Oracle Cloud Infrastructure-Dokumentation

Oracle Database Vault mit Autonomous Database verwenden

Oracle Database Vault implementiert leistungsstarke Sicherheitskontrollen für Ihre Datenbank. Diese einzigartigen Sicherheitskontrollen schränken den Zugriff auf Anwendungsdaten durch privilegierte Datenbankbenutzer ein, reduzieren das Risiko von internen und externen Bedrohungen und erfüllen allgemeine Complianceanforderungen.

Weitere Informationen finden Sie unter Was ist Oracle Database Vault?

Übergeordnetes Thema: Sicherheit

Oracle Database Vault-Benutzer und -Rollen in Autonomous Database

Oracle Database Vault bietet leistungsstarke Sicherheitskontrollen, um Anwendungsdaten vor unbefugtem Zugriff zu schützen und eine Trennung von Aufgaben zwischen Administratoren und Dateneigentümern zu implementieren, um Datenschutz- und Regulierungsanforderungen zu erfüllen.

Standardmäßig verfügt der ADMIN-Benutzer über die Rollen DV_OWNER und DV_ACCTMGR. Wenn Sie separate Benutzer für DV_OWNER- und DV_ACCTMGR-Accounts einrichten möchten. Weitere Informationen finden Sie unter Oracle Database Vault-Schemas, -Rollen und -Accounts.

Die Benutzerverwaltung ist standardmäßig für die APEX-Komponente aktiviert, wenn Oracle Database Vault aktiviert ist. Wenn die Benutzerverwaltung aktiviert ist, verfügen die APEX-Benutzer mit den erforderlichen Rollen für die Vorgänge CREATE | ALTER | DROP zum Aktivieren von Database Vault über die erforderlichen Berechtigungen für diese Vorgänge. Informationen zum Ändern dieses Wertes finden Sie unter Benutzerverwaltung mit Oracle Database Vault in Autonomous Database deaktivieren.

Erteilen Sie in Autonomous Database bei aktiviertem Oracle Database Vault die folgenden Berechtigungen:

  • Wenn Sie Oracle GoldenGate verwenden, erteilen Sie dem Benutzer GGADMIN die Berechtigungen DV_GOLDENGATE_ADMIN und DV_GOLDENGATE_REDO_ACCESS.

  • Der ADMIN-Benutzer muss Benutzern, die Oracle Data Pump verwenden müssen, die Berechtigung BECOME USER erteilen. Für einige Oracle Data Pump-Vorgänge sind möglicherweise zusätzliche Oracle Database Vault-Berechtigungen erforderlich. Beispiel: Zum Ausführen eines vollständigen Datenbankexports oder zum Exportieren eines durch eine Realm geschützten Schemas müssen Sie DBMS_MACADM.AUTHORIZE_DATAPUMP_USER verwenden.

    Weitere Informationen finden Sie unter Prozedur AUTHORIZE_DATAPUMP_USER.

  • Damit APIs mit DBMS_CLOUD-Zugangsdaten funktionieren, wenn Oracle Database Vault aktiviert ist und das Schema des Zugangsdateneigentümers mit einer Database Vault-Realm geschützt ist, müssen Sie Autorisierungen für den Benutzer C##CLOUD$SERVICE zur Database Vault-Realm hinzufügen.

    Beispiele:

    BEGIN
    DBMS_MACADM.ADD_AUTH_TO_REALM(realm_name   => 'PROTECT_ADMIN',
        grantee       => 'C##CLOUD$SERVICE',
        rule_set_name => 'Enabled',
        auth_options  => DBMS_MACUTL.G_REALM_AUTH_PARTICIPANT);
END;
/

    Dabei ist PROTECT_ADMIN Ihre Oracle Database Vault-Realm.

    Weitere Informationen finden Sie unter Prozedur ADD_AUTH_TO_REALM.

Oracle Database Vault in Autonomous Database aktivieren

Zeigt die Schritte zum Aktivieren von Oracle Database Vault in Autonomous Database an.

Oracle Database Vault ist in Autonomous Database standardmäßig deaktiviert. So konfigurieren und aktivieren Sie Oracle Database Vault in Autonomous Database:

  1. Konfigurieren Sie Oracle Database Vault mit dem folgenden Befehl:
    EXEC DBMS_CLOUD_MACADM.CONFIGURE_DATABASE_VAULT('adb_dbv_owner', 'adb_dbv_acctmgr');

    Wobei:

    • adb_dbv_owner ist der Oracle Database Vault-Eigentümer.
    • adb_dbv_acctmgr ist die Accountverwaltung.

    Weitere Informationen finden Sie unter Prozedur CONFIGURE_DATABASE_VAULT.

  2. Oracle Database Vault aktivieren:
    EXEC DBMS_CLOUD_MACADM.ENABLE_DATABASE_VAULT;

    Weitere Informationen finden Sie unter Prozedur ENABLE_DATABASE_VAULT.

