2 前提条件

この章は、Oracle Data Masking and Subsettingをインストールして使用する前に、考慮する必要のある前提条件およびその他の重要事項を準備するのに役立ちます。

ノート:

Oracle Data Masking and Subsetting Packの機能を使用するには、ライセンスが必要です。ライセンス情報の詳細は、Oracle Databaseライセンス・ガイドを参照してください。

Oracle Data Masking and Subsettingのアクセス権

Oracle Enterprise ManagerでOracle Data Masking and Subsettingを使用するには、ユーザーに特定の権限が必要です:

ユーザー権限

権限 説明
アプリケーション・データ・モデル(DB_ADM_ADMIN) アプリケーション・データ・モデル機能を管理および使用する場合。
データ・マスキング定義(DB_MASK_ADMIN) データ・マスキング機能を管理および使用する場合。
データ・サブセット定義(DB_SUBSET_ADMIN) データ・サブセッティング機能を管理および使用する場合。

デフォルト・アクセス: デフォルトでは、すべてのEnterprise Manager管理者は、PUBLICロールの一部であるTDM_ACCESS権限があるため、「アプリケーション・データ・モデル」、機密タイプ、「データ・サブセット定義」、「データ・マスキング定義」、「データ・マスキングのフォーマット」などのOracle Data Managementおよび「サブセッティング」ページにアクセスできます。スーパー管理者は、この権限を取り消してアクセスを制限し、Cloud Controlコンソールからこれらの項目を削除できます。

ノート:

ユーザー・インタフェースからDMS操作を実行するために必要な最小限の権限の付与または取消しに必要な権限スクリプトにアクセスできます。MOSノート3080339.1を参照してダウンロードすることもできます。

権限アクセス・モデル

Enterprise Managerを使用すると、スーパー管理者は、オペレータ権限またはデザイナ権限を付与することによって、テスト・データ管理(TDM)オブジェクト・アクセスを認可されたユーザーのみに制限できます。

オペレータ権限

権限 表示 編集 削除 その他の権限
ADMオペレータ -
データ・サブセット定義オペレータ データ・サブセットの作成とファイルのエクスポート、データベースの作成、およびサブセット・スクリプトの保存を実行できます。
データ・マスキング定義オペレータ データ・マスキング・スクリプトの生成、ジョブのスケジュール、および定義のエクスポートを実行できます。

デザイナ権限を持つユーザーは、テスト・データ管理(TDM)オブジェクトを管理、拡張および変更でき、他のユーザーへの権限の付与または取消しを行うことができます。

デザイナ権限サマリー

権限 表示 編集 削除 その他の権限
ADMデザイナ/データ・サブセット定義デザイナ/データ・マスキング定義デザイナ 他のユーザーへの権限の付与/取消し

アクセス制御の手順

アプリケーション・データ・モデル、データ・マスキング定義およびデータ・サブセッティング定義に対する権限を割り当てるには、次の手順に従います:

追加情報:

データベース・ユーザーが、Database Vaultが有効になっていない通常のデータベースでデータ・マスキング操作を実行するには、次の権限が必要です:

EM権限

  • その他のリソース権限:
    • ジョブ・システム —> 作成(CREATE_JOB)
    • 名前付き資格証明 —> 名前付き資格証明の新規作成(CREATE_CREDENTIAL)

      その他のリソース権限

      リソース・タイプ 権限 説明
      アプリケーション・データ・モデル EMでのアプリケーション・データ・モデルの使用 EMでアプリケーション・データ・モデルを使用する機能
      データ・マスキング定義 EMでのデータ・マスキング定義の使用 EMでデータ・マスキング定義を使用する機能
      データ・サブセット定義 EMでのデータ・サブセット定義の使用 EMでデータ・サブセット定義を使用できます
      ジョブ・システム 作成 ジョブの発行、ライブラリ・ジョブの作成、デプロイメント・プロシージャ・インスタンスの作成およびデプロイメント・プロシージャ構成の作成を行う機能
      名前付き資格証明 名前付き資格証明の新規作成 新規名前付き資格証明を作成する機能
  • ターゲット権限:
    • 任意の場所でのコマンドの実行(PERFORM_OPERATION_ANYWHERE)
    • 「任意のターゲットの表示」および「表示可能な任意のターゲットに接続」(VIEW_ANY_TARGETおよびCONNECT_ANY_VIEW_TARGET)、または「ターゲット・インスタンス」権限の下の「接続」権限を特定のインスタンスに付与

    ターゲット権限

    権限名 ターゲット・タイプ 説明
    任意の場所でのコマンドの実行 ホスト 任意のエージェントでOSコマンドを実行します
    任意のターゲットの表示 すべて Enterprise Managerの管理対象ターゲットをすべて表示できます
    表示可能な任意のターゲットに接続 すべて 表示可能な任意のターゲットを接続および管理する機能

