目次
- タイトルおよび著作権情報
- はじめに
- 『Oracle Label Security管理者ガイド』のこのリリースの変更
-
第I部 Oracle Label Securityスタート・ガイド
-
1 Oracle Label Securityの概要
- 1.1 Oracle Label Securityについて
- 1.2 Oracle Label Securityの利点
- 1.3 Oracle Label Securityを使用する権限を持つユーザー
- 1.4 Oracle Label Security管理者の業務
- 1.5 Oracle Label Securityのコンポーネント
- 1.6 Oracle Label Securityのアーキテクチャ
- 1.7 Oracle Label Securityの管理インタフェース
- 1.8 Oracle Label Securityのデモンストレーション・ファイル
- 1.9 他のOracle製品でのOracle Label Securityの動作
- 2 データ・ラベルおよびユーザー・ラベル
-
3 アクセス制御および権限
- 3.1 アクセス調整
- 3.2 セッション・ラベルおよび行ラベルの動作
- 3.3 ユーザー認可の動作
- 3.4 アクセス調整のためのラベルの評価
- 3.5 Oracle Label Securityの権限
- 3.6 複数のOracle Label Securityポリシーの処理
-
1 Oracle Label Securityの概要
-
第II部 Oracle Label Securityの機能の使用
- 4 Oracle Label Securityの登録とログイン
-
5 Oracle Label Securityポリシーの作成
- 5.1 Oracle Label Securityポリシーの作成について
- 5.2 ステップ1: ラベル・セキュリティ・ポリシー・コンテナの作成
- 5.3 ステップ2: ラベル・セキュリティ・ポリシーのデータ・ラベルの作成
- 5.4 ステップ3: ラベル・セキュリティ・ポリシーのユーザーの認可
- 5.5 ステップ4: ユーザーおよびトラステッド・ストアド・プログラム・ユニットへの権限の付与
- 5.6 ステップ5: データベース表またはスキーマへのポリシーの適用
- 5.7 ステップ6: 表の行へのポリシー・ラベルの追加
- 5.8 ステップ7: (オプション)監査の構成
-
5.9 Enterprise Manager Cloud Controlを使用したOLSポリシーの作成
- 5.9.1 Cloud Controlを使用したラベル・セキュリティ・ポリシー・コンテナの作成
- 5.9.2 Cloud Controlを使用したポリシー・コンポーネントの作成
- 5.9.3 Cloud Controlを使用したポリシーのデータ・ラベルの作成
- 5.9.4 Cloud Controlを使用したポリシーに対するユーザーの認可、権限付与および監査
- 5.9.5 Cloud Controlを使用したトラステッド・プログラム・ユニットへの権限の付与
- 5.9.6 Cloud Controlを使用したデータベース表へのポリシーの適用
- 5.9.7 Cloud Controlを使用した表の行へのポリシー・ラベルの適用
- 5.9.8 Cloud Controlを使用したOracle Label Securityポリシーの監査
- 6 ラベル付きデータの処理
-
7 Oracle Label SecurityとOracle Internet Directoryとの併用
- 7.1 Oracle Internet Directoryでのラベル管理について
- 7.2 Oracle Internet Directory対応Label Securityの構成
- 7.3 Oracle Label Securityプロファイル
- 7.4 Label Securityでディレクトリを使用する場合に統合される機能
- 7.5 Oracle Internet Directory内のOracle Label Securityポリシー属性
- 7.6 Oracle Internet Directory対応Oracle Label Securityでのポリシーのサブスクライブ
- 7.7 新規データ・ラベル作成の制限
- 7.8 Oracle Internet DirectoryおよびOracle Label Securityに対する管理者の責任
- 7.9 データベースのブートストラップ
- 7.10 データベースとOracle Internet Directoryの同期化
- 7.11 セキュリティ・ロールと許可されるアクション
- 7.12 OLSでOIDが有効になっている場合に置き換えられるPL/SQL文
- 7.13 ポリシー管理者用のOracle Label Securityプロシージャ
-
第III部 Oracle Label Securityのチュートリアル
-
8 チュートリアル: Oracle Label Securityでのレベルの構成
- 8.1 このチュートリアルについて
- 8.2 ステップ1: ロールおよびユーザー・アカウントの作成
- 8.3 ステップ2: Oracle Label Securityポリシー・コンテナの作成
- 8.4 ステップ3: Oracle Label Securityポリシーの2つのレベル・コンポーネントの作成
- 8.5 ステップ4: レベル用のデータ・ラベルの作成
