAB_PRIVS WHERE GRANTEE = 'DV_SECANALYST';

DV_SECANALYSTがGRANT操作とREVOKE操作に及ぼす影響

SYSやSYSTEMなど、GRANT ANY ROLEシステム権限のみを持つアカウントには、他のデータベース・アカウントに対してこのロールを付与する権限または取り消す権限がありません。

DV_OWNERロールを持つユーザーのみ、他のユーザーに対してこのロールを付与する、または取り消すことができます。

Oracle Database Vaultセキュリティを無効にした場合のDV_SECANALYSTステータス

すべてのOracle Database Vaultロールの保護は、Oracle Database Vaultが有効な場合のみ実施されます。

Oracle Database Vaultが無効になっている場合、GRANT ANY ROLEシステム権限を持つアカウントはすべて、保護対象のDatabase Vaultロールに対してGRANT操作およびREVOKE操作を実行できます。

13.2.8 DV_AUDIT_CLEANUP監査証跡クリーンアップ・ロール

DV_MONITORロールはパージ操作のために使用します。

非統合監査環境でDatabase Vault監査証跡のパージを担当するユーザーにDV_AUDIT_CLEANUPロールを付与します。

このロールを使用してパージ操作を完了する方法については、「Oracle Database Vault監査証跡のアーカイブおよびパージ」で説明します。

DV_AUDIT_CLEANUPロールに関連付けられた権限

DV_AUDIT_CLEANUPロールには、Database Vault関連の3つの監査ビューに対してSELECTおよびDELETE権限があります。

• DVSYS.AUDIT_TRAIL$表に対するSELECTおよびDELETE

• DVSYS.DV$ENFORCEMENT_AUDITビューに対するSELECTおよびDELETE

• DVSYS.DV$CONFIGURATION_AUDITビューに対するSELECTおよびDELETE

DV_AUDIT_CLEANUPがGRANT操作とREVOKE操作に及ぼす影響

デフォルトでは、このロールは、ADMIN OPTION付きのDV_OWNERロールに付与されます。

DV_OWNERロールを付与されているユーザーのみ、別のユーザーに対してDV_AUDIT_CLEANUPロールを付与する、または取り消すことができます。

Oracle Database Vaultセキュリティを無効にした場合のDV_AUDIT_CLEANUPステータス

すべてのOracle Database Vaultロールの保護は、Oracle Database Vaultが有効な場合のみ実施されます。

Oracle Database Vaultが無効になっている場合、GRANT ANY ROLEシステム権限を持つアカウントはすべて、保護対象のDatabase Vaultロールに対してGRANT操作およびREVOKE操作を実行できます。

13.2.9 DV_DATAPUMP_NETWORK_LINK Data Pumpネットワーク・リンク・ロール

DV_DATAPUMP_NETWORK_LINKロールはData Pumpインポート操作のために使用します。

Oracle Database Vault環境でNETWORK_LINKトランスポータブルData Pumpインポート操作の実行を担当するユーザーにDV_DATAPUMP_NETWORK_LINKロールを付与します。

このロールを使用すると、Oracle Data PumpのNETWORK_LINKトランスポータブル・インポート・プロセスをDatabase Vaultで厳格に制御できます。ただし、通常のOracle Data Pump操作を実行する方法は変更または制限されません。

DV_DATAPUMP_NETWORK_LINKロールに関連付けられた権限

DV_DATAPUMP_NETWORK_LINKロールに関連付けられているシステム権限はありませんが、DVSYSオブジェクトに対するEXECUTE権限を持ちます。

DV_DATAPUMP_NETWORK_LINKオブジェクト権限の完全なリストを検索するには、十分な権限でデータベース・インスタンスにログインし、次の問合せを入力します。

SELECT TABLE_NAME, OWNER, PRIVILEGE FROM DBA_TAB_PRIVS WHERE GRANTEE = 'DV_DATAPUMP_NETWORK_LINK';

DV_DATAPUMP_NETWORK_LINKロールでは、NETWORK_LINKトランスポータブルData Pumpインポート操作を実行するための十分なデータベース権限が提供されないことに注意してください。DV_DATAPUMP_NETWORK_LINKロールは、データベース管理者がOracle Database Vault環境でNETWORK_LINK トランスポータブルData Pumpインポートを実行するための追加要件(Oracle Data Pumpで現在必要な権限を補うもの)です。

