2.5.3 ストレージ・アクセスの制御
Oracle Exadata System Softwareは、オープン・セキュリティ、Oracle ASM-Scoped Security、およびdatabase-scoped securityのアクセス制御モードをサポートしています。
-
オープン・セキュリティでは、データベースがどのグリッド・ディスクにもアクセスできます。
-
Oracle ASM-Scoped Securityでは、1つ以上のOracle ASMクラスタに割り当てられた複数のデータベースで特定のグリッド・ディスクを共有できます。
Oracle ASMは、そのアクセス制御モード全体に加えて、ディスク・グループおよびファイル・レベルでのアクセス制御をサポートし、認可されたユーザーのみがディスクに格納されたコンテンツにアクセスできるようにします。
ノート:
-
/etc/oracle/cell/network-config/cellkey.oraファイルは、Oracle Grid Infrastructureの特定の一意のグループ(asmadminなど)に所属するソフトウェア・インストールの所有者のみが読み取れるようにする必要があります。 -
Oracle Grid Infrastructureホーム内の
kfodユーティリティを使用してトラブルシューティングを行うか、クラスタでアクセス可能なディスクを確認します。
-
-
database-scoped securityは、粒度が最も細かいレベルのアクセス制御であり、特定のデータベースのみが特定のグリッド・ディスクにアクセスできます。
database-scoped securityは、コンテナ・レベルで機能します。これは、グリッド・ディスクをコンテナ・データベース(CDB)または非CDBの
DB_UNIQUE_NAMEで使用可能にする必要があることを意味します。そのため、プラガブル・データベース(PDB)単位でdatabase-scoped securityを設定することはできません。ノート:
database-scoped securityの設定は、Oracle ASM-Scoped Securityを構成およびテストしてから行ってください。
デフォルトでは、ストレージ・サーバーでSSHが有効化されています。必要に応じて、SSHアクセスをブロックするためにストレージ・サーバーをロックできます。その場合でも、計算ノード上で実行されている、HTTPSおよびREST APIの使用によりセル上で実行されているWebサービスと通信するexacliを使用して、ストレージ・サーバーでの操作は実行できます。これは、CellCLIでユーザーおよびロールを作成してからremoteLoginを無効にすることで、高いレベルで実現されます。