Documentation Oracle Cloud Infrastructure

Octroi de rôles au compte de service Oracle Data Safe sur la base de données cible

Les fonctionnalités Oracle Data Safe que vous pouvez utiliser avec la base de données cible dépendent des rôles accordés au compte du service Oracle Data Safe sur cette base de données cible. Vous pouvez octroyer et révoquer des rôles si nécessaire.

Les rôles sont différents pour les bases de données d'IA autonomes par rapport aux bases de données d'IA non autonomes. Pour les bases de données AI non autonomes, vous pouvez accorder des rôles au compte de service Oracle Data Safe avant ou après l'inscription de la base de données. Pour les bases de données Autonomous AI, vous devez d'abord inscrire votre base de données, ce qui déverrouille le compte de service prédéfini Oracle Data Safe, puis accorder et révoquer des rôles si nécessaire. Par défaut, certains rôles sont déjà accordés au compte de service Oracle Data Safe sur une base de données Autonomous AI.

Rôles du compte de service Oracle Data Safe

Remarque

Remarque : accordez uniquement les rôles nécessaires au service Oracle Data Safe sur les bases de données cible. Le mode d'octroi des rôles dépend du type de bases de données cible dont vous disposez.

Le tableau suivant décrit les rôles des bases de données AI non autonomes et des bases de données AI autonomes. Si vous inscrivez une base de données AI non autonome (par exemple, un système de base de données, une base de données Oracle sur site ou une base de données Oracle sur une instance de calcul), vous pouvez accorder les rôles dans la première colonne. Si vous inscrivez une base de données Autonomous AI, vous pouvez accorder les rôles dans la deuxième colonne. Par défaut, quelques rôles, ou la plupart, sont accordés. Il est donc préférable de se reporter à chaque type d'inscription de cible.

Rôles pour les bases de données AI non autonomes Rôles pour les bases de données autonomes AI Description
ASSESSMENT DS$ASSESSMENT_ROLE Privilèges requis pour les fonctionnalités Evaluation des utilisateurs et Evaluation de la sécurité
AUDIT_COLLECTION DS$AUDIT_COLLECTION_ROLE Privilèges requis pour accéder aux traces d'audit de la base de données cible
DATA_DISCOVERY DS$DATA_DISCOVERY_ROLE Privilèges requis pour la fonctionnalité Repérage de données (repérage des données confidentielles dans la base de données cible)
MASKING DS$DATA_MASKING_ROLE Privilèges requis pour la fonctionnalité Masquage des données (masquage des données confidentielles dans la base de données cible)
AUDIT_SETTING DS$AUDIT_SETTING_ROLE Privilèges requis pour mettre à jour les stratégies d'audit de la base de données cible
SQL_FIREWALL DS$SQL_FIREWALL_ROLE Privilèges requis pour la fonctionnalité de pare-feu SQL (collecter, surveiller, autoriser et bloquer le trafic SQL). Cela concerne uniquement Oracle AI Database 26ai ou version ultérieure.

Octroi de rôles au service Oracle Data Safe sur une base de données Autonomous AI

Par défaut, Autonomous AI Database est fourni avec un compte de base de données créé spécifiquement pour Oracle Data Safe nommé DS$ADMIN. Les rôles que vous accordez au compte déterminent les fonctionnalités Oracle Data Safe que vous pouvez utiliser avec la base de données Autonomous AI.

Pour la base de données Autonomous AI, tous les rôles sont déjà accordés par défaut, à l'exception de DS$DATA_MASKING_ROLE et DS$SQL_FIREWALL_ROLE.

Si vous créez un utilisateur spécial pour le masquage des données, vous devez indiquer ce nom d'utilisateur lorsque vous octroyez et révoquez des rôles.

Remarque

Remarque : si Database Vault est activé sur votre base de données Autonomous AI, sachez qu'il existe des étapes spécifiques à suivre dans la procédure ci-dessous pour qu'Oracle Data Safe fonctionne avec Database Vault.

Pour accorder ou révoquer des rôles au compte de service Oracle Data Safe sur la base de données Autonomous AI, vous pouvez exécuter le package PL/SQL DS_TARGET_UTIL sur la base de données. Vous devez exécuter ce package en tant qu'administrateur de base de données pluggable (ADMIN) ou en tant qu'utilisateur disposant de droits d'exécution sur le package PL/SQL DS_TARGET_UTIL. Vous pouvez octroyer ou révoquer des rôles aussi souvent que nécessaire.

  1. Afin d'accorder ou de révoquer un rôle pour le compte de service Oracle Data Safe, procédez comme suit :

    1. A l'aide d'un outil tel que SQL*Plus ou SQL Developer, connectez-vous à votre base de données Autonomous AI en tant qu'administrateur de base de données pluggable (ADMIN) ou en tant qu'utilisateur disposant de droits d'exécution sur le package PL/SQL DS_TARGET_UTIL.