DV_DATAPUMP_NETWORK_LINKがGRANT操作とREVOKE操作に及ぼす影響

DV_OWNERロールを付与されているユーザーのみ、別のユーザーに対してDV_DATAPUMP_NETWORK_LINKロールを付与する、または取り消すことができます。

Oracle Database Vaultセキュリティを無効にした場合のDV_DATAPUMP_NETWORK_LINKステータス

すべてのOracle Databaseロールの保護は、Oracle Database Vaultが有効な場合のみ実施されます。

Oracle Database Vaultが無効になっている場合、GRANT ANY ROLEシステム権限を持つアカウントはすべて、保護対象のDatabase Vaultロールに対してGRANT操作およびREVOKE操作を実行できます。

13.2.10 DV_XSTREAM_ADMIN XStream管理ロール

DV_XSTREAM_ADMINロールはOracle XStream用に使用します。

DV_XSTREAM_ADMINロールを、Oracle Database Vault環境でOracle XStreamの構成を担当する任意のユーザーに付与します。

これにより、XStreamプロセスの管理をDatabase Vaultで厳格に制御できます。ただし、管理者が通常XStreamを管理する方法は変更または制限されません。

DV_XSTREAM_ADMINロールに関連付けられた権限

DV_XSTREAM_ADMINロールに関連付けられた権限はありません。

DV_XSTREAM_ADMINロールは、XStreamを構成するための十分なデータベース権限は提供しません。DV_XSTREAM_ADMINロールは、データベース管理者がOracle Database Vault環境でXStreamを構成するための追加要件(XStreamで現在必要な権限を補うもの)です。

DV_XSTREAM_ADMINがGRANT操作とREVOKE操作に及ぼす影響

DV_OWNERロールを付与されているユーザーのみ、別のユーザーに対してDV_XSTREAM_ADMINロールを付与する、または取り消すことができます。

Oracle Database Vaultセキュリティを無効にした場合のDV_XSTREAM_ADMINステータス

すべてのOracle Databaseロールの保護は、Oracle Database Vaultが有効な場合のみ実施されます。

Oracle Database Vaultが無効になっている場合、GRANT ANY ROLEシステム権限を持つアカウントはすべて、保護対象のDatabase Vaultロールに対してGRANT操作およびREVOKE操作を実行できます。

13.2.11 DV_GOLDENGATE_ADMIN GoldenGate管理ロール

DV_GOLDENGATE_ADMINロールはOracle GoldenGateとともに使用します。

このロールを、Oracle Database Vault環境でOracle GoldenGateの構成を担当する任意のユーザーに付与します。

これにより、Oracle GoldenGateプロセスの管理をDatabase Vaultで厳格に制御できます。ただし、管理者が通常Oracle GoldenGateを管理する方法は変更または制限されません。

DV_GOLDENGATE_ADMINロールに関連付けられた権限

DV_GOLDENGATE_ADMINロールに関連付けられた権限はありません。

DV_GOLDENGATE_ADMINロールは、Oracle GoldenGateを構成するための十分なデータベース権限は提供しません。正確には、DV_GOLDENGATE_ADMINロールは、データベース管理者がOracle Database Vault環境でOracle GoldenGateを構成するための追加要件(Oracle GoldenGateで現在必要な権限を補うもの)です。

DV_GOLDENGATE_ADMINがGRANT操作とREVOKE操作に及ぼす影響

DV_OWNERロールを付与されているユーザーのみ、別のユーザーに対してDV_GOLDENGATE_ADMINロールを付与する、または取り消すことができます。

Oracle Database Vaultセキュリティを無効にした場合のDV_GOLDENGATE_ADMINステータス

すべてのOracle Databaseロールの保護は、Oracle Database Vaultが有効になっている場合にのみ適用されます。

Oracle Database Vaultが無効になっている場合、GRANT ANY ROLEシステム権限を持つアカウントはすべて、保護対象のDatabase Vaultロールに対してGRANT操作およびREVOKE操作を実行できます。

13.2.12 DV_GOLDENGATE_REDO_ACCESS GoldenGate REDOログ・ロール

DV_GOLDENGATE_REDO_ACCESSロールはOracle GoldenGateとともに使用します。

DV_GOLDENGATE_REDO_ACCESSロールを、Oracle Database Vault環境でOracle GoldenGateのTRANLOGOPTIONS DBLOGREADERメソッドの使用によるREDOログへのアクセスを担当する任意のユーザーに付与します。

