Oracle Cloud Infrastructure-Dokumentation

Oracle Database Vault mit Autonomous Database verwenden

Oracle Database Vault implementiert leistungsstarke Sicherheitskontrollen für Ihre Datenbank. Diese einzigartigen Sicherheitskontrollen schränken den Zugriff auf Anwendungsdaten durch privilegierte Datenbankbenutzer ein, reduzieren das Risiko von internen und externen Bedrohungen und erfüllen allgemeine Complianceanforderungen.

Weitere Informationen finden Sie unter Was ist Oracle Database Vault?.

Übergeordnetes Thema: Sicherheit

Oracle Database Vault-Benutzer und -Rollen in Autonomous Database

Oracle Database Vault bietet leistungsstarke Sicherheitskontrollen, mit denen Sie Anwendungsdaten vor unbefugtem Zugriff schützen und die Aufgabentrennung zwischen Administratoren und Dateneigentümern implementieren können, um Datenschutz- und regulatorische Anforderungen zu erfüllen.

Standardmäßig hat der ADMIN-Benutzer die Rollen DV_OWNER und DV_ACCTMGR. Wenn Sie separate Benutzer für Accounts DV_OWNER und DV_ACCTMGR einrichten möchten. Weitere Informationen finden Sie unter Schemas, Rollen und Accounts von Oracle Database Vault.

Die Benutzerverwaltung ist standardmäßig für die APEX-Komponente aktiviert, wenn Oracle Database Vault aktiviert ist. Wenn die Benutzerverwaltung aktiviert ist, verfügen die APEX-Benutzer, die über die erforderlichen Rollen für CREATE | ALTER | DROP-Benutzer verfügen, über die erforderlichen Berechtigungen zum Ausführen dieser Vorgänge, wenn Database Vault aktiviert ist. Informationen zum Ändern finden Sie unter Benutzerverwaltung mit Oracle Database Vault in Autonomous Database deaktivieren.

Erteilen Sie in Autonomous Database mit aktiviertem Oracle Database Vault die folgenden Berechtigungen:

  • Wenn Sie Oracle GoldenGate verwenden, erteilen Sie dem Benutzer GGADMIN die Berechtigung DV_GOLDENGATE_ADMIN und DV_GOLDENGATE_REDO_ACCESS.

  • Der ADMIN-Benutzer muss Benutzern, die Oracle Data Pump verwenden müssen, die Berechtigung BECOME USER erteilen. Um einige Oracle Data Pump-Vorgänge auszuführen, ist möglicherweise zusätzliche Oracle Database Vault-Autorisierung erforderlich. Beispiel: Um einen vollständigen Datenbankexport auszuführen oder ein Realm-geschütztes Schema zu exportieren, muss DBMS_MACADM.AUTHORIZE_DATAPUMP_USER verwendet werden.

    Weitere Informationen finden Sie unter Prozedur AUTHORIZE_DATAPUMP_USER.

  • Damit DBMS_CLOUD-APIs mit Zugangsdaten funktionieren, wenn Oracle Database Vault aktiviert ist und das Schema des Zugangsdateneigentümers mit einer Database Vault-Realm geschützt ist, müssen Sie der Database Vault-Realm Autorisierungen für den Benutzer C##CLOUD$SERVICE hinzufügen.

    Beispiel:

    BEGIN
    DBMS_MACADM.ADD_AUTH_TO_REALM(realm_name   => 'PROTECT_ADMIN',
        grantee       => 'C##CLOUD$SERVICE',
        rule_set_name => 'Enabled',
        auth_options  => DBMS_MACUTL.G_REALM_AUTH_PARTICIPANT);
END;
/

    Dabei ist PROTECT_ADMIN Ihre Oracle Database Vault-Realm.

    Weitere Informationen finden Sie unter Prozedur ADD_AUTH_TO_REALM.

Oracle Database Vault in Autonomous Database aktivieren

Zeigt die Schritte zum Aktivieren von Oracle Database Vault in Autonomous Database an.

Oracle Database Vault ist standardmäßig in Autonomous Database deaktiviert. Um Oracle Database Vault in Autonomous Database zu konfigurieren und zu aktivieren, gehen Sie wie folgt vor:

  1. Konfigurieren Sie Oracle Database Vault mit dem folgenden Befehl:
    EXEC DBMS_CLOUD_MACADM.CONFIGURE_DATABASE_VAULT('adb_dbv_owner', 'adb_dbv_acctmgr');

    Dabei gilt:

    • adb_dbv_owner ist der Eigentümer von Oracle Database Vault.
    • adb_dbv_acctmgr ist der Accountmanager.

    Weitere Informationen finden Sie unter Prozedur CONFIGURE_DATABASE_VAULT.

  2. Oracle Database Vault aktivieren:
    EXEC DBMS_CLOUD_MACADM.ENABLE_DATABASE_VAULT;

    Weitere Informationen finden Sie unter Prozedur ENABLE_DATABASE_VAULT.

