9 権限の管理
権限の管理について学習します。
9.1 権限データの管理および表示
Oracle Audit Vault and Database Firewallでは、デフォルトの権限レポートが提供されており、Oracle Databaseターゲットから権限データを取得できます。
また、特定の時点の権限データのスナップショットを作成できます。ラベルを指定してグループ分けしておくと、レポート内で比較することができます。
レポートをフィルタ処理して、以前のスナップショット(ラベル)のデータを表示したり、2つのスナップショット(2つのラベル)の権限データを比較したりすることができます。たとえば、2つのスナップショットまたはラベルの間でユーザー権限がどのよに変更されたかを確認できます。
ノート:
Oracle Database 12cターゲットでは、マルチテナント・コンテナ・データベース(CDB)を使用しない場合、以前のバージョンのOracle Databaseの場合と同じように権限データが表示されます。CDBを使用している場合、各プラガブル・データベース(PDB)またはCDBは個別のターゲットとしてAudit Vault Serverで構成され、権限データはそれに応じてスナップショットおよびレポートに表示されます。
権限データを管理および表示する通常のステップは次のとおりです。
-
ターゲットから権限データを取得し、その時点のデータのスナップショットを作成します。
-
必要に応じて、スナップショットをわかりやすくグループ分けするためのラベルを作成し、ラベルをスナップショットに割り当てます。
-
権限レポートを表示します。スナップショットとラベルを使用して、データをフィルタ処理および比較します。
9.2 権限スナップショットおよびラベルの使用
権限スナップショットおよびラベルの使用について学習します。
9.2.1 権限スナップショットおよびラベルについて
権限スナップショットは、特定の時点のユーザー権限情報の状態を取得します。
Oracle Databaseターゲットから権限データを取得すると、そのデータのスナップショットが作成され、「ターゲット」タブの「ユーザー権限スナップショット」ページのリストに追加されます。
スナップショットには、ユーザーのメタデータと、ユーザーがそのOracle Databaseに対して持っているロール(システムおよび他のSQL権限、オブジェクト権限、ロール権限およびユーザー・プロファイル)のメタデータが含まれます。表示および管理できるのは、アクセス権があるターゲットのスナップショットのみです。
各スナップショットはターゲットに対して一意です。スナップショットの名前は、権限データが取得されたときに割り当てられたタイム・スタンプです(たとえば、9/22/2009 07:56:17 AM
)。この時刻にすべてのターゲットの権限データを取得した場合、各ターゲットに対してそれぞれの9/22/2012 07:56:17 AM
スナップショットが生成されます。
ラベルを使用して、スナップショットをわかりやすく分類することができ、スナップショットのグループをまとめて表示したり比較したりできます。たとえば、ターゲットpayroll
、sales
およびhr
それぞれに9/22/2012 07:56:17 AM
というスナップショットがあるとします。ラベルを作成して、これら3つのスナップショットをそのラベルに割り当てることができます。こうすると、3つのターゲットのその時点の権限データを同じレポートで一緒に比較できます。
ノート:
すべてのユーザー権限スナップショットは、データ取得から18か月後にパージされます。9.2.3 権限スナップショットへのラベルの割当て
スナップショットにラベルを割り当てる前に、まずOracle Databaseターゲットから権限データを取得する必要があります。
-
Audit Vault Serverコンソールに監査者としてログインします。
-
「ターゲット」タブをクリックします。
-
左側のナビゲーション・メニューで「ユーザー権限スナップショット」サブタブをクリックします。
-
ユーザー権限データのスナップショットのリストが、データが収集されたときのタイムスタンプとスナップショットに割り当てられたラベルとともに表示されます。
-
スナップショットにラベルを割り当てるには:
-
スナップショットを選択し、ターゲットのチェック・ボックスを選択して、「ラベルの割当て」をクリックします。
-
リストからラベルを選択します。
-
必要に応じて説明も入力します。
-
「保存」をクリックします。
-
-
スナップショットを削除するには、スナップショットを選択して、「削除」をクリックします。
9.3 権限レポートの生成
権限レポートについて学習します。
9.3.1 スナップショットおよびラベルを使用した権限レポートの表示について