これにより、Oracle GoldenGateプロセスの管理をDatabase Vaultで厳格に制御できます。ただし、管理者が通常Oracle GoldenGateを管理する方法は変更または制限されません。

DV_GOLDENGATE_REDO_ACCESSロールに関連付けられた権限

DV_GOLDENGATE_REDO_ACCESSロールに関連付けられた権限はありません。

DV_GOLDENGATE_REDO_ACCESSロールは、Oracle GoldenGateを構成するための十分なデータベース権限は提供しません。DV_GOLDENGATE_REDO_ACCESSロールは、データベース管理者の追加要件(Oracle GoldenGateで現在必要な権限を補うもの)です。

DV_GOLDENGATE_REDO_ACCESSがGRANT操作とREVOKE操作に及ぼす影響

DV_GOLDENGATE_REDO_ACCESSロールをADMIN OPTION付きで付与することはできません。

DV_OWNERロールを付与されているユーザーのみ、別のユーザーに対してDV_GOLDENGATE_REDO_ACCESSロールを付与する、または取り消すことができます。

Oracle Database Vaultセキュリティを無効にした場合のDV_GOLDENGATE_REDO_ACCESSステータス

すべてのOracle Databaseロールの保護は、Oracle Database Vaultが有効な場合のみ実施されます。

Oracle Database Vaultが無効になっている場合、GRANT ANY ROLEシステム権限を持つアカウントはすべて、保護対象のDatabase Vaultロールに対してGRANT操作およびREVOKE操作を実行できます。

13.2.13 DV_PATCH_ADMIN Database Vaultデータベース・パッチ・ロール

DV_PATCH_ADMINロールはパッチ操作のために使用します。

Database Vaultメタデータに指定された監査ポリシーやDatabase Vault統合監査ポリシーに従ってDatabase Vault関連のすべての監査レコードを生成するには、DV_PATCH_ADMINロールを使用する前にDV_ADMINロールが付与されたユーザーとしてDBMS_MACADM.ENABLE_DV_PATCH_ADMIN_AUDITプロシージャを実行します。

一時的に、DV_PATCH_ADMINロールを、データベースのパッチ適用担当の任意のデータベース管理者に付与します。この管理者がパッチ操作を行う前に、DBMS_MACADM.ENABLE_DV_PATCH_ADMIN_AUDITプロシージャを実行します。このプロシージャでは、既存の監査構成に従って、DV_PATCH_ADMINロールを付与されたユーザーによるアクションのレルム、コマンド・ルールおよびルール・セットの監査が可能になります。混合モード監査を使用する場合、このユーザーのアクションはAUDIT_TRAIL$表に書き込まれます。純粋な統合監査が有効な場合、このユーザーのアクションを取得する統合監査ポリシーを作成する必要があります。

パッチ操作の完了後、データベース・パッチ操作の実行を担当するユーザーの監査をすぐに無効にしないでください。このように、DV_PATCH_ADMINロール・ユーザーのアクションを追跡できます。下位互換性を確保するために、このタイプの監査はデフォルトで無効になっています。

DV_PATCH_ADMINロールに関連付けられた権限

DV_PATCH_ADMINロールでは、保護されたデータにアクセスできません。データベースのアップグレードには共通のDV_PATCH_ADMINの付与が必要であり、このロールを他のデータベース管理目的で使用しないことをお薦めします。

DV_PATCH_ADMINロールは、オブジェクト権限やシステム権限を持たない特殊なDatabase Vaultロールです。Database Vaultが有効なデータベースに、データベース管理者またはユーザーSYSがパッチを適用できるように(Database Vaultを無効にせずにデータベース・パッチを適用する場合など)設計されています。また、一部のパッチでは新しいスキーマを作成する必要があるため、データベース管理者はユーザーの作成も行うことができます。

DV_PATCH_ADMINロールを管理するには、次のガイドラインに従います。

• DV_PATCH_ADMINロールは、(たとえば、データベースをアップグレードする場合など)必要でないかぎり付与しないでください。

• ロールが不要になった場合は、DV_PATCH_ADMINロール付与を取り消してください。

• DV_PATCH_ADMINロールが付与されている間、監査レコードを確認してアクティビティをモニターしてください。

DV_PATCH_ADMINがGRANT操作とREVOKE操作に及ぼす影響

DV_OWNERロールを持つユーザーのみ、他のユーザーに対してDV_PATCH_ADMINロールを付与する、または取り消すことができます。

Oracle Database Vaultセキュリティを無効にした場合のDV_PATCH_ADMINステータス

すべてのOracle Databaseロールの保護は、Oracle Database Vaultが有効な場合のみ実施されます。

Oracle Database Vaultが無効になっている場合、GRANT ANY ROLEシステム権限を持つアカウントはすべて、保護対象のDatabase Vaultロールに対してGRANT操作およびREVOKE操作を実行できます。

