Oracle Cloud Infrastructure-Dokumentation

Oracle Database Vault mit Autonomous AI Database verwenden

Oracle Database Vault implementiert leistungsstarke Sicherheitskontrollen für Ihre Datenbank. Diese einzigartigen Sicherheitskontrollen schränken den Zugriff auf Anwendungsdaten durch privilegierte Datenbankbenutzer ein, reduzieren das Risiko von internen und externen Bedrohungen und erfüllen allgemeine Complianceanforderungen.

Weitere Informationen finden Sie unter Was ist Oracle Database Vault?.

Übergeordnetes Thema: Sicherheit

Oracle Database Vault-Benutzer und -Rollen in der autonomen KI-Datenbank

Oracle Database Vault bietet leistungsstarke Sicherheitskontrollen, mit denen Sie Anwendungsdaten vor unbefugtem Zugriff schützen und die Aufgabentrennung zwischen Administratoren und Dateneigentümern implementieren können, um Datenschutz- und regulatorische Anforderungen zu erfüllen.

Standardmäßig hat der ADMIN-Benutzer die Rollen DV_OWNER und DV_ACCTMGR. Wenn Sie separate Benutzer für Accounts DV_OWNER und DV_ACCTMGR einrichten möchten. Weitere Informationen finden Sie unter Schemas, Rollen und Accounts von Oracle Database Vault.

Die Benutzerverwaltung ist standardmäßig für die APEX-Komponente aktiviert, wenn Oracle Database Vault aktiviert ist. Wenn die Benutzerverwaltung aktiviert ist, verfügen die APEX-Benutzer, die über die erforderlichen Rollen für CREATE | ALTER | DROP-Benutzer verfügen, über die erforderlichen Berechtigungen zum Ausführen dieser Vorgänge, wenn Database Vault aktiviert ist. Informationen zum Ändern finden Sie unter Benutzerverwaltung mit Oracle Database Vault in einer autonomen KI-Datenbank deaktivieren.

Erteilen Sie in einer autonomen KI-Datenbank mit aktiviertem Oracle Database Vault die folgenden Berechtigungen:

  • Wenn Sie Oracle GoldenGate verwenden, erteilen Sie dem Benutzer GGADMIN die Berechtigung DV_GOLDENGATE_ADMIN und DV_GOLDENGATE_REDO_ACCESS.

  • Der ADMIN-Benutzer muss Benutzern, die Oracle Data Pump verwenden müssen, die Berechtigung BECOME USER erteilen. Um einige Oracle Data Pump-Vorgänge auszuführen, ist möglicherweise zusätzliche Oracle Database Vault-Autorisierung erforderlich. Beispiel: Um einen vollständigen Datenbankexport auszuführen oder ein Realm-geschütztes Schema zu exportieren, muss DBMS_MACADM.AUTHORIZE_DATAPUMP_USER verwendet werden.

    Weitere Informationen finden Sie unter Prozedur AUTHORIZE_DATAPUMP_USER.

  • Damit DBMS_CLOUD-APIs mit Zugangsdaten funktionieren, wenn Oracle Database Vault aktiviert ist und das Schema des Zugangsdateneigentümers mit einer Database Vault-Realm geschützt ist, müssen Sie der Database Vault-Realm Autorisierungen für den Benutzer C##CLOUD$SERVICE hinzufügen.

    Beispiel:

    BEGIN
    DBMS_MACADM.ADD_AUTH_TO_REALM(realm_name   => 'PROTECT_ADMIN',
        grantee       => 'C##CLOUD$SERVICE',
        rule_set_name => 'Enabled',
        auth_options  => DBMS_MACUTL.G_REALM_AUTH_PARTICIPANT);
END;
/

    Dabei ist PROTECT_ADMIN Ihre Oracle Database Vault-Realm.

    Weitere Informationen finden Sie unter Prozedur ADD_AUTH_TO_REALM.

Oracle Database Vault in autonomer KI-Datenbank aktivieren

Zeigt die Schritte zum Aktivieren von Oracle Database Vault in einer autonomen KI-Datenbank an.

Oracle Database Vault ist in der autonomen KI-Datenbank standardmäßig deaktiviert. Um Oracle Database Vault in einer autonomen KI-Datenbank zu konfigurieren und zu aktivieren, gehen Sie wie folgt vor:

  1. Konfigurieren Sie Oracle Database Vault mit dem folgenden Befehl:
    EXEC DBMS_CLOUD_MACADM.CONFIGURE_DATABASE_VAULT('adb_dbv_owner', 'adb_dbv_acctmgr');

    Dabei gilt:

    • adb_dbv_owner ist der Eigentümer von Oracle Database Vault.
    • adb_dbv_acctmgr ist der Accountmanager.

    Weitere Informationen finden Sie unter Prozedur CONFIGURE_DATABASE_VAULT.

  2. Oracle Database Vault aktivieren:
    EXEC DBMS_CLOUD_MACADM.ENABLE_DATABASE_VAULT;

    Weitere Informationen finden Sie unter Prozedur ENABLE_DATABASE_VAULT.

