CREATE LOCKDOWN PROFILE
目的
CREATE
LOCKDOWN
PROFILE
文を使用すると、PDBロックダウン・プロファイルを作成できます。マルチテナント・コンテナ・データベース(CDB)でPDBロックダウン・プロファイルを使用して、PDBのユーザー操作を制限できます。
PDBロックダウン・プロファイルの作成後、ALTER
LOCKDOWN
PROFILE
文でプロファイルに制限事項を追加できます。特定のデータベースの機能、オプションおよびSQL文に関連付けられるユーザー操作を制限できます。
ロックダウン・プロファイルがPDBに割り当てられている場合、該当のPDBで、ユーザーがプロファイルに対して無効化されている操作を実行することはできません。ロックダウン・プロファイルを割り当てるには、PDB_LOCKDOWN
初期化パラメータの値にその名前を設定します。ロックダウン・プロファイルは、次のように、個別のPDBまたはCDBやアプリケーション・コンテナ内のすべてのPDBに割り当てることができます。
-
CDBルートへの接続中に
PDB_LOCKDOWN
を設定すると、ロックダウン・プロファイルは、CDB内のすべてのPDBに適用されます。CDBルートには適用されません。 -
アプリケーション・ルートへの接続中に
PDB_LOCKDOWN
を設定すると、ロックダウン・プロファイルは、アプリケーション・ルートおよびアプリケーション・コンテナ内のすべてのPDBに適用されます。 -
特定のPDBへの接続中に
PDB_LOCKDOWN
を設定すると、ロックダウン・プロファイルはそのPDBに適用され、CDBまたはアプリケーション・コンテナ用のロックダウン・プロファイル(存在する場合)を上書きします。
関連項目:
-
「ALTER LOCKDOWN PROFILE」および「DROP LOCKDOWN PROFILE」を参照してください。
-
PDBロックダウン・プロファイルの詳細は、『Oracle Databaseセキュリティ・ガイド』を参照してください。
前提条件
-
CREATE
LOCKDOWN
PROFILE
文は、CDBまたはアプリケーション・ルートから発行する必要があります。 -
この文が発行されるコンテナの
CREATE
LOCKDOWN
PROFILE
システム権限を持っている必要があります。 -
PDBロックダウン・プロファイルの名前は、この文が発行されるコンテナ内で一意である必要があります。
構文
create_lockdown_profile::=
static_base_profile ::=
dynamic_base_profile ::=
セマンティクス
profile_name
指定した名前で新しいPDBロックダウン・プロファイルを作成できます。名前は、「データベース・オブジェクトのネーミング規則」に指定されている要件を満たしている必要があります。ロックダウン・プロファイルは、静的または動的なベース・プロファイルから取得できます。
static_base_profile
ベース・プロファイルを使用して新しいロックダウン・プロファイルを作成するには、このオプションを使用します。プロファイルの作成時に有効なベース・プロファイルのルールは、新しいロックダウン・プロファイルにコピーされます。ロックダウン・プロファイルの作成後にベース・プロファイルに対して行われた変更は、ロックダウン・プロファイルには適用されません。
dynamic_base_profile
ベース・プロファイルに対する変更に伴って変更される新しいロックダウン・プロファイルを作成するには、このオプションを使用します。新しいロックダウン・プロファイルは、ベース・プロファイルのDISABLE
ルールと、それ以降にベース・プロファイルに対して行われる変更を継承します。ベース・プロファイルのルールがロックダウン・プロファイルに明示的に追加されるルールと競合する場合は、ベース・プロファイルのルールが優先されます。たとえば、ベース・プロファイルのOPTION_VALUE
句は、動的なベース・プロファイルのOPTION_VALUE
句よりも優先されます。
例
次の文は、動的ベース・プロファイルPRIVATE_DBAAS
を使用してPDBロックダウン・プロファイルhr_prof
を作成します。
CREATE LOCKDOWN PROFILE hr_prof INCLUDING PRIVATE_DBAAS;