マルチテナント環境でパッチを適用する際にDatabase Vaultを構成および有効化するためのガイダンス

DV_OWNERユーザーは、CDBルートの共通ユーザーに対してローカルに、または共通に構成できます。データベースにパッチを適用するためにDV_PATCH_ADMINを付与する必要がある場合、ローカルに付与されるDV_OWNERユーザーが行う必要がある処理に違いはありません。その構造により、DV_PATCH_ADMINは、CDBルートでローカルに付与されたDV_OWNER共通ユーザーによって付与されていても、パッチを完了するためにすべてのPDBでユーザーがDV_PATCH_ADMINを持っているように機能します。

13.2.14 DV_ACCTMGR Database Vaultアカウント・マネージャ・ロール

DV_ACCTMGRロールは強力なロールであり、アカウント管理のために使用します。

DV_ACCTMGRロールを使用して、データベース・アカウントとデータベース・プロファイルの作成および管理を行います。このマニュアルでは、例のDV_ACCTMGRロールがbea_dvacctmgrというユーザーに割り当てられます。

DV_ACCTMGRロールに関連付けられた権限

このロールを付与されているユーザーは、DV_SECANALYST、DV_AUDIT_CLEANUPおよびDV_MONITORロールを付与されているユーザーを含め、ユーザー・アカウントまたはプロファイルに対してCREATE文、ALTER文、DROP文を使用できます。

このユーザーは、他のユーザーにCREATE SESSION権限を付与することもできます。ただし、DV_ACCTMGRロールを付与されているユーザーは、次の操作は実行できません。

• DVSYSアカウントに対するALTER文またはDROP文

• DV_ADMINまたはDV_OWNERロールが付与されているユーザーに対するALTER文またはDROP文

• DV_ADMINまたはDV_OWNERロールが付与されているユーザーのパスワード変更

CDBルート内のDV_ACCTMGRロールを付与された共通ユーザーは、共通DV_ACCTMGRユーザーにPDBでのSET CONTAINER権限またはDV_ACCTMGRロールがない場合でも、CDBルート内の共通ユーザーまたは共通プロファイルを変更できます。

DV_ACCTMGRロールに関連付けられたシステム権限とオブジェクト権限の完全なリストを検索するには、十分な権限でデータベース・インスタンスにログインし、次の問合せを入力します。

SELECT TABLE_NAME, OWNER, PRIVILEGE FROM DBA_TAB_PRIVS WHERE GRANTEE = 'DV_ACCTMGR';
SELECT PRIVILEGE FROM DBA_SYS_PRIVS WHERE GRANTEE = 'DV_ACCTMGR';

ヒント:

• DV_ACCTMGRユーザーが他のユーザーにANY権限を付与または取り消せるようにする場合は、SYSDBA権限を持つユーザーSYSとしてログインし、このユーザーにGRANT ANY PRIVILEGE権限およびREVOKE ANY PRIVILEGE権限を付与します。次に、このユーザーを所有者としてOracleシステム権限およびロール管理レルムに追加します。

• DV_ACCTMGRユーザーの別個の名前付きアカウントを作成することをお薦めします。これにより、このユーザーがパスワードを忘れた場合、元のDV_ACCTMGRアカウントとしてログインして、ユーザーのパスワードをリセットできます。それ以外の場合は、Oracle Database Vaultを無効にし、SYSまたはSYSTEMとしてログインしてパスワードを再作成し、Oracle Database Vaultを再び有効にする必要があります。

DV_ACCTMGRがGRANT操作とREVOKE操作に及ぼす影響

SYSやSYSTEMなど、GRANT ANY ROLEシステム権限のみを持つアカウントには、他のデータベース・アカウントに対してこのロールを付与する権限または取り消す権限がありません。

DV_ACCTMGRロールおよびADMIN OPTIONを持つアカウントは、このロールを指定されたデータベース・アカウントに付与することも、他のアカウントからこのロールを取り消すこともできます。

