Uso de Oracle Database Vault con Autonomous Database

Oracle Database Vault implanta potentes controles de seguridad para la base de datos. Estos controles de seguridad únicos restringen el acceso a los datos de la aplicación por parte de usuarios de base de datos con privilegios, de ese modo se reduce el riesgo de amenazas internas y externas y se cumplen los requisitos comunes de conformidad.

Consulte ¿Qué es Oracle Database Vault? para más información.

Usuarios y roles de Oracle Database Vault en Autonomous Database

Oracle Database Vault proporciona potentes controles de seguridad para ayudar a proteger los datos de la aplicación frente a accesos no autorizados, así como para implementar la separación de funciones entre administradores y propietarios de datos para cumplir con los requisitos de privacidad y normativos.

Por defecto, el usuario ADMIN tiene los roles DV_OWNER y DV_ACCTMGR. Si desea configurar usuarios independientes para las cuentas DV_OWNER y DV_ACCTMGR. Consulte Esquemas, roles y cuentas de Oracle Database Vault para obtener más información.

La gestión de usuarios está activada por defecto para el componente APEX cuando Oracle Database Vault está activado. Cuando la gestión de usuarios está activada, los usuarios de APEX que tienen los roles necesarios para CREATE | ALTER | DROP tienen los privilegios necesarios para realizar estas operaciones cuando Database Vault está activado. Para cambiar esto, consulte Desactivación de User Management con Oracle Database Vault en Autonomous Database.

En Autonomous Database con Oracle Database Vault activado, otorgue los siguientes privilegios:

  • Al utilizar Oracle GoldenGate, otorgue al usuario GGADMIN DV_GOLDENGATE_ADMIN y DV_GOLDENGATE_REDO_ACCESS.

  • El usuario ADMIN debe otorgar el privilegio BECOME USER a los usuarios que necesitan utilizar Oracle Data Pump. Para realizar algunas operaciones de Oracle Data Pump, puede que sea necesaria una autorización adicional de Oracle Database Vault. Por ejemplo, para ejecutar una exportación de base de datos completa o para exportar un esquema protegido por dominio se necesita utilizar DBMS_MACADM.AUTHORIZE_DATAPUMP_USER.

    Consulte AUTHORIZE_DATAPUMP_USER Procedure para obtener más información.

  • Para que las API relacionadas con credenciales DBMS_CLOUD funcionen cuando Oracle Database Vault esté activado y el esquema del propietario de las credenciales esté protegido mediante un dominio de Database Vault, debe agregar autorizaciones para el usuario C##CLOUD$SERVICE al dominio de Database Vault.

    Por ejemplo:

    BEGIN
        DBMS_MACADM.ADD_AUTH_TO_REALM(realm_name   => 'PROTECT_ADMIN',
            grantee       => 'C##CLOUD$SERVICE',
            rule_set_name => 'Enabled',
            auth_options  => DBMS_MACUTL.G_REALM_AUTH_PARTICIPANT);
    END;
    /

    Donde PROTECT_ADMIN es el dominio de Oracle Database Vault.

    Consulte ADD_AUTH_TO_REALM Procedure para obtener más información.

Activación de Oracle Database Vault en Autonomous Database

Muestra los pasos para activar Oracle Database Vault en Autonomous Database.

Oracle Database Vault está desactivado por defecto en Autonomous Database. Para configurar y activar Oracle Database Vault en Autonomous Database, realice lo siguiente:

  1. Configure Oracle Database Vault con el siguiente comando:
    EXEC DBMS_CLOUD_MACADM.CONFIGURE_DATABASE_VAULT('adb_dbv_owner', 'adb_dbv_acctmgr');

    Dónde:

    • adb_dbv_owner es el propietario de Oracle Database Vault.
    • adb_dbv_acctmgr es el jefe de cuentas.

    Consulte CONFIGURE_DATABASE_VAULT Procedure para obtener más información.

  2. Activar Oracle Database Vault:
    EXEC DBMS_CLOUD_MACADM.ENABLE_DATABASE_VAULT;

    Consulte ENABLE_DATABASE_VAULT Procedure para obtener más información.

  3. Reinicie la instancia de Autonomous Database.

    Consulte Reinicio de Autonomous Database para obtener más información.

