ALTER DATABASE DICTIONARY

目的

不明瞭化されたデータベース・リンクのパスワードを暗号化し、TDEフレームワークを使用して暗号化キーを管理します。

LOBロケータ(ラージ・オブジェクト(LOB)値の場所へのポインタ)に署名を割り当てて、LOBを保護できます。

前提条件

TDEキーストアが存在している必要があります。DDLは、最初にTDEについて次のことをチェックします。
- キーストアが存在している。
- キーストアがオープンしている。
- マスター暗号化キーがTDEキーストア内に存在している。
  
  いずれかのチェックが失敗した場合、DDLは失敗します。その場合は、TDEキーストアを作成し、TDEマスター・キーをプロビジョニングする必要があります。詳細は、Oracle Databaseセキュリティ・ガイドを参照してください。
インスタンス初期化パラメータCOMPATIBLEは12.2.0.2に設定する必要があります。
このコマンドを実行するにはSYSKM権限が必要です。

構文

alter_database_dictionary::=

図alter_database_dictionary.epsの説明

セマンティクス

alter_database_dictionary_encrypt_credentials::=

このDDLは、データ・ディクショナリ内の既存および将来の不明瞭化された機密情報(たとえば、SYS.LINKS$に格納されているデータベース・リンク・パスワード)を暗号化します。

次のアクションを実行します。

SYS.LINK$に対応するENC$に新しいエントリを挿入します。
SGA変数を作成および初期化します。
SYS.LINK$内の不明瞭化されたパスワードを不明瞭化解除します。
SYS.LINK$のENC$で生成された暗号化キーを使用して、不明瞭化解除されたパスワードを暗号化します。
SYS.LINK$内の有効または使用可能なdblinkエントリを示すフラグを設定します。

LOBロケータ署名キーを使用してこのDDLを使用する場合、常に暗号化されます。LOBロケータ(ラージ・オブジェクト(LOB)値の場所へのポインタ)に署名を割り当てて、LOBを保護できます。

alter_database_dictionary_rekey_credentials::=

このDDLはデータ暗号化キーを変更するために使用します。これは、SYS.LINK$およびデータ・ディクショナリ暗号化フレームワークで扱われる他の表に適用されます。

このDDLを使用して、LOBロケータのLOBロケータ署名キーを再生成することもできます。データベースが制限モードの場合、Oracle Databaseは新しいLOB署名キーを再生成し、新しい暗号キーでそれを暗号化します。データベースが非制限モードの場合、新しい署名キーは再生成されず、Oracle Databaseは新しい暗号キーを使用して既存のLOB署名キーを暗号化します。

alter_database_dictionary_delete_credentials_key::=

このDDLは、暗号化されたパスワードにUnusableのマークを付けます。つまり、SYS.LINK$にある現行のパスワード・エントリにUnusableのマークが付けられます。資格証明の暗号化に使用されたENC$内のキーが削除され、それ以降の暗号化を防止するためにSGA変数がクリアされます。

このDDLを使用すると、暗号化されたロケータ署名キーを削除したうえで、不明瞭化した形で新しいLOB署名キーを再生成することもできます。