  3. Starten Sie die Instanz der autonomen KI-Datenbank neu.

    Weitere Informationen finden Sie unter Autonome KI-Datenbank neu starten.

Mit dem folgenden Befehl prüfen Sie, ob Oracle Database Vault aktiviert oder deaktiviert ist:

SELECT * FROM DBA_DV_STATUS;

Sie sehen eine Anzeige wie die folgende:

NAME                 STATUS
-------------------- -----------
DV_CONFIGURE_STATUS  TRUE
DV_ENABLE_STATUS     TRUE

Der Wert DV_ENABLE_STATUS TRUE gibt an, dass Oracle Database Vault aktiviert ist.

Hinweis

Wartungsvorgänge der autonomen KI-Datenbank, wie Backups und Patching, sind nicht betroffen, wenn Oracle Database Vault aktiviert ist.

Informationen zum Deaktivieren von Oracle Database Vault finden Sie unter Oracle Database Vault in einer autonomen KI-Datenbank deaktivieren.

Oracle Database Vault in autonomer KI-Datenbank deaktivieren

Zeigt die Schritte zum Deaktivieren von Oracle Database Vault in der autonomen KI-Datenbank an.

Um Oracle Database Vault in einer autonomen KI-Datenbank zu deaktivieren, gehen Sie wie folgt vor:

  1. Oracle Database Vault deaktivieren.
    EXEC DBMS_CLOUD_MACADM.DISABLE_DATABASE_VAULT;

    Weitere Informationen finden Sie unter Prozedur DISABLE_DATABASE_VAULT.

  2. Starten Sie die Instanz der autonomen KI-Datenbank neu.

    Weitere Informationen finden Sie unter Autonome KI-Datenbank neu starten.

Mit dem folgenden Befehl prüfen Sie, ob Oracle Database Vault aktiviert oder deaktiviert ist:

SELECT * FROM DBA_DV_STATUS;

Sie sehen eine Anzeige wie die folgende:

NAME                 STATUS
-------------------- -----------
DV_CONFIGURE_STATUS  TRUE
DV_ENABLE_STATUS     FALSE

Der DV_ENABLE_STATUS-Wert FALSE gibt an, dass Oracle Database Vault deaktiviert ist.

Benutzerverwaltung mit Oracle Database Vault in autonomer KI-Datenbank deaktivieren

Zeigt, wie Vorgänge im Zusammenhang mit der Benutzerverwaltung für angegebene Komponenten in der autonomen KI-Datenbank mit aktiviertem Oracle Database Vault nicht zulässig sind.

Bei der autonomen KI-Datenbank mit aktiviertem Oracle Database Vault ist die Benutzerverwaltung standardmäßig für die Oracle APEX-Konsole aktiviert. Wenn Sie eine strengere Aufgabentrennung durchsetzen und die Benutzerverwaltung von dieser Konsole ausschließen möchten, verwenden Sie DBMS_CLOUD_MACADM.DISABLE_USERMGMT_DATABASE_VAULT.

  1. Als Benutzer mit den Rollen DV_ACCTMGR und DV_ADMIN können Sie die Benutzerverwaltung für bestimmte Komponenten deaktivieren.
  2. Um die Benutzerverwaltung für eine angegebene Komponente zu deaktivieren, z.B. für die APEX-Komponente, verwenden Sie den folgenden Befehl:
    EXEC DBMS_CLOUD_MACADM.DISABLE_USERMGMT_DATABASE_VAULT('APEX');

Weitere Informationen finden Sie unter Prozedur DISABLE_USERMGMT_DATABASE_VAULT.

Benutzerverwaltung mit Oracle Database Vault in einer autonomen KI-Datenbank aktivieren

Zeigt die Schritte zum Zulassen der Benutzerverwaltung für eine angegebene Komponente in der autonomen KI-Datenbank mit aktiviertem Oracle Database Vault an.

Bei der autonomen KI-Datenbank mit aktiviertem Oracle Database Vault ist die Benutzerverwaltung standardmäßig für die Oracle APEX-Konsole aktiviert. Dadurch wird die Benutzerverwaltung für Vorgänge wie CREATE USER, ALTER USER und DROP USER aus der angegebenen Komponente in der autonomen KI-Datenbank ermöglicht.

Verwenden Sie DBMS_CLOUD_MACADM.ENABLE_USERMGMT_DATABASE_VAULT, damit bestimmte Benutzeraccounts die Benutzerverwaltung ausführen können, wenn Oracle Database Vault aktiviert ist. Führen Sie diese Schritte aus, wenn die Benutzerverwaltung deaktiviert ist und Sie sie erneut aktivieren möchten.

  1. Ein Benutzer, dem die Rollen DV_ACCTMGR und DV_ADMIN erteilt wurden, kann die Benutzerverwaltung für bestimmte Komponenten aktivieren.
  2. Um die Benutzerverwaltung für eine angegebene Komponente zu aktivieren, z.B. für die APEX-Komponente, verwenden Sie den folgenden Befehl:
    EXEC DBMS_CLOUD_MACADM.ENABLE_USERMGMT_DATABASE_VAULT('APEX');

Weitere Informationen finden Sie unter Prozedur ENABLE_USERMGMT_DATABASE_VAULT.