Oracle Cloud Infrastructure - Dokumentation

Rollen für den Oracle Data Safe-Serviceaccount in der Zieldatenbank erteilen

Welche Oracle Data Safe-Features Sie mit der Zieldatenbank verwenden können, hängt von den Rollen, die Sie dem Oracle Data Safe-Serviceaccount für diese Zieldatenbank erteilen, ab. Sie können Rollen nach Bedarf zuweisen und widerrufen.

Die Rollen unterscheiden sich für autonome KI-Datenbanken und nicht autonome KI-Datenbanken. Bei nicht autonomen KI-Datenbanken können Sie dem Oracle Data Safe-Serviceaccount vor oder nach der Registrierung Ihrer Datenbank Rollen erteilen. Bei autonomen KI-Datenbanken müssen Sie zunächst Ihre Datenbank registrieren, die den vordefinierten Oracle Data Safe-Serviceaccount entsperrt, und dann Rollen nach Bedarf erteilen und entziehen. Standardmäßig wird dem Oracle Data Safe-Serviceaccount in einer autonomen KI-Datenbank bereits einige Rollen erteilt.

Rollen für den Oracle Data Safe-Serviceaccount

Hinweis

Hinweis: Erteilen Sie dem Oracle Data Safe-Service nur die Rollen, die für Ihre Zieldatenbanken erforderlich sind. Wie Sie Rollen erteilen, hängt vom Typ der Zieldatenbanken ab, die Sie haben.

In der folgenden Tabelle werden die Rollen für nicht autonome KI-Datenbanken und autonome KI-Datenbanken beschrieben. Wenn Sie eine nicht autonome KI-Datenbank registrieren (z.B. ein DB-System, eine On-Premise-Oracle-Datenbank oder eine Oracle-Datenbank auf einer Compute-Instanz), können Sie die Rollen in der ersten Spalte erteilen. Wenn Sie eine autonome KI-Datenbank registrieren, können Sie die Rollen in der zweiten Spalte erteilen. Einige oder die meisten Rollen werden standardmäßig erteilt. Prüfen Sie daher den jeweiligen Typ der Zielregistrierung.

Rollen für nicht autonome KI-Datenbanken Rollen für autonome KI-Datenbanken Beschreibung
ASSESSMENT DS$ASSESSMENT_ROLE Für die Features zur Benutzerbewertung und Sicherheitsbewertung erforderliche Berechtigungen
AUDIT_COLLECTION DS$AUDIT_COLLECTION_ROLE Für den Zugriff auf Audittrails für die Zieldatenbank erforderliche Berechtigungen
DATA_DISCOVERY DS$DATA_DISCOVERY_ROLE Für das Daten-Discovery-Feature (Erkennung sensibler Daten in der Zieldatenbank) erforderliche Berechtigungen
MASKING DS$DATA_MASKING_ROLE Für das Datenmaskierungsfeature (Maskierung sensibler Daten in der Zieldatenbank) erforderliche Berechtigungen
AUDIT_SETTING DS$AUDIT_SETTING_ROLE Für das Aktualisieren der Audit-Policys der Zieldatenbank erforderliche Berechtigungen
SQL_FIREWALL DS$SQL_FIREWALL_ROLE Für die SQL-Firewallfunktion erforderliche Berechtigungen (SQL-Traffic erfassen, überwachen, zulassen und blockieren). Dies gilt nur für Oracle AI Database 26ai oder höher.

Rollen für den Oracle Data Safe-Service in einer autonomen KI-Datenbank erteilen

Standardmäßig enthält Autonomous AI Database einen Datenbankaccount, der speziell für Oracle Data Safe mit dem Namen DS$ADMIN erstellt wurde. Die Rollen, die Sie diesem Account erteilen, bestimmen die Oracle Data Safe-Features, die Sie mit der autonomen KI-Datenbank verwenden können.

Bei einer autonomen KI-Datenbank werden alle Rollen bereits standardmäßig erteilt, außer DS$DATA_MASKING_ROLE und DS$SQL_FIREWALL_ROLE.

