Documentazione di Oracle Cloud Infrastructure

Utilizzare Oracle Database Vault con Autonomous Database

Oracle Database Vault implementa potenti controlli di sicurezza per il database. Questi controlli di sicurezza esclusivi limitano l'accesso ai dati delle applicazioni da parte degli utenti con privilegi del database, riducendo il rischio di minacce interne ed esterne e risolvendo i requisiti di conformità comuni.

Consulta Che cos'è Oracle Database Vault? per ulteriori informazioni.

Argomento padre: Sicurezza

Utenti e ruoli di Oracle Database Vault su Autonomous Database

Oracle Database Vault offre potenti controlli di sicurezza per proteggere i dati delle applicazioni da accessi non autorizzati e per implementare la separazione dei compiti tra amministratori e proprietari dei dati in modo da garantire la conformità ai requisiti di privacy e normativi.

Per impostazione predefinita, l'utente ADMIN dispone dei ruoli DV_OWNER e DV_ACCTMGR. Se si desidera impostare utenti separati per gli account DV_OWNER e DV_ACCTMGR. Per ulteriori informazioni, vedere Schemi, ruoli e account di Oracle Database Vault.

Per impostazione predefinita, la gestione degli utenti è abilitata per il componente APEX quando Oracle Database Vault è abilitato. Quando la gestione degli utenti è abilitata, gli utenti APEX che dispongono dei ruoli necessari per gli utenti di CREATE | ALTER | DROP dispongono dei privilegi necessari per eseguire queste operazioni quando Database Vault è abilitato. Per modificare questa impostazione, vedere Disabilita gestione utenti con Oracle Database Vault su Autonomous Database.

In Autonomous Database con Oracle Database Vault abilitato, concedere i privilegi seguenti:

  • Quando si utilizza Oracle GoldenGate, concedere l'utente GGADMIN DV_GOLDENGATE_ADMIN e DV_GOLDENGATE_REDO_ACCESS.

  • L'utente ADMIN deve concedere il privilegio BECOME USER agli utenti che devono utilizzare Oracle Data Pump. Per eseguire alcune operazioni di Oracle Data Pump potrebbe essere necessaria un'autorizzazione aggiuntiva per Oracle Database Vault. Ad esempio, per eseguire un'esportazione completa del database o per esportare uno schema protetto da realm, è necessario utilizzare DBMS_MACADM.AUTHORIZE_DATAPUMP_USER.

    Per ulteriori informazioni, vedere AUTHORIZE_DATAPUMP_USER Procedura.

  • Affinché le interfacce API correlate alle credenziali DBMS_CLOUD funzionino quando Oracle Database Vault è abilitato e lo schema del proprietario delle credenziali è protetto mediante un realm di Database Vault, è necessario aggiungere le autorizzazioni per l'utente C##CLOUD$SERVICE al realm di Database Vault.

    Ad esempio:

    BEGIN
    DBMS_MACADM.ADD_AUTH_TO_REALM(realm_name   => 'PROTECT_ADMIN',
        grantee       => 'C##CLOUD$SERVICE',
        rule_set_name => 'Enabled',
        auth_options  => DBMS_MACUTL.G_REALM_AUTH_PARTICIPANT);
END;
/

    Dove PROTECT_ADMIN è il realm di Oracle Database Vault.

    Per ulteriori informazioni, vedere ADD_AUTH_TO_REALM Procedura.

Abilita Oracle Database Vault su Autonomous Database

Mostra i passi per abilitare Oracle Database Vault su Autonomous Database.

Oracle Database Vault è disabilitato per impostazione predefinita in Autonomous Database. Per configurare e abilitare Oracle Database Vault su Autonomous Database, effettuare le operazioni riportate di seguito.

  1. Configurare Oracle Database Vault utilizzando il seguente comando:
    EXEC DBMS_CLOUD_MACADM.CONFIGURE_DATABASE_VAULT('adb_dbv_owner', 'adb_dbv_acctmgr');

    Dove:

    • adb_dbv_owner è il proprietario di Oracle Database Vault.
    • adb_dbv_acctmgr è il manager account.

    Per ulteriori informazioni, vedere CONFIGURE_DATABASE_VAULT Procedura.

  2. Abilita Oracle Database Vault:
    EXEC DBMS_CLOUD_MACADM.ENABLE_DATABASE_VAULT;

    Per ulteriori informazioni, vedere ENABLE_DATABASE_VAULT Procedura.

