2.5.3 ストレージ・アクセスの制御
Oracle Exadata System Softwareは、オープン・セキュリティ、Oracle ASMを有効範囲にしたセキュリティ、およびデータベースを有効範囲にしたセキュリティのアクセス制御モードをサポートしています。
-
オープン・セキュリティでは、データベースがどのグリッド・ディスクにもアクセスできます。
-
Oracle ASMを有効範囲にしたセキュリティでは、1つ以上のOracle ASMクラスタに割り当てられた複数のデータベースで特定のグリッド・ディスクを共有できます。
Oracle ASMは、そのアクセス制御モード全体に加えて、ディスク・グループおよびファイル・レベルでのアクセス制御をサポートし、認可されたユーザーのみがディスクに格納されたコンテンツにアクセスできるようにします。
ノート:
-
/etc/oracle/cell/network-config/cellkey.oraファイルは、Oracle Grid Infrastructureの特定の一意のグループ(asmadminなど)に所属するソフトウェア・インストールの所有者のみが読み取れるようにする必要があります。 -
Oracle Grid Infrastructureホーム内の
kfodユーティリティを使用してトラブルシューティングを行うか、クラスタでアクセス可能なディスクを確認します。
-
-
データベースを有効範囲にしたセキュリティは、粒度が最も細かいレベルのアクセス制御であり、特定のデータベースのみが特定のグリッド・ディスクにアクセスできます。
データベースを有効範囲にしたセキュリティは、コンテナ・レベルで機能します。これは、グリッド・ディスクをコンテナ・データベース(CDB)または非CDBの
DB_UNIQUE_NAMEで使用可能にする必要があることを意味します。そのため、プラガブル・データベース(PDB)単位でデータベースを有効範囲にしたセキュリティを設定することはできません。ノート:
データベースを有効範囲にしたセキュリティの設定は、Oracle ASMを有効範囲にしたセキュリティを構成およびテストしてから行ってください。
デフォルトでは、ストレージ・サーバーでSSHが有効化されています。必要に応じて、SSHアクセスをブロックするためにストレージ・サーバーをロックできます。その場合でも、計算ノード上で実行されている、HTTPSおよびREST APIの使用によりセル上で実行されているWebサービスと通信するexacliを使用して、ストレージ・サーバーでの操作は実行できます。これは、CellCLIでユーザーおよびロールを作成してからremoteLoginを無効にすることで、高いレベルで実現されます。