Oracle Database Vault管理者ガイドのこのリリースの変更点
この章の内容は次のとおりです。
Oracle Database Vault 20cでの変更点
Oracle Database 20cのOracle Database Vault管理者ガイドの変更点は次のとおりです。
- ローカルOracle Database Vaultポリシーによる共通操作のブロックを防止する機能
このリリース以降では、ルート内のDV_OWNER
共通ユーザーは、ローカル・ユーザーがプラガブル・データベース(PDB)内の共通オブジェクトに対してOracle Database Vaultコントロールを作成できないようにすることができます。
ローカルOracle Database Vaultポリシーによる共通操作のブロックを防止する機能
このリリース以降では、ルート内のDV_OWNER
共通ユーザーは、ローカル・ユーザーがプラガブル・データベース(PDB)内の共通オブジェクトに対してOracle Database Vaultコントロールを作成できないようにすることができます。
以前のリリースでは、マルチテナント環境で、ローカルOracle Database Vaultユーザーが、アプリケーションまたはデータベース全体を管理するための、共通操作をブロックする可能性があるDatabase Vaultポリシーを作成できました。共通ユーザーを共通操作からブロックすると、アプリケーションまたはCDBデータベースの管理に必要なSQLコマンドを実行できなくなる可能性があります。このような状況を回避するために、ルート内のDV_OWNER
ロールを持つユーザーは、DBMS_MACADM.ALLOW_COMMON_OPERATION
プロシージャを実行して、ローカルPDBユーザーが共通ユーザーのオブジェクト(データベースまたはアプリケーション)に対してDatabase Vaultコントロールを作成可能かどうかを制御できます。
この機能拡張により、データベース管理者は、CDBデータベースおよびアプリケーション・データベースの管理者を管理して、PDBからのローカルDatabase Vaultコントロールによってブロックされることなく、PDBを管理できるようになります。また、インフラストラクチャ・データベース管理者は、アプリケーション共通Database Vaultコントロールによってブロックされることなく、CDBデータベースを管理できます。
Oracle Database Vault 19cでの変更点
Oracle Database 19cのOracle Database Vault管理者ガイドの変更点は次のとおりです。
- 統合監査ポリシーのコマンド・ルールのサポート
統合監査ポリシー用のOracle Database Vaultコマンド・ルールを作成できるようになりました。 - インフラストラクチャ・データベース管理者のDatabase Vault操作の制御
マルチテナント・データベースでは、Oracle Database Vaultを使用して、共通ユーザー(インフラストラクチャDBAなど)による自律型で通常のクラウドまたはオンプレミス環境のプラガブル・データベース(PDB)のローカル・データへのアクセスをブロックできるようになりました。 - 権限分析ドキュメントのOracle Databaseセキュリティ・ガイドへの移動
権限分析のドキュメントは、『Oracle Database Vault管理者ガイド』から『Oracle Databaseセキュリティ・ガイド』に移動しました。
統合監査ポリシーのコマンド・ルールのサポート
統合監査ポリシー用のOracle Database Vaultコマンド・ルールを作成できるようになりました。
コマンド・ルールを使用して、個々の統合監査ポリシーを有効および無効にできるようになりました。この拡張によって、1つのコマンド・ルールを介してすべての統合監査ポリシーを同じように管理するのではなく、各ポリシーの管理方法をきめ細かく制御できます。たとえば、HR監査者は、CRM統合監査ポリシーではなく、自分自身のHR統合監査ポリシーを制御できます。この新機能は、コマンド・ルールに対してAUDIT
およびNOAUDIT
の使用を拡張しますが、コマンド・ルールに統合監査ポリシーを指定する場合、AUDIT POLICY
またはNOAUDIT POLICY
を指定する必要があります。
インフラストラクチャ・データベース管理者のDatabase Vault操作の制御
マルチテナント・データベースでは、Oracle Database Vaultを使用して、共通ユーザー(インフラストラクチャDBAなど)による自律型で通常のクラウドまたはオンプレミス環境のプラガブル・データベース(PDB)のローカル・データへのアクセスをブロックできるようになりました。
この拡張により、共通ユーザーはPDBに存在するローカル・データにアクセスできなくなります。これにより、ビジネス・アプリケーションの機密データを格納できるようになり、重要な顧客データにアクセスすることなく、データベース・インフラストラクチャを管理する操作が許可されます。