- 8.6 ステップ5: Oracle Label Securityポリシーに対するユーザー認可の設定
- 8.7 ステップ6: HRスキーマへのOracle Label Securityポリシーの適用
- 8.8 ステップ7: HR.EMPLOYEES表データへのポリシー・ラベルの追加
- 8.9 ステップ8: Oracle Label Securityポリシーのテスト
- 8.10 ステップ9: (オプション) Oracle Label Securityポリシー・コンポーネントの削除
-
9 チュートリアル: Oracle Label Securityでの区分の構成
- 9.1 このチュートリアルについて
- 9.2 ステップ1: Lily Leagullのアカウントの作成
- 9.3 ステップ2: HIGHLY_SENSITIVEレベルに対するLily Leagullの認可
- 9.4 ステップ3: Oracle Label Securityポリシーの2つの区分の作成
- 9.5 ステップ4: 区分用のデータ・ラベルの作成
- 9.6 ステップ5: ユーザーへのラベルの割当て
- 9.7 ステップ6: HR.EMPLOYEES表データへのポリシー・ラベルの追加
- 9.8 ステップ7: Oracle Label Securityポリシーのテスト
- 9.9 ステップ8: (オプション) Oracle Label Securityポリシー・コンポーネントの削除
-
10 チュートリアル: Oracle Label Securityでのグループの構成
- 10.1 このチュートリアルについて
- 10.2 ステップ1: ロールおよびユーザー・アカウントの作成
- 10.3 ステップ2: Oracle Label Securityポリシー・コンテナの作成
- 10.4 ステップ3: Oracle Label Securityポリシーのレベル・コンポーネントの作成と認可
- 10.5 ステップ4: Oracle Label Securityポリシーのグループの作成と認可
- 10.6 ステップ5: ポリシーの表への適用および許可
- 10.7 ステップ6: OE.CUSTOMERS表データへのポリシー・ラベルの追加
- 10.8 ステップ7: Oracle Label Securityポリシーのテスト
- 10.9 ステップ8: (オプション) Oracle Label Securityポリシー・コンポーネントの削除
-
8 チュートリアル: Oracle Label Securityでのレベルの構成
-
第IV部 Oracle Label Securityアプリケーションの管理
-
11 ポリシー施行オプションとラベル付けファンクションの実装
-
11.1 Oracle Label Securityのポリシー強制オプション
- 11.1.1 ポリシー強制オプションについて
- 11.1.2 ポリシー強制オプションのレベル
- 11.1.3 ポリシー強制オプションのカテゴリ
- 11.1.4 ポリシー強制オプションの関係
- 11.1.5 HIDEポリシー列オプションの動作
- 11.1.6 ラベル管理強制オプションの動作
- 11.1.7 アクセス制御強制オプションの動作
- 11.1.8 オーバーライド強制オプションの動作
- 11.1.9 ポリシー施行オプションの使用時のガイドライン
- 11.1.10 Oracle Label Securityのポリシー施行からの除外
- 11.1.11 表およびスキーマに対するポリシー・オプションを表示するためのデータ・ディクショナリ・ビュー
- 11.2 ラベル付けファンクション
- 11.3 ポリシー・オプションとラベル付けファンクションを使用したラベル付きデータの挿入
- 11.4 ポリシー・オプションとラベル付けファンクションを使用したラベル付きデータの更新
- 11.5 ポリシー・オプションとラベル付けファンクションを使用したラベル付きデータの削除
- 11.6 Oracle Label SecurityポリシーでのSQL述語の使用
-
11.1 Oracle Label Securityのポリシー強制オプション
- 12 トラステッド・ストアド・プログラム・ユニットの管理および使用
- 13 Oracle Label Securityでの監査
-
14 分散データベースでのOracle Label Securityの使用
- 14.1 Oracle Label Securityの分散構成について
- 14.2 Oracle Label Securityでのリモート・データベースへの接続の動作
- 14.3 リモート・セッションでのセッション・ラベルと行ラベル
- 14.4 分散環境でのラベル
- 14.5 分散環境でのOracle Label Securityポリシー
- 14.6 Oracle Label Securityでのレプリケーション
-
15 Oracle Label SecurityでのDBAファンクションの実行
- 15.1 Oracle Label SecurityでのOracle Data Pumpエクスポートの使用
- 15.2 Oracle Label SecurityでのData Pumpインポートの使用
- 15.3 Oracle Label SecurityでのSQL*Loaderの使用
- 15.4 Oracle Label Securityのパフォーマンス上のヒント
- 15.5 インストール後の追加データベースの作成
- 15.6 Oracle Label Securityのアップグレードおよびダウングレード
-
