機械翻訳について

Oracle Database VaultとAutonomous Databaseの使用

Oracle Database Vaultは、データベースに強力なセキュリティ制御を実装しています。 これらの独自のセキュリティ制御によって、権限のあるデータベース・ユーザーによるアプリケーション・データへのアクセスが制限され、内部や外部の脅威のリスクが減少し、一般的なコンプライアンス要件に対処できます。

詳細については、「Oracle Database Vaultとは」を参照してください。

• Oracle Database Autonomous DatabaseのVaultユーザーおよびロール
  Oracle Database Vaultは、アプリケーション・データを不正アクセスから保護し、プライバシおよび規制要件に準拠するために管理者とデータ所有者間の職務分離を実装するための強力なセキュリティ制御を提供します。
• Autonomous DatabaseでOracle Database Vaultの有効化
  Autonomous DatabaseでOracle Database Vaultを有効にするステップを示します。
• Autonomous DatabaseのOracle Database Vaultの無効化
  Autonomous DatabaseでOracle Database Vaultを無効にするステップを示します。
• Autonomous DatabaseでOracle Database Vaultを使用したユーザー管理の無効化
  Oracle Database Vaultが有効になっているAutonomous Databaseで、指定したコンポーネントに対するユーザー管理関連操作を禁止する方法を示します。
• Autonomous DatabaseでOracle Database Vaultを使用したユーザー管理の有効化
  Oracle Database Vaultが有効になっているAutonomous Database上の指定されたコンポーネントのユーザー管理を許可するステップを示します。

Autonomous DatabaseでのOracle Database Vaultユーザーおよびロール

Oracle Database Vaultは、アプリケーション・データを不正アクセスから保護し、プライバシおよび規制要件に準拠するために管理者とデータ所有者間の職務分離を実装するための強力なセキュリティ制御を提供します。

デフォルトでは、ADMINユーザーにはDV_OWNERロールとDV_ACCTMGRロールがあります。 DV_OWNERおよびDV_ACCTMGRアカウントに別々のユーザーを設定する場合。 詳細については、「Oracle Database Vaultのスキーマ、ロールおよびアカウント」を参照してください。

Oracle Database Vaultが有効になっている場合、ユーザー管理はデフォルトでAPEXコンポーネントに対して有効になっています。 ユーザー管理が有効な場合、CREATE | ALTER | DROPのユーザーに対して必要なロールを持つAPEXユーザーは、Database Vaultが有効なときにこれらの操作を実行するために必要な権限を持っています。 これを変更するには、「Autonomous DatabaseのOracle Database Vaultでのユーザー管理の無効化」を参照してください。

Oracle Database Vaultを有効にしたAutonomous Databaseでは、次の権限を付与します:

• Oracle GoldenGateを使用するときは、GGADMINユーザーDV_GOLDENGATE_ADMINおよびDV_GOLDENGATE_REDO_ACCESSを付与します。

• ADMINユーザーは、Oracle Data Pumpを使用する必要があるユーザーにBECOME USER権限を付与する必要があります。 一部のOracle Data Pump操作を実行するには、Oracle Database Vaultの承認が必要になる場合があります。 たとえば、全データベースのエクスポートを実行する場合や、レルムで保護されたスキーマをエクスポートする場合には、DBMS_MACADM.AUTHORIZE_DATAPUMP_USERを使用する必要があります。

  詳細については、「AUTHORIZE_DATAPUMP_USERプロシージャ」を参照してください。

• Oracle Database Vaultが有効で、資格証明所有者のスキーマがDatabase Vaultレルムを使用して保護されている場合に、DBMS_CLOUD資格証明関連APIが機能するには、C##CLOUD$SERVICEユーザーの認可をDatabase Vaultレルムに追加する必要があります。

  たとえば:

  BEGIN
      DBMS_MACADM.ADD_AUTH_TO_REALM(realm_name   => 'PROTECT_ADMIN',
          grantee       => 'C##CLOUD$SERVICE',
          rule_set_name => 'Enabled',
          auth_options  => DBMS_MACUTL.G_REALM_AUTH_PARTICIPANT);
  END;
  /

  PROTECT_ADMINは、Oracle Database Vaultレルムです。

  詳細については、「ADD_AUTH_TO_REALMプロシージャ」を参照してください。

Autonomous DatabaseでのOracle Database Vaultの有効化

Autonomous Database上でOracle Database Vaultを有効にするためのステップを示します。

Oracle Database Vaultは、Autonomous Databaseではデフォルトで無効になっています。 Autonomous DatabaseでOracle Database Vaultを構成して有効にするには、次の手順を実行します:

1. 次のコマンドを使用して、Oracle Database Vaultを構成します:

   EXEC DBMS_CLOUD_MACADM.CONFIGURE_DATABASE_VAULT('adb_dbv_owner', 'adb_dbv_acctmgr');