Wenn Sie einen speziellen Benutzer für die Datenmaskierung erstellen, müssen Sie diesen Benutzernamen angeben, wenn Sie Rollen erteilen und entziehen.

Hinweis

Hinweis: Wenn Database Vault in Ihrer autonomen KI-Datenbank aktiviert ist, müssen Sie die folgenden Schritte ausführen, damit Oracle Data Safe mit Database Vault arbeiten kann.

Um Rollen für den Oracle Data Safe-Serviceaccount in der autonomen KI-Datenbank zu erteilen oder zu entziehen, können Sie das PL/SQL-Package DS_TARGET_UTIL in der Datenbank ausführen. Sie müssen dieses Package als PDB-Admin-Benutzer (ADMIN) oder als Benutzer ausführen, der über Ausführungsberechtigungen für das PL/SQL-Package DS_TARGET_UTIL verfügt. Sie können Rollen beliebig oft erteilen oder widerrufen.

  1. Um dem Oracle Data Safe-Serviceaccount eine Rolle zu erteilen oder diese zu widerrufen, gehen Sie wie folgt vor:

    1. Melden Sie sich mit einem Tool wie SQL*Plus oder SQL Developer bei Ihrer autonomen KI-Datenbank als PDB-Admin-Benutzer (ADMIN) oder als Benutzer mit Ausführungsberechtigung für das PL/SQL-Package DS_TARGET_UTIL an.

    2. Um eine Rolle zu erteilen, führen Sie den folgenden Befehl aus. <ROLE_NAME> ist der Name einer Oracle Data Safe-Rolle und muss in Anführungszeichen stehen. <USERNAME> ist der Name des Oracle Data Safe-Serviceaccounts. Wenn Database Vault in Ihrer Datenbank aktiviert ist und Sie die Rolle DS$DATA_MASKING_ROLE erteilen, tritt ein ORA-20001-Fehler auf, und fahren Sie mit Schritt 3 fort.

    Wenn Sie DS$ADMIN eine Rolle erteilen:

    EXECUTE DS_TARGET_UTIL.GRANT_ROLE('<ROLE_NAME>');

    Wenn Sie einem von Ihnen erstellten Benutzer eine Rolle erteilen, geben Sie den folgenden Benutzernamen an:

    EXECUTE DS_TARGET_UTIL.GRANT_ROLE('<ROLE_NAME>', '<USERNAME>');
    1. Um eine Rolle zu entziehen, führen Sie den folgenden Befehl aus. <ROLE_NAME> ist der Name einer Oracle Data Safe-Rolle und muss in Anführungszeichen stehen. <USERNAME> ist der Name des Oracle Data Safe-Serviceaccounts.

    Wenn Sie eine Rolle von DS$ADMIN entziehen:

    EXECUTE DS_TARGET_UTIL.REVOKE_ROLE('<ROLE_NAME>');

    Wenn Sie einem von Ihnen erstellten Benutzer eine Rolle entziehen, geben Sie den Benutzernamen an:

    EXECUTE DS_TARGET_UTIL.REVOKE_ROLE('<ROLE_NAME>', '<USERNAME>');

  2. Wenn Database Vault in Ihrer Datenbank aktiviert ist und Sie die folgenden Features in Oracle Data Safe verwenden möchten, gehen Sie wie folgt vor:

    • Für Benutzerbewertung oder Sicherheitsbewertung: Melden Sie sich als Benutzer mit der Rolle DV_OWNER bei der Datenbank an, und erteilen Sie dem Benutzer DS$ADMIN die Rolle DV_SECANALYST.

    • Für Datenmaskierung: Melden Sie sich als Benutzer mit der Rolle DV_OWNER bei der Datenbank an, und autorisieren Sie den Benutzer ADMIN bei der Realm für die Oracle-Systemberechtigung und -Rollenverwaltung. Stellen Sie als ADMIN-Benutzer eine Verbindung zur Datenbank her, und erteilen UNLIMITED TABLESPACE dem Benutzer DS$ADMIN die Berechtigung.