DB権限およびロール

  • CREATE SESSION
  • SELECT_CATALOG_ROLE
  • CREATE TABLE
  • CREATE PROCEDURE
  • CREATE SEQUENCE
  • CREATE TYPE
  • CREATE TABLESPACE
  • CREATE ANY DIRECTORY
  • DROP ANY DIRECTORY
  • UNLIMITED TABLESPACE
  • DATAPUMP_EXP_FULL_DATABASE
  • DATAPUMP_IMP_FULL_DATABASE
  • EXECUTE ANY PROCEDURE
  • ALTER SESSION
  • EXECUTE ON SYS.DBMS_CRYPTO
  • EXECUTE ON SYS.DBMS_RANDOM
  • EXECUTE ON SYS.UTL_RECOMP
  • ANALYZE ANY
  • ADMINISTER SQL TUNING SET
  • EXECUTE ON SYS.DBMS_AQADM
  • ALTER ANY INDEX
  • ALTER SYSTEM
  • SELECT ANY TABLE
  • CONNECT
  • DBA
  • RESOURCE
  • CREATE VIEW
  • CREATE SYNONYM
  • CREATE DATABASE LINK
  • SELECT ANY DICTIONARY
  • EXECUTE ANY TYPE

ノート:

EBSおよびFAアプリケーション・スイートには、GRANT ANY OBJECT PRIVILEGE WITH GRANT OPTION権限も必要です。

マスキングを実行するデータベース・ユーザーに、マスキング対象のオブジェクトを作成、削除、変更、選択、挿入およびコンパイルするオブジェクト/システム権限があることを確認します(オブジェクトが別のスキーマによって所有されている場合)。

Database Vault対応環境でデータ・マスキング操作を実行する基本セット権限については、次のOracleドキュメントのURLを参照してください: 『Oracle Database Vault管理者ガイド』

アプリケーション・データ・モデル(ADM):
  1. ADD_AUTH_TO_REALM: ADMパッケージをデプロイする権限をユーザーに付与します。

    : この権限をSCOTTユーザーに付与する場合は、dv_ownerロールを持つユーザーとしてログインし、次のSQLコマンドを実行します:

    SQL>exec dbms_macadm.add_auth_to_realm('Oracle Enterprise Manager','SCOTT', NULL, dbms_macutl.g_realm_auth_owner);

インプレース: マスキングおよびサブセッティング:

  1. ユーザーがファイルの読取りおよび書込みを行うことができるように、UTL_FILEEXECUTEを付与します。
  2. object:を保護するレルムで<user>を認可します(オブジェクト所有者がマスキング/サブセッティングを実行している場合でも必要)

    : SQL>exec dbms_macadm.add_auth_to_realm('<Realm Name>','<user>', NULL, dbms_macutl.g_realm_auth_owner);

エクスポート: マスキングおよびサブセッティング:

  1. UTL_FILEに対するExecuteを<user>に付与します。
  2. レルム認可:
    1. オブジェクト所有者:

      TEST.EMPLOYEEでマスキングまたはサブセッティングのエクスポートを実行し、ジョブをTESTとして実行する場合は、TEST.EMPLOYEEを保護するレルムでTESTを認可する必要はありません。認可を付与しない場合、TESTは所有している表をエクスポートできます。

    2. 管理者ユーザー:

      i) TEST.EMPLOYEEを保護するレルムで管理ユーザーに認可を付与します。

      ii) TESTスキーマにある表のエクスポートを管理ユーザーに許可します:

      : SQL>exec dbms_macadm.authorize_datapump_user('<Admin User>','TEST');

ストレージ要件

データ・モデル、マスキングおよびサブセッティング定義などのOracle Data Masking and Subsettingオブジェクトが使用する記憶領域はごく少量ですが、一定期間にわたって保存されるデータの量に応じて、Oracle Enterprise Managerのリポジトリ・データベースへの追加の記憶領域の割当てが必要になる場合があります。

この項では、マスキングおよびサブセッティングのための記憶域の推奨事項を詳しく説明します。

  • データベース内マスキング:
    • ユーザー表領域内に3Xの追加領域 (Xはサイズが最大の表)
    • 一時表領域内に2Xの追加領域。
  • エクスポート内マスキング:
    • ユーザー表領域内に2Xの追加領域(Xはサイズが最大の表)
    • 一時表領域内に2Xの追加領域
    • 生成されたエクスポート・ダンプ・ファイルを格納するための十分なディスク領域。
  • エクスポート内サブセッティング:
    • ユーザー表領域内にXの追加領域(Xはサイズが最大の表)
    • 生成されたダンプ・ファイルを格納するための十分な領域。
  • データベース内サブセッティング:
    • ユーザー表領域内に2Xの追加領域(Xはサイズが最大の表)
    • 一時表領域内に2Xの追加領域。

ノート:

統合されたマスキングおよびサブセッティングの推奨記憶域要件は、前述のマスキングおよびサブセッティングの記憶域要件の合計です。