    2. Pour accorder un rôle, exécutez la commande suivante. <ROLE_NAME> est le nom d'un rôle Oracle Data Safe et doit être entre guillemets. <USERNAME> est le nom du compte de service Oracle Data Safe. Si Database Vault est activé sur votre base, si vous accordez le rôle DS$DATA_MASKING_ROLE, attendez une erreur ORA-20001 et passez à l'étape 3.

    Si vous octroyez un rôle à DS$ADMIN :

    EXECUTE DS_TARGET_UTIL.GRANT_ROLE('<ROLE_NAME>');

    Si vous octroyez un rôle à un utilisateur que vous avez créé, incluez le nom utilisateur suivant :

    EXECUTE DS_TARGET_UTIL.GRANT_ROLE('<ROLE_NAME>', '<USERNAME>');
    1. Pour révoquer un rôle, exécutez la commande suivante. <ROLE_NAME> est le nom d'un rôle Oracle Data Safe et doit être entre guillemets. <USERNAME> est le nom du compte de service Oracle Data Safe.

    Si vous révoquez un rôle de DS$ADMIN :

    EXECUTE DS_TARGET_UTIL.REVOKE_ROLE('<ROLE_NAME>');

    Si vous révoquez un rôle pour un utilisateur que vous avez créé, incluez le nom utilisateur suivant :

    EXECUTE DS_TARGET_UTIL.REVOKE_ROLE('<ROLE_NAME>', '<USERNAME>');

  2. Si Database Vault est activé sur votre base de données et que vous souhaitez utiliser les fonctionnalités suivantes dans Oracle Data Safe, procédez comme suit :

    • Pour l'évaluation des utilisateurs ou l'évaluation de la sécurité : connectez-vous à votre base de données comme utilisateur disposant du rôle DV_OWNER et accordez le rôle DV_SECANALYST à l'utilisateur DS$ADMIN.

    • Pour le masquage des données : connectez-vous à la base de données en tant qu'utilisateur disposant du rôle DV_OWNER et accordez à l'utilisateur ADMIN les droits d'accès accordés au domaine de gestion des rôles et des rôles système Oracle. Connectez-vous à la base de données en tant qu'utilisateur ADMIN et accordez UNLIMITED TABLESPACE à l'utilisateur DS$ADMIN.

    • Pour le pare-feu SQL : si vous avez accordé le rôle en tant qu'administrateur de base de données pluggable (ADMIN) ou en tant qu'utilisateur doté du rôle DV_ADMIN ou DV_OWNER, cette étape n'est pas nécessaire. Toutefois, si vous ne l'avez pas fait, connectez-vous à la base de données en tant qu'utilisateur doté du rôle DV_ADMIN ou DV_OWNER et exécutez la commande suivante en tant qu'utilisateur doté du rôle DV_ADMIN ou DV_OWNER :

    BEGIN
    DBMS_MACADM.AUTHORIZE_SQL_FIREWALL (
    uname => '<USERNAME>',
    manage_dv_admins => 'N');
END;
/

  3. Si Database Vault est activé sur votre base de données et que vous souhaitez révoquer les fonctionnalités suivantes dans Oracle Data Safe, procédez comme suit :

    • Pour l'évaluation des utilisateurs ou la sécurité : connectez-vous à la base de données en tant qu'utilisateur disposant du rôle DV_OWNER et révoquez le rôle DV_SECANALYST de l'utilisateur DS$ADMIN.

    • Pour le masquage des données : connectez-vous à la base de données en tant qu'utilisateur ADMIN et révoquez UNLIMITED TABLESPACE pour l'utilisateur DS$ADMIN. Connectez-vous à la base de données en tant qu'utilisateur disposant du rôle DV_OWNER et annulez l'autorisation accordée à l'utilisateur ADMIN pour le domaine de gestion des privilèges système et des rôles Oracle.

    • Pour le pare-feu SQL : connectez-vous à la base de données en tant qu'utilisateur avec les rôles DV_ADMIN ou DV_OWNER et exécutez le code suivant. Ensuite, révoquez le rôle SQL_FIREWALL en suivant l'étape 1.

    BEGIN
    DBMS_MACADM.UNAUTHORIZE_SQL_FIREWALL (
        uname => '<USERNAME>',
        manage_dv_admins => 'Y');
    END;
/

Octroi de rôles au service Oracle Data Safe sur une base de données AI non autonome

Afin d'accorder ou de révoquer des rôles pour le compte du service Oracle Data Safe sur une base de données AI non autonome, vous devez exécuter un script sur les privilèges SQL appelé datasafe_privileges.sql. Vous pouvez télécharger ce script à partir d'Oracle Data Safe dans Oracle Cloud Infrastructure. Pour exécuter le script, vous devez être connecté à la base de données en tant qu'utilisateur SYS.