  3. Starten Sie die Autonomous Database-Instanz neu.

    Weitere Informationen finden Sie unter Autonomous Database neu starten.

Mit dem folgenden Befehl prüfen Sie, ob Oracle Database Vault aktiviert oder deaktiviert ist:

SELECT * FROM DBA_DV_STATUS;

Sie sehen eine Anzeige wie die folgende:

NAME                 STATUS
-------------------- -----------
DV_CONFIGURE_STATUS  TRUE
DV_ENABLE_STATUS     TRUE

Der Wert DV_ENABLE_STATUS TRUE gibt an, dass Oracle Database Vault aktiviert ist.

Hinweis

Autonomous Database-Wartungsvorgänge wie Backups und Patching sind nicht betroffen, wenn Oracle Database Vault aktiviert ist.

Informationen zum Deaktivieren von Oracle Database Vault finden Sie unter Oracle Database Vault in Autonomous Database deaktivieren.

Oracle Database Vault in Autonomous Database deaktivieren

Zeigt die Schritte zum Deaktivieren von Oracle Database Vault in Autonomous Database an.

Um Oracle Database Vault in Autonomous Database zu deaktivieren, gehen Sie wie folgt vor:

  1. Oracle Database Vault deaktivieren.
    EXEC DBMS_CLOUD_MACADM.DISABLE_DATABASE_VAULT;

    Weitere Informationen finden Sie unter Prozedur DISABLE_DATABASE_VAULT.

  2. Starten Sie die Autonomous Database-Instanz neu.

    Weitere Informationen finden Sie unter Autonomous Database neu starten.

Mit dem folgenden Befehl prüfen Sie, ob Oracle Database Vault aktiviert oder deaktiviert ist:

SELECT * FROM DBA_DV_STATUS;

Sie sehen eine Anzeige wie die folgende:

NAME                 STATUS
-------------------- -----------
DV_CONFIGURE_STATUS  TRUE
DV_ENABLE_STATUS     FALSE

Der DV_ENABLE_STATUS-Wert FALSE gibt an, dass Oracle Database Vault deaktiviert ist.

Benutzerverwaltung mit Oracle Database Vault in Autonomous Database deaktivieren

Zeigt, wie Benutzerverwaltungsvorgänge für angegebene Komponenten in Autonomous Database mit aktiviertem Oracle Database Vault nicht zulässig sind.

Für Autonomous Database mit aktiviertem Oracle Database Vault ist die Benutzerverwaltung standardmäßig für die Oracle APEX-Konsole aktiviert. Wenn Sie eine strengere Aufgabentrennung durchsetzen und die Benutzerverwaltung von dieser Konsole ausschließen möchten, verwenden Sie DBMS_CLOUD_MACADM.DISABLE_USERMGMT_DATABASE_VAULT.

  1. Als Benutzer mit den Rollen DV_ACCTMGR und DV_ADMIN können Sie die Benutzerverwaltung für bestimmte Komponenten deaktivieren.
  2. Um die Benutzerverwaltung für eine angegebene Komponente zu deaktivieren, z.B. für die APEX-Komponente, verwenden Sie den folgenden Befehl:
    EXEC DBMS_CLOUD_MACADM.DISABLE_USERMGMT_DATABASE_VAULT('APEX');

Weitere Informationen finden Sie unter Prozedur DISABLE_USERMGMT_DATABASE_VAULT.

Benutzerverwaltung mit Oracle Database Vault in Autonomous Database aktivieren

Zeigt die Schritte zum Zulassen der Benutzerverwaltung für eine angegebene Komponente in Autonomous Database mit aktiviertem Oracle Database Vault an.

Für Autonomous Database mit aktiviertem Oracle Database Vault ist die Benutzerverwaltung standardmäßig für die Oracle APEX-Konsole aktiviert. Dadurch wird die Benutzerverwaltung für Vorgänge wie CREATE USER, ALTER USER und DROP USER aus der angegebenen Komponente in Autonomous Database ermöglicht.

Verwenden Sie DBMS_CLOUD_MACADM.ENABLE_USERMGMT_DATABASE_VAULT, damit bestimmte Benutzeraccounts die Benutzerverwaltung ausführen können, wenn Oracle Database Vault aktiviert ist. Führen Sie diese Schritte aus, wenn die Benutzerverwaltung deaktiviert ist und Sie sie erneut aktivieren möchten.

  1. Ein Benutzer, dem die Rollen DV_ACCTMGR und DV_ADMIN erteilt wurden, kann die Benutzerverwaltung für bestimmte Komponenten aktivieren.
  2. Um die Benutzerverwaltung für eine angegebene Komponente zu aktivieren, z.B. für die APEX-Komponente, verwenden Sie den folgenden Befehl:
    EXEC DBMS_CLOUD_MACADM.ENABLE_USERMGMT_DATABASE_VAULT('APEX');

Weitere Informationen finden Sie unter Prozedur ENABLE_USERMGMT_DATABASE_VAULT.