ローカルのOracle Database Vaultポリシーが共通操作をブロックしないようにする機能

このリリース以降、CDBルートのDV_OWNER共通ユーザーが、ローカル・ユーザーがプラガブル・データベース(PDB)の共通オブジェクトでOracle Database Vaultコントロールを作成するのを妨げることがあります。

共通ユーザーを共通操作からブロックすると、アプリケーションまたはCDBデータベースの管理に必要なSQLコマンドの実行を妨げる可能性があります。この状況を回避するには、ルートでDV_OWNERロールを持つユーザーがDBMS_MACADM.ALLOW_COMMON_OPERATIONプロシージャを実行して、ローカルのPDBユーザーが共通ユーザーのオブジェクト(データベースまたはアプリケーション)でDatabase Vaultコントロールを作成できるかどうかを制御できます。

以前のリリースのマルチテナント環境では、ローカルのOracle Database Vaultユーザーは、アプリケーションまたは共通操作をブロックする可能性があるDatabase Vaultポリシーを作成できました。共通ユーザーを共通操作からブロックすると、アプリケーションまたはCDBデータベースの管理に必要なSQLコマンドの実行を妨げる可能性があります。この状況を回避するには、ルートでDV_OWNERロールを持つユーザーがDBMS_MACADM.ALLOW_COMMON_OPERATIONプロシージャを実行して、ローカルのPDBユーザーが共通ユーザーのオブジェクト(データベースまたはアプリケーション)でDatabase Vaultコントロールを作成できるかどうかを制御できます。

• 演習: ローカル・ユーザーによる共通操作のブロックの防止 - レルム
  この演習では、共通ユーザーがPDB内の自分のスキーマのローカル・データにアクセスするのを妨げるOracle Database Vaultコントロールを、ローカル・ユーザーが共通ユーザー・オブジェクトに作成できないようにする方法を示します。PDBのローカルDatabase Vault所有者は、DVSYSやCTXSYSなどの共通Oracleスキーマの周囲にレルムを作成し、正しく機能しないようにできます。この演習の目的として、この機能を示すためにC##TEST1カスタム・スキーマがCDBルートに作成されます。
• 演習: ローカル・ユーザーによる共通操作のブロックの防止 - コマンド・ルール
  この演習では、共通ユーザーが自分のオブジェクトに対してコマンドを実行したりそのオブジェクトが存在するPDBにログインすることさえ妨げるOracle Database Vaultコントロールを、ローカル・ユーザーが共通ユーザーに対して作成できないようにする方法を示します。