16 インバース・グループを使用した解放性
- 16.1 インバース・グループおよび解放性について
- 16.2 スタンダード・グループとインバース・グループの比較
- 16.3 インバース・グループの動作
- 16.4 インバース・グループでの読取りアクセスのアルゴリズム
- 16.5 インバース・グループでの書込みアクセスのアルゴリズム
- 16.6 インバース・グループでのCOMPACCESS権限のアルゴリズム
- 16.7 セッション・ラベルおよびインバース・グループ
-
16.8 インバース・グループでのプロシージャの動作の変更
- 16.8.1 インバース・グループでのSA_SYSDBA.CREATE_POLICY
- 16.8.2 インバース・グループでのSA_SYSDBA.ALTER_POLICY
- 16.8.3 インバース・グループでのSA_USER_ADMIN.ADD_GROUPS
- 16.8.4 インバース・グループでのSA_USER_ADMIN.ALTER_GROUPS
- 16.8.5 インバース・グループでのSA_USER_ADMIN.SET_GROUPS
- 16.8.6 インバース・グループでのSA_USER_ADMIN.SET_USER_LABELS
- 16.8.7 インバース・グループでのSA_USER_ADMIN.SET_DEFAULT_LABEL
- 16.8.8 インバース・グループでのSA_USER_ADMIN.SET_ROW_LABEL
- 16.8.9 インバース・グループでのSA_COMPONENTS.CREATE_GROUP
- 16.8.10 インバース・グループでのSA_COMPONENTS.ALTER_GROUP_PARENT
- 16.8.11 インバース・グループでのSA_SESSION.SET_LABEL
- 16.8.12 インバース・グループでのSA_SESSION.SET_ROW_LABEL
- 16.8.13 インバース・グループでのLEAST_UBOUND
- 16.8.14 インバース・グループでのGREATEST_LBOUND
- 16.9 インバース・グループでのラベルの支配規則
-
11 ポリシー施行オプションとラベル付けファンクションの実装
-
付録
- A Oracle Label Securityの無効化および有効化
-
B Oracle Label Securityの高度なトピック
-
B.1 ラベル間の関係の分析
- B.1.1 支配するラベルと支配されるラベルについて
- B.1.2 比較できないラベル
-
B.1.3 支配ファンクションの使用
- B.1.3.1 支配ファンクションについて
- B.1.3.2 OLS_DOMINATESスタンドアロン・ファンクション
- B.1.3.3 OLS_LABEL_DOMINATESスタンドアロン・ファンクション
- B.1.3.4 OLS_STRICTLY_DOMINATESスタンドアロン・ファンクション
- B.1.3.5 OLS_DOMINATED_BYスタンドアロン・ファンクション
- B.1.3.6 OLS_STRICTLY_DOMINATED_BYスタンドアロン・ファンクション
- B.1.3.7 SA_UTL.DOMINATES
- B.1.3.8 SA_UTL.STRICTLY_DOMINATES
- B.1.3.9 SA_UTL.DOMINATED_BY
- B.1.3.10 SA_UTL.STRICTLY_DOMINATED_BY
- B.2 監査対象のOracle Label Securityセッション・ラベルの問合せ
- B.3 セッション・ラベル設定用のOracle Call Interface
-
B.1 ラベル間の関係の分析
-
C Oracle Internet Directoryを使用したLabel Security用コマンドライン・ツール
- C.1 Oracle Label Securityのコマンドライン・ツールについて
- C.2 Oracle Label Securityのカテゴリ別のコマンド
-
C.3 olsadmintoolコマンド・リファレンス
- C.3.1 olsadmintoolコマンドについて
- C.3.2 olsadmintool addadmin
- C.3.3 olsadmintool addpolcreator
- C.3.4 olsadmintool adduser
- C.3.5 olsadmintool altercompartent
- C.3.6 olsadmintool altergroup
- C.3.7 olsadmintool altergroupparent
- C.3.8 olsadmintool alterlabel
- C.3.9 olsadmintool alterlevel
- C.3.10 olsadmintool alterpolicy
- C.3.11 olsadmintool audit
- C.3.12 olsadmintool createcompartment
- C.3.13 olsadmintool creategroup
- C.3.14 olsadmintool createlabel
- C.3.15 olsadmintool createlevel
- C.3.16 olsadmintool createprofile
- C.3.17 olsadmintool createpolicy
- C.3.18 olsamindtool describeprofile
- C.3.19 olsadmintool dropadmin