Oracle Database Vaultセキュリティを無効にした場合のDV_ACCTMGRステータス

すべてのOracle Databaseロールの保護は、Oracle Database Vaultが有効な場合のみ実施されます。

Oracle Database Vaultが無効になっている場合、GRANT ANY ROLEシステム権限を持つアカウントはすべて、保護対象のDatabase Vaultロールに対してGRANT操作およびREVOKE操作を実行できます。

13.2.15 DV_REALM_OWNER Database VaultレルムDBAロール

DV_REALM_OWNERロールはレルム管理のために使用します。

DV_REALM_OWNERロールを使用して、レルムを定義する複数のスキーマ内のデータベース・オブジェクトを管理します。

このロールを、レルムとそれに関連付けられたロール内の1つ以上のスキーマ・データベース・アカウントを管理するデータベース・アカウントに付与します。

DV_REALM_OWNERロールに関連付けられた権限

このロールを付与されているユーザーは、CREATE ANY、ALTER ANY、DROP ANYなどの強力なシステム権限をレルム内で使用できます。

ただし、これらの権限を使用するには、このユーザーをレルムの参加者または所有者にする必要があります。手順については、「レルム認可について」を参照してください。

DV_REALM_OWNERロールにはオブジェクト権限は付与されていませんが、いくつかのシステム権限が付与されています。DV_REALM_OWNERシステム権限の完全なリストを検索するには、十分な権限でデータベース・インスタンスにログインし、次の問合せを入力します。

SELECT PRIVILEGE FROM DBA_SYS_PRIVS WHERE GRANTEE = 'DV_REALM_OWNER';

DV_REALM_OWNERがGRANT操作とREVOKE操作に及ぼす影響

Oracleシステム権限およびロール管理レルムのレルム所有者(SYSなど)は、このロールを、指定された任意のデータベース・アカウントまたはロールに付与できます。

このロールには強力なシステム権限がありますが、Oracle Database Vaultのロール(DV_OWNERまたはDV_ADMINロールなど)はないことに注意してください。

このロールを特定のレルムに関連付ける場合は、アカウントまたは業務関連のロールに割り当てた後、そのアカウントまたはロールをレルムで認可します。

Oracle Database Vaultセキュリティを無効にした場合のDV_REALM_OWNERステータス

すべてのOracle Databaseロールの保護は、Oracle Database Vaultが有効な場合のみ実施されます。

Oracle Database Vaultが無効になっている場合、GRANT ANY ROLEシステム権限を持つアカウントはすべて、保護対象のDatabase Vaultロールに対してGRANT操作およびREVOKE操作を実行できます。

13.2.16 DV_REALM_RESOURCE Database Vaultアプリケーション・リソース所有者ロール

DV_REALM_RESOURCEロールはレルム・リソースの管理のために使用します。

DV_REALM_RESOURCEロールは、レルムで一般に使用される表、ビュー、トリガー、シノニムおよびその他のオブジェクトの作成などの操作に使用します。

DV_REALM_RESOURCEロールに関連付けられた権限

DV_REALM_RESOURCEロールには、OracleのRESOURCEロールと同じシステム権限があります。さらに、CREATE SYNONYMとCREATE VIEWの両方がこのロールに付与されます。

DV_REALM_RESOURCEロールにはオブジェクト権限は付与されていませんが、いくつかのシステム権限が付与されています。DV_REALM_RESOURCEシステム権限の完全なリストを検索するには、十分な権限でデータベース・インスタンスにログインし、次の問合せを入力します。

SELECT PRIVILEGE FROM DBA_SYS_PRIVS WHERE GRANTEE = 'DV_REALM_RESOURCE';

このロールには強力なシステム権限がありますが、Oracle Database Vaultのロール(DV_OWNERまたはDV_ADMINロールなど)はありません。

DV_REALM_RESOURCEがGRANT操作とREVOKE操作に及ぼす影響

DV_REALM_RESOURCEロールは、任意のデータベース・アプリケーションのサポートに使用されるデータベース表、オブジェクト、トリガー、ビュー、プロシージャなどを所有するデータベース・アカウントに付与できます。

これは、スキーマ・タイプのデータベース・アカウントを対象としたロールです。Oracleシステム権限およびロール管理レルムのレルム所有者(SYSなど)は、このロールを、任意のデータベース・アカウントまたはロールに付与できます。