    • Bei SQL-Firewall: Wenn Sie die Rolle als PDB-Admin-Benutzer (ADMIN) oder als Benutzer mit der Rolle DV_ADMIN oder DV_OWNER erteilt haben, ist dieser Schritt nicht erforderlich. Wenn Sie dies jedoch nicht getan haben, melden Sie sich als Benutzer mit der Rolle DV_ADMIN oder DV_OWNER bei der Datenbank an, und führen Sie den folgenden Befehl als Benutzer mit der Rolle DV_ADMIN oder DV_OWNER aus:

    BEGIN
    DBMS_MACADM.AUTHORIZE_SQL_FIREWALL (
    uname => '<USERNAME>',
    manage_dv_admins => 'N');
END;
/

  3. Wenn Database Vault in Ihrer Datenbank aktiviert ist und Sie die folgenden Features in Oracle Data Safe entziehen möchten, gehen Sie wie folgt vor:

    • Für Benutzerbewertung oder Sicherheitsbewertung: Melden Sie sich als Benutzer mit der Rolle DV_OWNER bei der Datenbank an, und ziehen Sie dem Benutzer DS$ADMIN die Rolle DV_SECANALYST entziehen.

    • Für Datenmaskierung: Stellen Sie als ADMIN-Benutzer eine Verbindung zur Datenbank her, und entziehen UNLIMITED TABLESPACE dem Benutzer DS$ADMIN. Melden Sie sich als Benutzer mit der Rolle DV_OWNER bei der Datenbank an, und hebt Sie die Autorisierung des Benutzers ADMIN bei der Realm für die Oracle-Systemberechtigung und -Rollenverwaltung auf.

    • Bei SQL-Firewall: Stellen Sie als Benutzer mit den Rollen DV_ADMIN oder DV_OWNER eine Verbindung zur Datenbank her, und führen Sie den folgenden Code aus. Entziehen Sie anschließend die Rolle SQL_FIREWALL, indem Sie den 1. Schritt ausführen.

    BEGIN
    DBMS_MACADM.UNAUTHORIZE_SQL_FIREWALL (
        uname => '<USERNAME>',
        manage_dv_admins => 'Y');
    END;
/

Rollen für den Oracle Data Safe-Service in einer nicht autonomen KI-Datenbank erteilen

Um Rollen aus dem Oracle Data Safe-Serviceaccount in einer nicht autonomen AI-Datenbank zu erteilen oder zu entziehen, müssen Sie ein SQL-Berechtigungsskript mit dem Namen datasafe_privileges.sql ausführen. Sie können dieses Skript von Oracle Data Safe in Oracle Cloud Infrastructure herunterladen. Um das Skript auszuführen, müssen Sie als SYS-Benutzer mit der Datenbank verbunden sein.

Sie können das Skript beliebig oft ausführen. Beispiel: Angenommen, Sie müssen anfangs nur das Aktivitätsauditingfeature in Oracle Data Safe verwenden. Sie können das SQL-Berechtigungsskript ausführen, um der Datenbank nur Zugriff auf das Aktivitätsauditing zu erteilen. Später möchten Sie auch das Daten-Discovery-Feature verwenden. Sie können das SQL-Berechtigungsskript erneut auf der Datenbank ausführen, um der Datenbank Zugriff auf die Daten-Discovery zu erteilen.

  1. Wenn Database Vault in Ihrer Zieldatenbank aktiviert ist und Sie die Features "Benutzerbewertung" oder "Sicherheitsbewertung" in Oracle Data Safe verwenden möchten, stellen sich als Benutzer mit der Rolle DV_OWNER eine Verbindung zu Ihrer Datenbank her und erteilen Sie dem Oracle Data Safe-Serviceaccount die Rollen DV_SECANALYST und DV_MONITOR.