- C.3.20 olsadmintool dropcompartment
- C.3.21 olsadmintool dropgroup
- C.3.22 olsadmintool droplabel
- C.3.23 olsadmintool droplevel
- C.3.24 olsadmintool droppolicy
- C.3.25 olsadmintool dropprofile
- C.3.26 olsadmintool droppolcreator
- C.3.27 olsadmintool dropuser
- C.3.28 olsadmintool --help
- C.3.29 olsadmintool listprofile
- C.3.30 olsadmintool noaudit
- C.4 olsadmintoolコマンドの関連パラメータ
- C.5 olsadmintoolユーティリティの使用例
- C.6 olsoidsyncコマンド・リファレンス
- D Oracle RAC 環境でのOracle Label Security
-
E Oracle Label SecurityのPL/SQLパッケージ
- E.1 SA_AUDIT_ADMIN Oracle Label Security監査PL/SQLパッケージ
-
E.2 SA_COMPONENTSラベル・コンポーネントPL/SQLパッケージ
- E.2.1 SA_COMPONENTS PL/SQLパッケージについて
- E.2.2 SA_COMPONENTS.ALTER_COMPARTMENT
- E.2.3 SA_COMPONENTS.ALTER_GROUP
- E.2.4 SA_COMPONENTS.ALTER_GROUP_PARENT
- E.2.5 SA_COMPONENTS.ALTER_LEVEL
- E.2.6 SA_COMPONENTS.CREATE_COMPARTMENT
- E.2.7 SA_COMPONENTS.CREATE_GROUP
- E.2.8 SA_COMPONENTS.CREATE_LEVEL
- E.2.9 SA_COMPONENTS.DROP_COMPARTMENT
- E.2.10 SA_COMPONENTS.DROP_GROUP
- E.2.11 SA_COMPONENTS.DROP_LEVEL
- E.3 SA_LABEL_ADMINラベル管理PL/SQLパッケージ
-
E.4 SA_POLICY_ADMINポリシー管理PL/SQLパッケージ
- E.4.1 SA_POLICY_ADMIN PL/SQLパッケージについて
- E.4.2 SA_POLICY_ADMIN.ALTER_SCHEMA_POLICY
- E.4.3 SA_POLICY_ADMIN.APPLY_SCHEMA_POLICY
- E.4.4 SA_POLICY_ADMIN.APPLY_TABLE_POLICY
- E.4.5 SA_POLICY_ADMIN.DISABLE_SCHEMA_POLICY
- E.4.6 SA_POLICY_ADMIN.DISABLE_TABLE_POLICY
- E.4.7 SA_POLICY_ADMIN.ENABLE_SCHEMA_POLICY
- E.4.8 SA_POLICY_ADMIN.ENABLE_TABLE_POLICY
- E.4.9 SA_POLICY_ADMIN.POLICY_SUBSCRIBE
- E.4.10 SA_POLICY_ADMIN.POLICY_UNSUBSCRIBE
- E.4.11 SA_POLICY_ADMIN.REMOVE_SCHEMA_POLICY
- E.4.12 SA_POLICY_ADMIN.REMOVE_TABLE_POLICY
-
E.5 SA_SESSIONセッション管理PL/SQLパッケージ
- E.5.1 SA_SESSION PL/SQLパッケージについて
- E.5.2 SA_SESSION.COMP_READ
- E.5.3 SA_SESSION.COMP_WRITE
- E.5.4 SA_SESSION.GROUP_READ
- E.5.5 SA_SESSION.GROUP_WRITE
- E.5.6 SA_SESSION.LABEL
- E.5.7 SA_SESSION.MAX_LEVEL
- E.5.8 SA_SESSION.MAX_READ_LABEL
- E.5.9 SA_SESSION.MAX_WRITE_LABEL
- E.5.10 SA_SESSION.MIN_LEVEL
- E.5.11 SA_SESSION.MIN_WRITE_LABEL
- E.5.12 SA_SESSION.PRIVS
- E.5.13 SA_SESSION.RESTORE_DEFAULT_LABELS
- E.5.14 SA_SESSION.ROW_LABEL
- E.5.15 SA_SESSION.SET_LABEL
- E.5.16 SA_SESSION.SA_USER_NAME
- E.5.17 SA_SESSION.SAVE_DEFAULT_LABELS
- E.5.18 SA_SESSION.SET_ACCESS_PROFILE
- E.5.19 SA_SESSION.SET_ROW_LABEL
- E.6 SA_SYSDBAポリシー管理PL/SQLパッケージ
-
E.7 SA_USER_ADMIN PL/SQLパッケージ
- E.7.1 SA_USER_ADMIN PL/SQLパッケージについて
- E.7.2 SA_USER_ADMIN.ADD_COMPARTMENTS