スナップショットおよびラベルを使用すると、レポートの権限データをフィルタ処理して比較できます。
スナップショットが作成されてから、必要に応じてラベルを作成して割り当てると、権限レポートを確認するための準備が整います。
権限レポートのタイプによって、スナップショットごとの権限データまたはラベルごとの権限データを表示できます。ターゲット別にデータを表示するレポート(「ターゲット別のユーザー・アカウント」など)では、特定のターゲットのスナップショットを表示して比較できます。他の権限レポート(「ユーザー・アカウント」など)では、すべてのターゲットの権限データをラベル別に表示して比較できます。
9.4 権限レポートの説明
権限レポートについて学習します。
9.4.1 権限レポートについて
権限レポートには、ユーザーが所有しているOracle Databaseターゲットへのアクセス権のタイプが示されます。
これにより、ターゲットで使用されるユーザー、ロール、プロファイルおよび権限に関する情報が提供されます。
たとえば、権限レポートは、重要なデータのアクセス権限や特定のユーザーに割り当てられた権限などの情報を取得します。これらのレポートは、データへの不必要なアクセスの追跡、重複した権限の検出、および権限付与の簡易化に役立ちます。
デフォルト権限レポートを生成してから、ユーザー、ロール、プロファイルおよび権限情報を示すメタデータのスナップショットを表示できます。これによって、異なるスナップショット・ラベルを比較して、権限が時間とともにどのように変化したかを確認するといったタスクを実行できます。
関連項目:
-
権限レポート・データの生成と表示の詳細は、「権限レポートの生成」を参照してください。
-
権限レポートからユーザー定義レポートを作成する方法の詳細は、「レポートのカスタマイズ」を参照してください。
9.4.2 ロール権限
「ロール権限」レポートには、アプリケーション・ロールおよび権限に関する情報が表示されます。
このレポートを使用して、アプリケーション・ロールおよび権限の名前を追跡します。ロールがセキュア・アプリケーション・ロールである場合、レポートの列は同じことを示します。
9.4.3 オブジェクト権限
「オブジェクト権限」レポートには、オブジェクト権限およびユーザーへのそれらの付与が表示されます。
これらのレポートを使用して、オブジェクト権限およびユーザーへのそれらの付与に関する次の情報を追跡します。オブジェクト権限が作成されたターゲット、オブジェクト権限を付与されたユーザー、スキーマ所有者、ターゲット名(表、パッケージ、プロシージャ、ファンクション、順序および他のオブジェクトのリスト)、列名(つまり、列レベルの権限)、権限(SELECT
など、オブジェクト権限またはシステム権限)、オブジェクトに許可されたアクセス・タイプ(直接アクセスまたはロールを介した場合はロール名)、オブジェクト権限を付与できるかどうか、および誰が権限を付与したかです。
Oracle Database 12cに関連する列
Oracle 12cターゲットに関連する次の追加の列を選択できます。
-
階層: 権限に階層オプションがあります。
-
タイプ: オブジェクト・タイプ(表、ビュー、順序など)
-
共通: このユーザーがPDBおよびCDBに共通かどうか。Yは共通ユーザー、NはユーザーがPDBに対してローカルであること、nullはデータベースがPDBでもCDBでもないことを示します。
-
コンテナ: コンテナ名。データベースがPDBでもCDBでもない場合、これはnullになります。
9.4.4 特権ユーザー
「特権ユーザー」レポートには、特権ユーザーに関する情報が表示されます。
これらのレポートを使用して、特権ユーザーに関する次の情報を追跡します。特権ユーザー・アカウントが作成されたターゲット、ユーザー名、ユーザーに付与された権限、アクセス・タイプ(直接アクセスまたはロールを介した場合はロール名)、および特権ユーザーにADMIN
オプションが付与されたかどうかです。
12cより前のバージョンのOracle Databaseでは、特権ユーザーはこれらのロールで識別されます。
DBA
SYSDBA
SYSOPER
Oracle Databaseバージョン12cの場合は、次のロール以外に、前述の2つのロールが権限ユーザーを識別します。
SYSASM
SYSBACKUP
SYSDG
SYSKM
Oracle Database 12cに関連する列
Oracle 12cターゲットに関連する次の追加の列を選択できます。
-
共通: このユーザーがPDBおよびCDBに共通かどうか。Yは共通ユーザー、NはユーザーがPDBに対してローカルであること、nullはデータベースがPDBでもCDBでもないことを示します。
-