  3. Avviare l'istanza di Autonomous Database.

    Per ulteriori informazioni, vedere Riavvia Autonomous Database.

Utilizzare il seguente comando per verificare se Oracle Database Vault è abilitato o disabilitato:

SELECT * FROM DBA_DV_STATUS;

Viene visualizzato un output simile al seguente:

NAME                 STATUS
-------------------- -----------
DV_CONFIGURE_STATUS  TRUE
DV_ENABLE_STATUS     TRUE

Il valore DV_ENABLE_STATUS TRUE indica che Oracle Database Vault è abilitato.

Nota

Le operazioni di manutenzione di Autonomous Database, ad esempio i backup e l'applicazione di patch, non sono interessate quando Oracle Database Vault è abilitato.

Vedere Disabilitare Oracle Database Vault su Autonomous Database per informazioni sulla disabilitazione di Oracle Database Vault.

Disabilita Oracle Database Vault su Autonomous Database

Mostra i passi per disabilitare Oracle Database Vault su Autonomous Database.

Per disabilitare Oracle Database Vault in Autonomous Database, effettuare le operazioni riportate di seguito.

  1. Disabilita Oracle Database Vault.
    EXEC DBMS_CLOUD_MACADM.DISABLE_DATABASE_VAULT;

    Per ulteriori informazioni, vedere DISABLE_DATABASE_VAULT Procedura.

  2. Avviare l'istanza di Autonomous Database.

    Per ulteriori informazioni, vedere Riavvia Autonomous Database.

Utilizzare il seguente comando per verificare se Oracle Database Vault è abilitato o disabilitato:

SELECT * FROM DBA_DV_STATUS;

Viene visualizzato un output simile al seguente:

NAME                 STATUS
-------------------- -----------
DV_CONFIGURE_STATUS  TRUE
DV_ENABLE_STATUS     FALSE

Il valore DV_ENABLE_STATUS FALSE indica che Oracle Database Vault è disabilitato.

Disabilita gestione utenti con Oracle Database Vault su Autonomous Database

Mostra come non consentire le operazioni correlate alla gestione degli utenti per i componenti specificati in Autonomous Database con Oracle Database Vault abilitato.

Per impostazione predefinita, la gestione degli utenti di Autonomous Database con Oracle Database Vault è abilitata per la console Oracle APEX. Se si desidera applicare una separazione dei compiti più rigorosa e non consentire la gestione degli utenti da questa console, utilizzare DBMS_CLOUD_MACADM.DISABLE_USERMGMT_DATABASE_VAULT.

  1. In qualità di utente a cui sono stati concessi i ruoli DV_ACCTMGR e DV_ADMIN, è possibile disabilitare la gestione degli utenti per i componenti specificati.
  2. Per disabilitare la gestione degli utenti per un componente specificato, ad esempio per il componente APEX, utilizzare il comando seguente:
    EXEC DBMS_CLOUD_MACADM.DISABLE_USERMGMT_DATABASE_VAULT('APEX');

Per ulteriori informazioni, vedere DISABLE_USERMGMT_DATABASE_VAULT Procedura.

Abilita la gestione degli utenti con Oracle Database Vault su Autonomous Database

Mostra i passi per consentire la gestione degli utenti per un componente specificato in Autonomous Database con Oracle Database Vault abilitato.

Per impostazione predefinita, la gestione degli utenti di Autonomous Database con Oracle Database Vault è abilitata per la console Oracle APEX. Ciò consente la gestione degli utenti per operazioni quali CREATE USER, ALTER USER e DROP USER dal componente specificato in Autonomous Database.

Utilizzare DBMS_CLOUD_MACADM.ENABLE_USERMGMT_DATABASE_VAULT per consentire agli account utente specificati di eseguire la gestione degli utenti quando Oracle Database Vault è abilitato. Seguire questa procedura se la gestione utenti è disabilitata ed è necessario attivarla di nuovo.

  1. Un utente a cui sono stati concessi i ruoli DV_ACCTMGR e DV_ADMIN può abilitare la gestione degli utenti per i componenti specificati.
  2. Per abilitare la gestione degli utenti per un componente specificato, ad esempio per il componente APEX, utilizzare il comando seguente:
    EXEC DBMS_CLOUD_MACADM.ENABLE_USERMGMT_DATABASE_VAULT('APEX');

Per ulteriori informazioni, vedere ENABLE_USERMGMT_DATABASE_VAULT Procedura.