Documentazione dell'infrastruttura Oracle Cloud

Usa Oracle Database Vault con Autonomous Database

Oracle Database Vault implementa potenti controlli di sicurezza per il tuo database. Questi controlli di sicurezza esclusivi limitano l'accesso ai dati delle applicazioni da parte di utenti di database con privilegi, riducendo il rischio di minacce interne ed esterne e rispondendo a requisiti di conformità comuni.

Per ulteriori informazioni, vedere Informazioni su Oracle Database Vault.

Argomento padre: Sicurezza

Utenti e ruoli di Oracle Database Vault su Autonomous Database

Oracle Database Vault offre potenti controlli di sicurezza per proteggere i dati delle applicazioni da accessi non autorizzati e per implementare la separazione dei compiti tra amministratori e proprietari dei dati in modo da rispettare i requisiti di privacy e normativi.

Per impostazione predefinita, l'utente ADMIN dispone dei ruoli DV_OWNER e DV_ACCTMGR. Se si desidera impostare utenti separati per gli account DV_OWNER e DV_ACCTMGR. Per ulteriori informazioni, vedere Schemi, ruoli e account di Oracle Database Vault.

La gestione degli utenti è abilitata per impostazione predefinita per il componente APEX quando Oracle Database Vault è abilitato. Quando la gestione degli utenti è abilitata, gli utenti APEX che dispongono dei ruoli necessari per gli utenti CREATE | ALTER | DROP dispongono dei privilegi necessari per eseguire queste operazioni quando Database Vault è abilitato. Per modificare questa impostazione, vedere Disabilita la gestione degli utenti con Oracle Database Vault su Autonomous Database.

In Autonomous Database con Oracle Database Vault abilitato, concedere i privilegi riportati di seguito.

  • Quando si utilizza Oracle GoldenGate, concedere l'utente GGADMIN DV_GOLDENGATE_ADMIN e DV_GOLDENGATE_REDO_ACCESS.

  • L'utente ADMIN deve concedere il privilegio BECOME USER agli utenti che devono utilizzare Oracle Data Pump. Per eseguire alcune operazioni di Oracle Data Pump, potrebbe essere necessaria un'ulteriore autorizzazione di Oracle Database Vault. Ad esempio, per eseguire un'esportazione completa del database o per esportare uno schema protetto da realm è necessario utilizzare DBMS_MACADM.AUTHORIZE_DATAPUMP_USER.

    Per ulteriori informazioni, vedere AUTHORIZE_DATAPUMP_USER Procedure.

  • Affinché le API correlate alle credenziali DBMS_CLOUD funzionino quando Oracle Database Vault è abilitato e lo schema del proprietario delle credenziali è protetto utilizzando un realm di Database Vault, è necessario aggiungere le autorizzazioni per l'utente C##CLOUD$SERVICE al realm di Database Vault.

    Ad esempio:

    BEGIN
    DBMS_MACADM.ADD_AUTH_TO_REALM(realm_name   => 'PROTECT_ADMIN',
        grantee       => 'C##CLOUD$SERVICE',
        rule_set_name => 'Enabled',
        auth_options  => DBMS_MACUTL.G_REALM_AUTH_PARTICIPANT);
END;
/

    Dove PROTECT_ADMIN è il realm di Oracle Database Vault.

    Per ulteriori informazioni, vedere ADD_AUTH_TO_REALM Procedure.

Abilita Oracle Database Vault su Autonomous Database

Mostra i passi per abilitare Oracle Database Vault su Autonomous Database.

Oracle Database Vault è disabilitato per impostazione predefinita su Autonomous Database. Per configurare e abilitare Oracle Database Vault su Autonomous Database, effettuare le operazioni riportate di seguito.

  1. Configurare Oracle Database Vault utilizzando il comando seguente:
    EXEC DBMS_CLOUD_MACADM.CONFIGURE_DATABASE_VAULT('adb_dbv_owner', 'adb_dbv_acctmgr');

    Posizione:

    • adb_dbv_owner è il proprietario di Oracle Database Vault.
    • adb_dbv_acctmgr è l'account manager.

    Per ulteriori informazioni, vedere CONFIGURE_DATABASE_VAULT Procedure.

  2. Abilita Oracle Database Vault:
    EXEC DBMS_CLOUD_MACADM.ENABLE_DATABASE_VAULT;

    Per ulteriori informazioni, vedere ENABLE_DATABASE_VAULT Procedure.