- E.7.3 SA_USER_ADMIN.ADD_GROUPS
- E.7.4 SA_USER_ADMIN.ALTER_COMPARTMENTS
- E.7.5 SA_USER_ADMIN.ALTER_GROUPS
- E.7.6 SA_USER_ADMIN.DROP_ALL_COMPARTMENTS
- E.7.7 SA_USER_ADMIN.DROP_ALL_GROUPS
- E.7.8 SA_USER_ADMIN.DROP_COMPARTMENTS
- E.7.9 SA_USER_ADMIN.DROP_GROUPS
- E.7.10 SA_USER_ADMIN.DROP_USER_ACCESS
- E.7.11 SA_USER_ADMIN.SET_COMPARTMENTS
- E.7.12 SA_USER_ADMIN.SET_DEFAULT_LABEL
- E.7.13 SA_USER_ADMIN.SET_GROUPS
- E.7.14 SA_USER_ADMIN.SET_LEVELS
- E.7.15 SA_USER_ADMIN.SET_PROG_PRIVS
- E.7.16 SA_USER_ADMIN.SET_ROW_LABEL
- E.7.17 SA_USER_ADMIN.SET_USER_LABELS
- E.7.18 SA_USER_ADMIN.SET_USER_PRIVS
- E.8 SA_UTL PL/SQLユーティリティのファンクションおよびプロシージャ
-
F Oracle Label Securityの表およびビュー
- F.1 Oracle Databaseのデータ・ディクショナリ表
-
F.2 Oracle Label Securityのデータ・ディクショナリ・ビュー
- F.2.1 ALL_SA_AUDIT_OPTIONSビュー
- F.2.2 ALL_SA_COMPARTMENTS
- F.2.3 ALL_SA_DATA_LABELS
- F.2.4 ALL_SA_GROUPS
- F.2.5 ALL_SA_LABELS
- F.2.6 ALL_SA_LEVELS
- F.2.7 ALL_SA_POLICIES
- F.2.8 ALL_SA_PROG_PRIVS
- F.2.9 ALL_SA_SCHEMA_POLICIES
- F.2.10 ALL_SA_TABLE_POLICIES
- F.2.11 ALL_SA_USERS
- F.2.12 ALL_SA_USER_LABELS
- F.2.13 ALL_SA_USER_LEVELS
- F.2.14 ALL_SA_USER_PRIVS
- F.2.15 DBA_SA_AUDIT_OPTIONS
- F.2.16 DBA_SA_COMPARTMENTS
- F.2.17 DBA_SA_DATA_LABELS
- F.2.18 DBA_SA_GROUPS
- F.2.19 DBA_SA_GROUP_HIERARCHY
- F.2.20 DBA_SA_LABELS
- F.2.21 DBA_SA_LEVELS
- F.2.22 DBA_SA_POLICIES
- F.2.23 DBA_SA_PROG_PRIVS
- F.2.24 DBA_SA_SCHEMA_POLICIES
- F.2.25 DBA_SA_TABLE_POLICIES
- F.2.26 DBA_SA_USERS
- F.2.27 DBA_SA_USER_COMPARTMENTS
- F.2.28 DBA_SA_USER_GROUPS
- F.2.29 DBA_SA_USER_LABELS
- F.2.30 DBA_SA_USER_LEVELS
- F.2.31 DBA_SA_USER_PRIVS
- F.2.32 DBA_OLS_STATUS
- F.2.33 USER_SA_SESSION
- F.3 Oracle Label Securityのユーザー作成の監査ビュー
- G Oracle Label Securityの制限事項
-
H Oracle Label Securityに関するよくある質問
- H.1 Oracle Label Securityのユーザーは誰ですか?
- H.2 Oracle Label Securityはセキュリティ・ニーズにどのように対応できますか?
- H.3 すべての表の保護にOracle Label Securityを使用する必要がありますか?
- H.4 Oracle Virtual Private DatabaseとOracle Label Securityの違いは何ですか?
- H.5 Oracle Virtual Private DatabaseとOracle Label Securityを組み合せることはできますか?
- H.6 Oracle Label SecurityはOracle E-Business Suiteと併用できますか?
- H.7 Oracle Label SecurityはOracle Database Vaultと併用できますか?
- H.8 Oracle Label Securityでは列レベルのアクセス制御が提供されていますか?
- H.9 Oracle Label Securityに基づいたセキュアなアプリケーション・ロールは可能ですか?
- H.10 トラステッド・ストアド・プログラム・ユニットとは何ですか?
- H.11 VPDまたはOLSでは、保護された表に列が追加されますか?
- H.12 追加したOLS行ラベル列を非表示にする理由は何ですか?
- I Oracle Label Securityのトラブルシューティング
- 索引