Vous pouvez exécuter le script autant de fois que nécessaire. Par exemple, supposons dans un premier temps que vous avez uniquement besoin de la fonctionnalité Audit d'activité dans Oracle Data Safe. Vous pouvez exécuter le script de privilèges SQL pour accorder à la base de données l'accès à la fonctionnalité Audit d'activité uniquement. Vous décidez plus tard que vous souhaitez également utiliser la fonctionnalité Repérage de données. Vous pouvez réexécuter le script de privilèges SQL sur la base de données afin d'accorder à cette dernière l'accès à la fonctionnalité Repérage de données.

  1. Si Database Vault est activé sur cette base et que vous souhaitez utiliser les fonctionnalités Evaluation des utilisateurs ou Evaluation de sécurité, ou visualiser les données d'audit dans Oracle Data Safe, connectez- vous à cette base en tant qu'utilisateur disposant du rôle DV_OWNER et accordez les rôles DV_SECANALYST et DV_MONITOR au compte de service Oracle Data Safe.

  2. Téléchargez le script de privilèges SQL. Ce script est disponible dans les assistants qui aident à l'inscription de la base de données cible. Vous n'avez pas besoin de passer par l'assistant et d'enregistrer votre base de données cible pour le moment. Il suffit de démarrer l'assistant et vous verrez le lien pour télécharger le script sur la première page. Téléchargez le script et quittez l'assistant.

    1. Dans la page Overview du service Oracle Data Safe, recherchez la mosaïque de l'assistant correspondant au type de base de données que vous utilisez. Cliquez sur Démarrer l'assistant. L'assistant affiche le formulaire Informations sur la cible Data Safe.

    2. Cliquez sur Télécharger le questionnaire de privilèges et enregistrez le questionnaire datasafe_privileges.sql sur votre ordinateur.

    3. Cliquez sur Annuler.

  3. Avec SQL Developer ou SQL*Plus, connectez-vous à la base de données en tant qu'utilisateur SYS, puis exécutez le script de privilèges SQL avec l'instruction suivante :

    @datasafe_privileges.sql <DATASAFE_ADMIN> <GRANT|REVOKE> <AUDIT_COLLECTION|AUDIT_SETTING|DATA_DISCOVERY|MASKING|ASSESSMENT|SQL_FIREWALL|ALL> [-RDSORACLE][-VERBOSE]

    • <DATASAFE_ADMIN> représente le nom du compte du service Oracle Data Safe créé sur la base de données. Ce nom est sensible à la casse et doit correspondre au nom de compte dans la vue du dictionnaire de données dba_users de votre base de données.

    • Indiquez GRANT ou REVOKE selon que vous voulez ajouter ou supprimer des privilèges dans le compte de service Oracle Data Safe.

    • Vous ne pouvez indiquer qu'une seule fonctionnalité par commande, bien que ALL accorde ou révoque des privilèges pour toutes les fonctionnalités.

    • -RDSORACLE est obligatoire si vous inscrivez Amazon RDS pour Oracle, sinon enlevez le paramètre

    • -VERBOSE est facultatif.

    Exemple : accordez tous les privilèges et rendez toutes les fonctionnalités d'Oracle Data Safe disponibles

    @datasafe_privileges.sql <DATASAFE_ADMIN> GRANT ALL -VERBOSE

    Exemple : Accordez les privilèges requis pour utiliser la fonctionnalité Making.

    @datasafe_privileges.sql <DATASAFE_ADMIN> GRANT MASKING

  4. Si Database Vault est activé sur la base de données et que vous voulez utiliser la fonctionnalité de pare-feu SQL dans Data Safe, exécutez la commande suivante en tant qu'utilisateur doté du rôle DV_ADMIN ou DV_OWNER :

    BEGIN
    DBMS_MACADM.AUTHORIZE_SQL_FIREWALL (
    uname => '<DATASAFE_ADMIN>',
    manage_dv_admins => 'N');
END;
/

  5. Si Database Vault est activé sur la base de données et que vous voulez arrêter d'utiliser la fonctionnalité de pare-feu SQL dans Data Safe, procédez comme suit en tant qu'utilisateur doté du rôle DV_ADMIN ou DV_OWNER :

    1. Exécutez la commande suivante :

      BEGIN
    DBMS_MACADM.UNAUTHORIZE_SQL_FIREWALL (
        uname => '<DATASAFE_ADMIN>',
        manage_dv_admins => 'Y');
    END;
/

    2. Révoquez le privilège SQL Firewall en suivant la troisième étape.