  3. Riavviare l'istanza di Autonomous Database.

    Per ulteriori informazioni, vedere Riavvia Autonomous Database.

Utilizzare il comando riportato di seguito per verificare se Oracle Database Vault è abilitato o disabilitato.

SELECT * FROM DBA_DV_STATUS;

Viene visualizzato un output simile al seguente:

NAME                 STATUS
-------------------- -----------
DV_CONFIGURE_STATUS  TRUE
DV_ENABLE_STATUS     TRUE

Il valore DV_ENABLE_STATUS TRUE indica che Oracle Database Vault è abilitato.

Nota

le operazioni di manutenzione di Autonomous Database, come i backup e l'applicazione di patch, non sono interessate quando Oracle Database Vault è abilitato.

Per informazioni sulla disabilitazione di Oracle Database Vault, vedere Disabilita Oracle Database Vault su Autonomous Database.

Disabilita Oracle Database Vault su Autonomous Database

Mostra i passi per disabilitare Oracle Database Vault su Autonomous Database.

Per disabilitare Oracle Database Vault in Autonomous Database, effettuare le operazioni riportate di seguito.

  1. Disabilita Oracle Database Vault.
    EXEC DBMS_CLOUD_MACADM.DISABLE_DATABASE_VAULT;

    Per ulteriori informazioni, vedere DISABLE_DATABASE_VAULT Procedure.

  2. Riavviare l'istanza di Autonomous Database.

    Per ulteriori informazioni, vedere Riavvia Autonomous Database.

Utilizzare il comando riportato di seguito per verificare se Oracle Database Vault è abilitato o disabilitato.

SELECT * FROM DBA_DV_STATUS;

Viene visualizzato un output simile al seguente:

NAME                 STATUS
-------------------- -----------
DV_CONFIGURE_STATUS  TRUE
DV_ENABLE_STATUS     FALSE

Il valore DV_ENABLE_STATUS FALSE indica che Oracle Database Vault è disabilitato.

Disabilita la gestione degli utenti con Oracle Database Vault su Autonomous Database

Mostra come non consentire le operazioni correlate alla gestione degli utenti per i componenti specificati in Autonomous Database con Oracle Database Vault abilitato.

Autonomous Database con Oracle Database Vault abilitato ha la gestione degli utenti, per impostazione predefinita, abilitata per la console Oracle APEX. Se si desidera applicare una separazione dei compiti più rigorosa e impedire la gestione degli utenti da questa console, utilizzare DBMS_CLOUD_MACADM.DISABLE_USERMGMT_DATABASE_VAULT.

  1. Quando un utente ha concesso i ruoli DV_ACCTMGR e DV_ADMIN, è possibile disabilitare la gestione degli utenti per i componenti specificati.
  2. Per disabilitare la gestione degli utenti per un componente specificato, ad esempio per il componente APEX, utilizzare il comando seguente:
    EXEC DBMS_CLOUD_MACADM.DISABLE_USERMGMT_DATABASE_VAULT('APEX');

Per ulteriori informazioni, vedere DISABLE_USERMGMT_DATABASE_VAULT Procedure.

Abilita la gestione degli utenti con Oracle Database Vault su Autonomous Database

Mostra i passi per consentire la gestione degli utenti per un componente specificato in Autonomous Database con Oracle Database Vault abilitato.

Autonomous Database con Oracle Database Vault abilitato ha la gestione degli utenti, per impostazione predefinita, abilitata per la console Oracle APEX. Ciò consente la gestione degli utenti per operazioni quali CREATE USER, ALTER USER e DROP USER dal componente specificato in Autonomous Database.

Utilizzare DBMS_CLOUD_MACADM.ENABLE_USERMGMT_DATABASE_VAULT per consentire agli account utente specificati di eseguire la gestione degli utenti quando Oracle Database Vault è abilitato. Utilizzare questa procedura se la gestione degli utenti è disabilitata e si desidera abilitarla di nuovo.

  1. Un utente a cui sono stati concessi i ruoli DV_ACCTMGR e DV_ADMIN può abilitare la gestione degli utenti per i componenti specificati.
  2. Per abilitare la gestione degli utenti per un componente specificato, ad esempio per il componente APEX, utilizzare il comando seguente:
    EXEC DBMS_CLOUD_MACADM.ENABLE_USERMGMT_DATABASE_VAULT('APEX');

Per ulteriori informazioni, vedere ENABLE_USERMGMT_DATABASE_VAULT Procedure.