Oracle Database Vaultセキュリティを無効にした場合のDV_REALM_RESOURCEステータス

すべてのOracle Databaseロールの保護は、Oracle Database Vaultが有効な場合のみ実施されます。

Oracle Database Vaultが無効になっている場合、GRANT ANY ROLEシステム権限を持つアカウントはすべて、保護対象のDatabase Vaultロールに対してGRANT操作およびREVOKE操作を実行できます。

13.2.17 DV_POLICY_OWNER Database Vault所有者ロール

DV_POLICY_OWNERロールでは、データベース・ユーザーが、制限されたレベルのOracle Database Vaultポリシーを管理できるようになります。

DV_POLICY_OWNERロールに関連付けられた権限

DV_POLICY_OWNERロールは、Database Vault管理ユーザー以外に、Database Vaultポリシーの有効化または無効化、レルムへの認可の追加またはレルムからの認可の削除、および次のデータベース・ビューに対するSELECT権限の使用のための十分な権限を提供します。

• DVSYS.POLICY_OWNER_COMMAND_RULE

• DVSYS.POLICY_OWNER_POLICY

• DVSYS.POLICY_OWNER_REALM

• DVSYS.POLICY_OWNER_REALM_AUTH

• DVSYS.POLICY_OWNER_REALM_OBJECT

• DVSYS.POLICY_OWNER_RULE_SET

• DVSYS.POLICY_OWNER_RULE

• DVSYS.POLICY_OWNER_RULE_SET_RULE

DV_POLICY_OWNERのみ、これらのビューを問合せできます。DV_OWNERロールとDV_ADMINロールがあるユーザーであっても、これらのビューを問い合せることはできません。

DV_POLICY_OWNERロールには、システム権限はありません。DV_POLICY_OWNERロールに関連付けられたオブジェクト権限をすべて示すリストを確認するには、データベース・インスタンスにログインし、次の問合せを入力します。

SELECT TABLE_NAME, OWNER, PRIVILEGE FROM DBA_TAB_PRIVS WHERE GRANTEE = 'DV_POLICY_OWNER';

DV_POLICY_OWNERがGRANT操作とREVOKE操作に及ぼす影響

DV_POLICY_OWNERロールを付与されているユーザーは、このロールを他のユーザーに付与することや他のユーザーから取り消すことはできません。

Oracle Database Vaultセキュリティを無効にした場合のDV_POLICY_OWNERステータス

すべてのOracle Database Vaultロールの保護は、Oracle Database Vaultが有効な場合のみ実施されます。

Oracle Database Vaultが無効になっている場合、GRANT ANY ROLEシステム権限を持つアカウントはすべて、保護対象のDatabase Vaultロールに対してGRANT操作およびREVOKE操作を実行できます。

13.2.18 DV_PUBLIC Database Vault PUBLICロール

DV_PUBLICロールは使用されなくなりました。

インストール時にDV_PUBLICロールは引き続き作成されますが、ロールや権限は付与されません。以前のリリースでDV_PUBLICに付与された権限はすべてPUBLICロールに直接付与されるようになりました。

13.3 登録中に作成されるOracle Database Vaultアカウント

登録プロセスの間に、Oracle Database Vault所有者およびOracle Database Vaultアカウント・マネージャのためのアカウントを作成する必要があります。

Oracle Database Vault所有者アカウントのアカウント名およびパスワードは、インストール時に指定する必要があります。Oracle Database Vaultアカウント・マネージャの作成はオプションですが、より適切な業務分離のためにお薦めします。

Oracle Database Vault所有者アカウントには、DV_OWNERロールが付与されます。このアカウントでは、Oracle Database Vaultのロールおよび構成を管理できます。

Oracle Database Vaultアカウント・マネージャ・アカウントには、DV_ACCTMGRロールが付与されます。このアカウントは、データベース・ユーザー・アカウントを管理して職務分離をしやすくするために使用されます。

インストール時にOracle Database Vaultアカウント・マネージャ・アカウントを作成しない場合、DV_OWNERとDV_ACCTMGRの両方のロールがOracle Database Vault所有者ユーザー・アカウントに付与されます。