  3. Starten Sie die Autonomous Database-Instanz neu.

    Weitere Informationen finden Sie unter Autonomous Database neu starten.

Verwenden Sie den folgenden Befehl, um zu prüfen, ob Oracle Database Vault aktiviert oder deaktiviert ist:

SELECT * FROM DBA_DV_STATUS;

Sie sehen eine Anzeige wie die folgende:

NAME                 STATUS
-------------------- -----------
DV_CONFIGURE_STATUS  TRUE
DV_ENABLE_STATUS     TRUE

Der DV_ENABLE_STATUS-Wert TRUE gibt an, dass Oracle Database Vault aktiviert ist.

Hinweis

Autonomous Database-Wartungsvorgänge wie Backups und Patching sind nicht betroffen, wenn Oracle Database Vault aktiviert ist.

Informationen zum Deaktivieren von Oracle Database Vault finden Sie unter Oracle Database Vault in Autonomous Database deaktivieren.

Oracle Database Vault in Autonomous Database deaktivieren

Zeigt die Schritte zum Deaktivieren von Oracle Database Vault in Autonomous Database an.

So deaktivieren Sie Oracle Database Vault in Autonomous Database:

  1. Oracle Database Vault deaktivieren.
    EXEC DBMS_CLOUD_MACADM.DISABLE_DATABASE_VAULT;

    Weitere Informationen finden Sie unter Prozedur DISABLE_DATABASE_VAULT.

  2. Starten Sie die Autonomous Database-Instanz neu.

    Weitere Informationen finden Sie unter Autonomous Database neu starten.

Verwenden Sie den folgenden Befehl, um zu prüfen, ob Oracle Database Vault aktiviert oder deaktiviert ist:

SELECT * FROM DBA_DV_STATUS;

Sie sehen eine Anzeige wie die folgende:

NAME                 STATUS
-------------------- -----------
DV_CONFIGURE_STATUS  TRUE
DV_ENABLE_STATUS     FALSE

Der DV_ENABLE_STATUS-Wert FALSE gibt an, dass Oracle Database Vault deaktiviert ist.

Benutzerverwaltung mit Oracle Database Vault in Autonomous Database deaktivieren

Zeigt, wie Sie Benutzermanagementvorgänge für angegebene Komponenten in Autonomous Database bei aktiviertem Oracle Database Vault unterbinden.

In Autonomous Database ist die Benutzerverwaltung bei aktiviertem Oracle Database Vault standardmäßig für die Oracle APEX-Konsole aktiviert. Wenn Sie eine strengere Aufgabentrennung erzwingen und die Benutzerverwaltung von dieser Konsole aus nicht zulassen möchten, verwenden Sie DBMS_CLOUD_MACADM.DISABLE_USERMGMT_DATABASE_VAULT.

  1. Als Benutzer mit den Rollen DV_ACCTMGR und DV_ADMIN können Sie die Benutzerverwaltung für angegebene Komponenten deaktivieren.
  2. Um die Benutzerverwaltung für eine angegebene Komponente (z.B. für die APEX-Komponente) zu deaktivieren, verwenden Sie den folgenden Befehl:
    EXEC DBMS_CLOUD_MACADM.DISABLE_USERMGMT_DATABASE_VAULT('APEX');

Weitere Informationen finden Sie unter Prozedur DISABLE_USERMGMT_DATABASE_VAULT.

Benutzermanagement mit Oracle Database Vault in Autonomous Database aktivieren

Zeigt die Schritte zum Zulassen der Benutzerverwaltung für eine angegebene Komponente in Autonomous Database bei aktiviertem Oracle Database Vault an.

In Autonomous Database ist die Benutzerverwaltung bei aktiviertem Oracle Database Vault standardmäßig für die Oracle APEX-Konsole aktiviert. Dies ermöglicht Benutzermanagement für Vorgänge wie CREATE USER, ALTER USER und DROP USER in der angegebenen Komponente in Autonomous Database.

Verwenden Sie DBMS_CLOUD_MACADM.ENABLE_USERMGMT_DATABASE_VAULT, damit bestimmte Benutzeraccounts bei aktiviertem Oracle Database Vault Benutzermanagement ausführen können. Verwenden Sie diese Prozedur, wenn die Benutzerverwaltung deaktiviert ist und Sie sie wieder aktivieren möchten.

  1. Einem Benutzer mit den Rollen DV_ACCTMGR und DV_ADMIN kann die Benutzerverwaltung für bestimmte Komponenten aktiviert werden.
  2. Um die Benutzerverwaltung für eine angegebene Komponente (z.B. für die APEX-Komponente) zu aktivieren, verwenden Sie den folgenden Befehl:
    EXEC DBMS_CLOUD_MACADM.ENABLE_USERMGMT_DATABASE_VAULT('APEX');

Weitere Informationen finden Sie unter Prozedur ENABLE_USERMGMT_DATABASE_VAULT.