  2. Laden Sie das SQL-Berechtigungsskript herunter. Dieses Skript ist in den Assistenten verfügbar, die bei der Registrierung der Zieldatenbank helfen. Sie müssen den Assistenten nicht durcharbeiten und die Zieldatenbank zu diesem Zeitpunkt registrieren. Starten Sie einfach den Assistenten und Sie sehen den Link zum Herunterladen des Skripts auf der ersten Seite. Laden Sie das Skript herunter, und beenden Sie den Assistenten.

    1. Suchen Sie auf der Seite "Überblick" im Oracle Data Safe-Service die Kachel für den Assistenten, die dem Typ der Datenbank entspricht, mit der Sie arbeiten. Klicken Sie auf Start Wizard. Der Assistent zeigt das Formular "Data Safe-Zielinformationen" an.

    2. Klicken Sie auf Berechtigungsskript downloaden, und speichern Sie das Skript datasafe_privileges.sql auf Ihrem Rechner.

    3. Klicken Sie auf Cancel.

  3. Melden Sie sich mit SQL Developer oder SQL*Plus bei der Datenbank als SYS-Benutzer an, und führen Sie dann das SQL-Berechtigungsskript mit der folgenden Anweisung in der Datenbank aus:

    @datasafe_privileges.sql <DATASAFE_ADMIN> <GRANT|REVOKE> <AUDIT_COLLECTION|AUDIT_SETTING|DATA_DISCOVERY|MASKING|ASSESSMENT|SQL_FIREWALL|ALL> [-RDSORACLE][-VERBOSE]

    • <DATASAFE_ADMIN> ist der Name des Oracle Data Safe-Serviceaccounts, den Sie in der Datenbank erstellt haben. Sie müssen die Groß-/Kleinschreibung beachten. Außerdem muss der Name mit dem Accountnamen in der Data-Dictionary-Ansicht dba_users in der Datenbank übereinstimmen.

    • Geben Sie GRANT oder REVOKE an, je nachdem, ob Sie Berechtigungen für den Oracle Data Safe-Serviceaccount hinzufügen oder entfernen möchten.

    • Sie können nur ein Feature pro Befehl angeben, obwohl ALL Berechtigungen für alle Features erteilt oder entzieht.

    • -RDSORACLE ist erforderlich, wenn Sie Amazon RDS für Oracle registrieren. Andernfalls entfernen Sie den Parameter

    • -VERBOSE ist optional.

    Beispiel: Erteilen Sie alle Berechtigungen, und machen Sie alle Oracle Data Safe-Features verfügbar

    @datasafe_privileges.sql <DATASAFE_ADMIN> GRANT ALL -VERBOSE

    Beispiel: Erteilen Sie die erforderlichen Berechtigungen für die Verwendung des Erstellungsfeatures

    @datasafe_privileges.sql <DATASAFE_ADMIN> GRANT MASKING

  4. Wenn Database Vault in Ihrer Datenbank aktiviert ist und Sie das SQL-Firewallfeature in Data Safe verwenden möchten, führen Sie Folgendes als Benutzer mit der Rolle DV_ADMIN oder DV_OWNER aus:

    BEGIN
    DBMS_MACADM.AUTHORIZE_SQL_FIREWALL (
    uname => '<DATASAFE_ADMIN>',
    manage_dv_admins => 'N');
END;
/

  5. Wenn Database Vault in Ihrer Datenbank aktiviert ist und Sie die Verwendung des SQL-Firewallfeatures in Data Safe stoppen möchten, führen Sie Folgendes als Benutzer mit der Rolle DV_ADMIN oder DV_OWNER aus:

    1. Führen Sie Folgendes aus:

      BEGIN
    DBMS_MACADM.UNAUTHORIZE_SQL_FIREWALL (
        uname => '<DATASAFE_ADMIN>',
        manage_dv_admins => 'Y');
    END;
/

    2. Entziehen Sie die SQL Firewall-Berechtigung, indem Sie den dritten Schritt ausführen.