表13-1に、インストール時に作成するアカウントの他に必要なOracle Database Vaultデータベース・アカウントを示します。

表13-1 Oracle Database Vaultで使用されるデータベース・アカウント

データベース・アカウント	ロールおよび権限	説明
DVSYS	いくつかのシステム権限およびオブジェクト権限がOracle Database Vaultをサポートするために用意されています。このアカウントでセッションを作成する権限は、インストールの最後に取り消され、アカウントはロックされます。	Oracle Database Vaultのスキーマおよび関連オブジェクトの所有者
DVF	限定されたシステム権限がOracle Database Vaultをサポートするために用意されています。このアカウントでセッションを作成する権限は、インストールの最後に取り消され、アカウントはロックされます。	ファクタ・アイデンティティを取得するために作成されるOracle Database Vaultのファンクションの所有者
LBACSYS	このアカウントは、Oracle Universal Installerのカスタム・インストール・オプションを使用してOracle Label Securityをインストールすると作成されます。(Oracle Database Vaultのインストール時には作成されません。)このアカウントは削除または再作成しないでください。 ファクタとOracle Label Securityポリシーを統合する場合、このファクタを使用するレルムの所有者としてこのユーザーを割り当てる必要があります。詳細は、「Oracle Label SecurityポリシーでのOracle Database Vaultファクタの使用方法」を参照してください。	Oracle Label Securityのスキーマの所有者

Oracle Database Vaultの職務分離要件を満たすために別のデータベース・アカウントを作成できます。表13-2に、指針となるモデル・データベース・アカウントの一部を示します。(表13-2に示すアカウントは、Oracle Database Vaultロールの実装の指針となります。これらは、インストール時に作成される実際のアカウントではありません。)

表13-2 Oracle Database Vaultのモデル・データベース・アカウント

データベース・アカウント	ロールおよび権限	説明
EBROWN	DV_OWNER(DV_ADMINおよびDV_SECANALYSTを保持)	Oracle Database Vaultレルムのレルム所有者になるアカウント。このアカウントには次のことが可能です。 DVSYSパッケージを実行する DVSYSスキーマ・オブジェクトに対する権限を付与する。 DVSYSスキーマ内のオブジェクトの選択 Oracle Database Vaultアクティビティを監視する。 Oracle Database Vault構成に関するレポートを実行する。
JGODFREY	DV_ACCTMGR	データベース・アカウントおよびプロファイルを管理するためのアカウント。このアカウントには次のことが可能です。 ユーザーの作成、変更および削除 プロファイルの作成、変更および削除 CREATE SESSION権限の付与および取消し DV_ACCTMGRロールの付与と取消しを行います。ただし、このアカウントがDatabase Vaultのインストール時に作成された場合のみです(このアカウントは、ADMINオプション付きで作成されました)。 CONNECTロールの付与および取消し ノート: このアカウントでは、ロールの作成、およびRESOURCEロールまたはDBAロールの付与は行えません。
RLAYTON	DV_ADMIN(DV_SECANALYSTを保持)	アクセス制御管理者として機能するアカウント。このアカウントには次のことが可能です。 DVSYSパッケージを実行する Oracle Database Vaultアクティビティを監視する。 Oracle Database Vault構成に関するレポートを実行する。 ノート: このアカウントでは、DVSYS表を直接更新できません。
PSMYTHE	DV_SECANALYST	Oracle Database Vaultレポートを実行するためのアカウント

13.4 バックアップOracle Database Vaultアカウント

ベスト・プラクティスとして、DV_OWNERロールとDV_ACCTMGRロールのバックアップ・アカウントを保持することをお薦めします。

Oracle Database Vault登録プロセスでは、DV_OWNERロールとDV_ACCTMGRロールの日常用アカウントとバックアップ・アカウントの作成が必要となります。これらのロールのいずれかを付与されているユーザーが自分のパスワードを忘れた場合や組織を退職した場合に備えた安全対策として、これらのアカウントを保持し続ける必要があります。それにより、バックアップ・アカウントにログインして、パスワードの回復や新しいアカウントへのロールの付与が可能です。これらは、特権アカウント管理または組織のブレークグラス(または非常時パスワード回復)システムで安全を確保されているバックアップ・アカウントとしてのみ使用する必要があります。これらのロールのいずれかをユーザーに付与する場合は、GRANT文にWITH ADMIN OPTION句を含めます。

Oracle Database Vaultで実装されている強力な職務分離により、DV_OWNERアカウントにアクセスできなくなった場合はデータベースの再構築が必要になります。SYSアカウントは、DV_OWNERアカウントをオーバーライドできません。