コンテナ: コンテナ名。データベースがPDBでもCDBでもない場合、これはnullになります。
9.4.5 システム権限
「システム権限」レポートには、システム権限およびユーザーへのそれらの付与が表示されます。
これらのレポートを使用して、システム権限に関する次の情報を追跡します。システム権限が作成されたターゲット、システム権限を付与されたユーザー、権限名、アクセス・タイプ(直接アクセスまたはロールを介した場合はロール名)、およびADMIN
オプションで付与されたかどうかです。
Oracle Database 12cに関連する列
Oracle 12cターゲットに関連する次の追加の列を選択できます。
-
共通: このユーザーがPDBおよびCDBに共通かどうか。Yは共通ユーザー、NはユーザーがPDBに対してローカルであること、nullはデータベースがPDBでもCDBでもないことを示します。
-
コンテナ: コンテナ名。データベースがPDBでもCDBでもない場合、これはnullになります。
9.4.6 「ユーザー・アカウント」レポート
「ユーザー・アカウント」レポートには、ユーザー・アカウントのサマリーが表示されます。
これらのレポートを使用して、ユーザー・アカウントに関する次の情報を追跡します。ユーザー・アカウントが作成されたターゲット、ユーザー・アカウント名、アカウント・ステータス(LOCKED
またはUNLOCKED
)、パスワードの期限、初期ロック状態(アカウントがロックされる日付)、デフォルト表領域、一時表領域、初期リソース・コンシューマ・グループ、ユーザー・アカウントの作成日時、関連プロファイルおよび外部名(使用されている場合はOracle Enterprise User DN名)です。
Oracle Database 12cに関連する列
Oracle Database 12cターゲットに関連する次の追加の列を選択できます。
-
エディション有効: このユーザーのエディションが有効かどうか。
-
認証タイプ: このユーザーの認証メカニズム。
-
プロキシのみ接続: このユーザーがプロキシを介してのみ接続できるかどうか。
-
共通: このユーザーがPDBおよびCDBに共通かどうか。Yは共通ユーザー、NはユーザーがPDBに対してローカルであること、nullはデータベースがPDBでもCDBでもないことを示します。
-
最終ログイン時間: このユーザーの最終ログイン・タイムスタンプ。
-
Oracle管理: Oracle Databaseが提供するスクリプトによってユーザーが作成され、メンテナンスされているかどうか。Y値は、Oracle Databaseが提供するスクリプトを実行する以外の方法でこのユーザーを変更できないことを示します。
-
コンテナ: コンテナ名。データベースがPDBでもCDBでもない場合、これはnullになります。
9.4.7 ユーザー権限
「ユーザー権限」レポートには、ユーザー権限のサマリーが表示されます。
これらのレポートを使用して、ユーザー権限に関する次の情報を追跡します。権限が作成されたターゲット、ユーザー名、権限、スキーマ所有者、表名、列名、アクセス・タイプ(直接アクセスまたはロールを介した場合はロール名)、ユーザー権限がADMIN
オプションで作成されたかどうか、ユーザーが権限を他のユーザーに付与できるかどうか、および誰から権限を付与されたかです。
Oracle Database 12cに関連する列
Oracle 12cターゲットに関連する次の追加の列を選択できます。
-
階層: 権限に階層オプションがあります。
-
タイプ: オブジェクト・タイプ(表、ビュー、順序など)
-
共通: このユーザーがPDBおよびCDBに共通かどうか。Yは共通ユーザー、NはユーザーがPDBに対してローカルであること、nullはデータベースがPDBでもCDBでもないことを示します。
-
コンテナ: コンテナ名。データベースがPDBでもCDBでもない場合、これはnullになります。
9.4.8 ユーザー・プロファイル
「ユーザー・プロファイル」レポートには、ユーザー・プロファイルのサマリーが表示されます。
これらのレポートを使用して、ユーザー・プロファイルに関する次の情報を追跡します。ユーザー・プロファイルが作成されたターゲット、プロファイル名、リソース名、リソース・タイプ(KERNEL
、PASSWORD
またはINVALID
)およびプロファイル制限です。
Oracle Database 12cに関連する列
Oracle 12cターゲットに関連する次の追加の列を選択できます。
-
共通: このユーザーがPDBおよびCDBに共通かどうか。Yは共通ユーザー、NはユーザーがPDBに対してローカルであること、nullはデータベースがPDBでもCDBでもないことを示します。
-
コンテナ: コンテナ名。データベースがPDBでもCDBでもない場合、これはnullになります。