CREATE LOCKDOWN PROFILE
目的
CREATE LOCKDOWN PROFILE文を使用すると、PDBロックダウン・プロファイルを作成できます。マルチテナント・コンテナ・データベース(CDB)でPDBロックダウン・プロファイルを使用して、PDBのユーザー操作を制限できます。
PDBロックダウン・プロファイルの作成後、ALTER LOCKDOWN PROFILE文でプロファイルに制限事項を追加できます。特定のデータベースの機能、オプションおよびSQL文に関連付けられるユーザー操作を制限できます。
ロックダウン・プロファイルがPDBに割り当てられている場合、該当のPDBで、ユーザーがプロファイルに対して無効化されている操作を実行することはできません。ロックダウン・プロファイルを割り当てるには、PDB_LOCKDOWN初期化パラメータの値にその名前を設定します。ロックダウン・プロファイルは、次のように、個別のPDBまたはCDBやアプリケーション・コンテナ内のすべてのPDBに割り当てることができます。
-
CDBルートへの接続中に
PDB_LOCKDOWNを設定すると、ロックダウン・プロファイルは、CDB内のすべてのPDBに適用されます。CDBルートには適用されません。 -
アプリケーション・ルートへの接続中に
PDB_LOCKDOWNを設定すると、ロックダウン・プロファイルは、アプリケーション・ルートおよびアプリケーション・コンテナ内のすべてのPDBに適用されます。 -
特定のPDBへの接続中に
PDB_LOCKDOWNを設定すると、ロックダウン・プロファイルはそのPDBに適用され、CDBまたはアプリケーション・コンテナ用のロックダウン・プロファイル(存在する場合)を上書きします。
関連項目:
-
「ALTER LOCKDOWN PROFILE」および「DROP LOCKDOWN PROFILE」を参照してください。
-
PDBロックダウン・プロファイルの詳細は、『Oracle Databaseセキュリティ・ガイド』を参照してください。
前提条件
-
CREATELOCKDOWNPROFILE文は、CDBまたはアプリケーション・ルートから発行する必要があります。 -
この文が発行されるコンテナの
CREATELOCKDOWNPROFILEシステム権限を持っている必要があります。 -
PDBロックダウン・プロファイルの名前は、この文が発行されるコンテナ内で一意である必要があります。
構文
create_lockdown_profile::=
static_base_profile ::=
dynamic_base_profile ::=
セマンティクス
profile_name
指定した名前で新しいPDBロックダウン・プロファイルを作成できます。名前は、「データベース・オブジェクトのネーミング規則」に指定されている要件を満たしている必要があります。ロックダウン・プロファイルは、静的または動的なベース・プロファイルから取得できます。
static_base_profile
ベース・プロファイルを使用して新しいロックダウン・プロファイルを作成するには、このオプションを使用します。プロファイルの作成時に有効なベース・プロファイルのルールは、新しいロックダウン・プロファイルにコピーされます。ロックダウン・プロファイルの作成後にベース・プロファイルに対して行われた変更は、ロックダウン・プロファイルには適用されません。
dynamic_base_profile
ベース・プロファイルに対する変更に伴って変更される新しいロックダウン・プロファイルを作成するには、このオプションを使用します。新しいロックダウン・プロファイルは、ベース・プロファイルのDISABLEルールと、それ以降にベース・プロファイルに対して行われる変更を継承します。ベース・プロファイルのルールがロックダウン・プロファイルに明示的に追加されるルールと競合する場合は、ベース・プロファイルのルールが優先されます。たとえば、ベース・プロファイルのOPTION_VALUE句は、動的なベース・プロファイルのOPTION_VALUE句よりも優先されます。
例
次の文は、動的ベース・プロファイルPRIVATE_DBAASを使用してPDBロックダウン・プロファイルhr_profを作成します。
CREATE LOCKDOWN PROFILE hr_prof INCLUDING PRIVATE_DBAAS;