3.13 Oracle Data Redactionポリシーからのユーザーの除外

アクセスしたデータにOracle Data Redactionポリシーを適用しないように、ユーザーを除外することができます。

そのためには、そのユーザーにEXEMPT REDACTION POLICYシステムまたはスキーマ権限を付与する必要があります。この権限は信頼できるユーザーにのみ付与してください。

また、この権限を付与されているユーザーに加え、ユーザーSYSも、すべてのデータ・リダクション・ポリシーから除外されます。データ・リダクション・ポリシーを作成するユーザーは、そのユーザーがユーザーSYSであるか、またはEXEMPT REDACTION POLICYシステムまたはスキーマ権限が付与されている場合を除き、デフォルトでは、データ・リダクション・ポリシーから除外されません。

次のことに注意してください:

• EXEMPT REDACTION POLICYシステムまたはスキーマ権限は、スキーマのユーザーまたはロールに付与されると、権限受領者が既存のOracle Data Redactionポリシーをバイパスできます。このユーザーは、スキーマでデータ・リダクション・ポリシーが定義されている表またはビューから実際のデータを表示できます。

• 表に対するINSERT権限があるユーザーは、データ・リダクション・ポリシーがテーブルに存在するかどうかにかかわらず、リダクションされた列に値を挿入できます。データ・リダクションは、ユーザーが発行したSQL SELECT文(つまり、問合せ)のみに影響し、ユーザーが発行するその他のSQL (INSERT、UPDATE、MERGEまたはDELETE文など)には影響しません。(この例の例外は、次の箇条書きを参照してください。)

• ユーザーは、選択されている列(ソース列)のいずれかがデータ・リダクション・ポリシーで保護されている場合、CREATE TABLE AS SELECTを実行できません。同様にソース列がリダクションされた列であるINSERT-SELECT、UPDATE、MERGE、DELETEの各文などのいずれかのDML操作も実行できません。これは、ユーザーに、EXEMPT REDACTION POLICYシステムまたはスキーマ権限が付与されていないことを条件とします。

• DBAロールにはEXEMPT REDACTION POLICYシステム権限を付与されるEXP_FULL_DATABASEロールが含まれているため、EXEMPT REDACTION POLICYシステム権限はDBAロールに含まれています。この権限は、リダクション・ポリシーが1つ以上定義されているデータのエクスポートを可能にするために、EXP_FULL_DATABASEロールに付与されます。それ以外の場合は、この権限をユーザーに明示的に付与する必要があります。