柔軟なデータベース・アクセス制御

Enterprise Managerは、Enterprise Managerデータベース・プラグインに対する柔軟なデータベース・アクセス制御を提供します。即時利用可能な新しいロールがデータベース・ペルソナと連携し、管理対象ターゲット・データベースに対するアクセス制御が厳格になっています。この機能が導入される前は、データベースへのアクセス権を付与されたEnterprise Managerユーザーが、すべてのデータベース管理機能(パフォーマンス管理、高可用性管理、ストレージ管理、セキュリティ管理など)へのアクセス権を持っていました。企業には、DBA、アプリケーション開発者、アプリケーションDBA、インフラストラクチャDBAなど、データベース管理機能にアクセスする必要がある様々なクラスのユーザーが存在します。これらのロールに対応するフレキシブルな権限モデルが必要です。たとえば、企業のアプリケーション開発者は表示専用モードでのみパフォーマンス管理機能にアクセスできるようにします。

エンタープライズ・ユーザーに不要な機能およびページへのアクセス権を付与すると、データベースがセキュリティの脆弱性に晒されます。Enterprise Managerユーザーには、各自のジョブの実行に必要な最小限の権限を付与することをお薦めします。これらの即時利用可能なデータベース管理ロールの導入によって、ユーザーには各自のジョブの実行に必要なEnterprise Managerページのみへのアクセス権が付与されます。

Enterprise Managerデータベース・プラグインに対するファイングレイン権限制御によって、データベース・ページの権限制御モデルが提供されます。これによって、Enterprise Managerスーパー管理者は、Enterprise Manager管理者およびユーザーに対して、より限定的な職責の完了に必要な最小アクセス権を付与することができます。

新しい柔軟なDBアクセス制御機能を使用して、データベース管理に高度なセキュリティを実装できます。この項には、次の項目が含まれます。

• データベース管理ロールおよび責任

• アプリケーションDBAアクセス

• アプリケーション開発者アクセス

• データベース・モニタリング・ユーザー・アクセス

• データベース管理者アクセス

• 権限グループ

データベース管理ロールおよび責任

Oracle Enterprise Managerでは、組織でのロールおよび責任に基づいて、DBAにさまざまなレベルのアクセス権を付与できます。組織にセキュリティ・ベスト・プラクティスを実装するために、次のロールが推奨されます。

• アプリケーションDBA

  アプリケーションDBAとは、データベースでアプリケーション・スキーマ、アプリケーション・オブジェクトおよびアプリケーション・パフォーマンスを管理する制限付きデータベース管理者です。アプリケーションDBAは、データベースでアプリケーションのパフォーマンスの問題を識別して解決できる必要があります。アプリケーションDBAは、適切なパフォーマンスでアプリケーションの稼動を継続させる責任があります。

• アプリケーション開発者

  アプリケーション開発者とは、アプリケーションを開発する人です。アプリケーション開発者は、顧客から要件を取得して、顧客の要件に応じてアプリケーションを開発します。アプリケーション開発者はOracle Enterprise Managerを使用して、本番環境で最適なパフォーマンスを得るためにアプリケーション・モジュールでSQLを調整します。アプリケーション開発者は、開発、テストおよび本番環境のアプリケーション・モジュールに対して責任を持ちます。

• モニタリング・ユーザー

  データベース・モニタリング・ユーザーは、本番環境でアプリケーションがスムーズに機能しているかどうか、データベースをモニタリングします。モニタリング・ユーザーは、Enterprise Manager環境で生成されたアラートに応答します。モニタリング・ユーザーは、データベースでメトリックのスケジュールを更新してブラックアウトを設定できます。モニタリング・ユーザーは、本番データベースに変更を加えることはできません。モニタリング・ユーザーはレポートされた問題に対応し、解決する責任のあるDBAに問題が割り当てられていることを確認することで、アプリケーションの稼動を保証します。

• データベース管理者

  データベース管理者は、インストールの構成、モニタリング、バックアップ、リカバリ、パフォーマンス調整など、完全なデータベース・ライフサイクル管理を実行します。