   説明:

   • adb_dbv_ownerは、Oracle Database Vault所有者です。
   • adb_dbv_acctmgrはアカウント・マネージャです。

   詳細については、「CONFIGURE_DATABASE_VAULTプロシージャ」を参照してください。

2. Oracle Database Vaultを有効にします:

   EXEC DBMS_CLOUD_MACADM.ENABLE_DATABASE_VAULT;

   詳細については、「ENABLE_DATABASE_VAULTプロシージャ」を参照してください。

3. Autonomous Databaseインスタンスを再起動します。

   詳細については、「Autonomous Databaseの再起動」を参照してください。

次のコマンドを使用して、Oracle Database Vaultが有効か無効かを確認します:

SELECT * FROM DBA_DV_STATUS;

出力は、次のようになります。

NAME                 STATUS
-------------------- -----------
DV_CONFIGURE_STATUS  TRUE
DV_ENABLE_STATUS     TRUE

DV_ENABLE_STATUS値TRUEでは、Oracle Database Vaultが有効になっていることが示されます。

ノート:

バックアップやパッチ適用などのAutonomous Databaseのメンテナンス操作は、Oracle Database Vaultが有効である場合は影響を受けません。

Oracle Database Vaultの無効化の詳細は、「Autonomous DatabaseでのOracle Database Vaultの無効化」を参照してください。

Autonomous DatabaseでのOracle Database Vaultの無効化

Autonomous Database上でOracle Database Vaultを無効にするステップを示します。

Autonomous DatabaseでOracle Database Vaultを無効化するには、次の手順を実行します:

1. Oracle Database Vaultを無効化します。

   EXEC DBMS_CLOUD_MACADM.DISABLE_DATABASE_VAULT;

   詳細については、「DISABLE_DATABASE_VAULTプロシージャ」を参照してください。

2. Autonomous Databaseインスタンスを再起動します。

   詳細については、「Autonomous Databaseの再起動」を参照してください。

次のコマンドを使用して、Oracle Database Vaultが有効か無効かを確認します:

SELECT * FROM DBA_DV_STATUS;

出力は、次のようになります。

NAME                 STATUS
-------------------- -----------
DV_CONFIGURE_STATUS  TRUE
DV_ENABLE_STATUS     FALSE

DV_ENABLE_STATUS値FALSEは、Oracle Database Vaultが無効であることを示します。

Autonomous DatabaseのOracle Database Vaultでのユーザー管理の無効化

Oracle Database Vaultを有効にして、Autonomous Databaseで指定したコンポーネントに対するユーザー管理関連の操作を禁止する方法を示します。

Oracle Database Vaultが有効なAutonomous Databaseでは、Oracle APEXコンソールに対してデフォルトでユーザー管理が有効になっています。 職務分掌を強化し、このコンソールからユーザー管理を禁止する場合は、DBMS_CLOUD_MACADM.DISABLE_USERMGMT_DATABASE_VAULTを使用します。

1. DV_ACCTMGRおよびDV_ADMINのロールを付与されたユーザーとして、指定されたコンポーネントのユーザー管理を無効化できます。
2. 指定したコンポーネント(たとえば、APEXコンポーネント)のユーザー管理を無効にするには、次のコマンドを使用します:

   EXEC DBMS_CLOUD_MACADM.DISABLE_USERMGMT_DATABASE_VAULT('APEX');

詳細については、「DISABLE_USERMGMT_DATABASE_VAULTプロシージャ」を参照してください。

Autonomous DatabaseのOracle Database Vaultでのユーザー管理の有効化

Oracle Database Vaultを有効にして、Autonomous Databaseで指定したコンポーネントのユーザー管理を許可するステップを示します。

Oracle Database Vaultが有効なAutonomous Databaseでは、Oracle APEXコンソールに対してデフォルトでユーザー管理が有効になっています。 これにより、Autonomous Database内の指定されたコンポーネントからのCREATE USER、ALTER USER、DROP USERなどの操作に対するユーザー管理が可能になります。

DBMS_CLOUD_MACADM.ENABLE_USERMGMT_DATABASE_VAULTを使用して、Oracle Database Vaultが有効である場合に、指定されたユーザー・アカウントがユーザー管理を実行できるようにします。 ユーザー管理が無効で、再度有効にする場合は、この手順を使用します。

1. DV_ACCTMGRおよびDV_ADMINのロールが付与されたユーザーは、指定されたコンポーネントでユーザー管理を有効にできます。
2. 指定したコンポーネント(たとえば、APEXコンポーネント)でユーザー管理を有効にするには、次のコマンドを使用します:

   EXEC DBMS_CLOUD_MACADM.ENABLE_USERMGMT_DATABASE_VAULT('APEX');

詳細については、「ENABLE_USERMGMT_DATABASE_VAULTプロシージャ」を参照してください。