Utilice el siguiente comando para comprobar si Oracle Database Vault está activado o desactivado:

SELECT * FROM DBA_DV_STATUS;

Aparecerá una salida similar a la siguiente:

NAME                 STATUS
-------------------- -----------
DV_CONFIGURE_STATUS  TRUE
DV_ENABLE_STATUS     TRUE

El valor DV_ENABLE_STATUS TRUE indica que Oracle Database Vault está activado.

Nota

Las operaciones de mantenimiento de Autonomous Database, como las copias de seguridad y la aplicación de parches, no se ven afectadas cuando Oracle Database Vault está activado.

Consulte Desactivación de Oracle Database Vault en Autonomous Database para obtener información sobre la desactivación de Oracle Database Vault.

Desactivación de Oracle Database Vault en Autonomous Database

Muestra los pasos para desactivar Oracle Database Vault en Autonomous Database.

Para desactivar Oracle Database Vault en Autonomous Database, realice lo siguiente:

  1. Desactivar Oracle Database Vault.
    EXEC DBMS_CLOUD_MACADM.DISABLE_DATABASE_VAULT;

    Consulte DISABLE_DATABASE_VAULT Procedure para obtener más información.

  2. Reinicie la instancia de Autonomous Database.

    Consulte Reinicio de Autonomous Database para obtener más información.

Utilice el siguiente comando para comprobar si Oracle Database Vault está activado o desactivado:

SELECT * FROM DBA_DV_STATUS;

Aparecerá una salida similar a la siguiente:

NAME                 STATUS
-------------------- -----------
DV_CONFIGURE_STATUS  TRUE
DV_ENABLE_STATUS     FALSE

El valor DV_ENABLE_STATUS FALSE indica que Oracle Database Vault está desactivado.

Desactivar la gestión de usuarios con Oracle Database Vault en Autonomous Database

Muestra cómo no permitir las operaciones relacionadas con la gestión de usuarios para los componentes especificados en Autonomous Database con Oracle Database Vault activado.

Autonomous Database con Oracle Database Vault activado tiene activada la gestión de usuarios, por defecto, para la consola de Oracle APEX. Si desea aplicar una separación más estricta de tareas y no permitir la gestión de usuarios desde esta consola, utilice DBMS_CLOUD_MACADM.DISABLE_USERMGMT_DATABASE_VAULT.

  1. Como usuario al que se le han otorgado roles DV_ACCTMGR y DV_ADMIN, puede desactivar la gestión de usuarios para los componentes especificados.
  2. Para desactivar la gestión de usuarios para un componente especificado, por ejemplo, para el componente APEX, utilice el siguiente comando:
    EXEC DBMS_CLOUD_MACADM.DISABLE_USERMGMT_DATABASE_VAULT('APEX');

Consulte DISABLE_USERMGMT_DATABASE_VAULT Procedure para obtener más información.

Activar la gestión de usuarios con Oracle Database Vault en Autonomous Database

Muestra los pasos para permitir la gestión de usuarios para un componente especificado en Autonomous Database con Oracle Database Vault activado.

Autonomous Database con Oracle Database Vault activado tiene activada la gestión de usuarios, por defecto, para la consola de Oracle APEX. Esto permite la gestión de usuarios para operaciones como CREATE USER, ALTER USER y DROP USER desde el componente especificado en Autonomous Database.

Utilice DBMS_CLOUD_MACADM.ENABLE_USERMGMT_DATABASE_VAULT para permitir que las cuentas de usuario especificadas realicen la gestión de usuarios cuando Oracle Database Vault esté activado. Utilice este procedimiento si la gestión de usuarios está desactivada y desea volver a activarla.

  1. Un usuario con los roles DV_ACCTMGR y DV_ADMIN otorgados puede activar la gestión de usuarios para los componentes especificados.
  2. Para activar la gestión de usuarios para un componente especificado, por ejemplo, para el componente APEX, utilice el siguiente comando:
    EXEC DBMS_CLOUD_MACADM.ENABLE_USERMGMT_DATABASE_VAULT('APEX');

Consulte ENABLE_USERMGMT_DATABASE_VAULT Procedure para obtener más información.