Documentazione dell'infrastruttura Oracle Cloud

Concedere i ruoli all'account di servizio Oracle Data Safe nel database di destinazione

Le funzioni di Oracle Data Safe che è possibile utilizzare con il database di destinazione dipendono dai ruoli concessi all'account del servizio Oracle Data Safe sul database di destinazione. È possibile concedere e revocare i ruoli in base alle esigenze.

I ruoli sono diversi per i database AI autonomi rispetto AI database AI non autonomi. Per i database AI non autonomi, puoi concedere ruoli all'account del servizio Oracle Data Safe prima o dopo la registrazione del database. Per i database AI autonomi, è innanzitutto necessario registrare il database, che sblocca l'account di servizio predefinito di Oracle Data Safe, quindi concedere e revocare i ruoli in base alle esigenze. Per impostazione predefinita, ad alcuni ruoli è già stato concesso l'account del servizio Oracle Data Safe in un Autonomous AI Database.

Ruoli per l'account di servizio Oracle Data Safe

Nota

Nota: concedere solo i ruoli necessari al servizio Oracle Data Safe nei database di destinazione. La modalità di concessione dei ruoli dipende dal tipo di database di destinazione di cui si dispone.

Nella tabella riportata di seguito vengono descritti i ruoli per i database AI non autonomi e i database AI autonomi. Se stai registrando un database AI non autonomo (ad esempio un sistema DB, un database Oracle on-premise o un database Oracle in un'istanza di computazione), puoi concedere i ruoli nella prima colonna. Se si registra un Autonomous AI Database, è possibile concedere i ruoli nella seconda colonna. Per impostazione predefinita, alcuni o la maggior parte dei ruoli vengono concessi per impostazione predefinita, pertanto è preferibile fare riferimento a ogni tipo di registrazione target.

Ruoli per i database AI non autonomi Ruoli per i database AI autonomi Descrizione
ASSESSMENT DS$ASSESSMENT_ROLE Privilegi richiesti per le funzioni Valutazione utente e Valutazione sicurezza
AUDIT_COLLECTION DS$AUDIT_COLLECTION_ROLE Privilegi necessari per accedere agli audit trail per il database di destinazione
DATA_DISCOVERY DS$DATA_DISCOVERY_ROLE Privilegi necessari per la funzione di ricerca automatica dei dati (ricerca di dati riservati nel database di destinazione)
MASKING DS$DATA_MASKING_ROLE Privilegi necessari per la funzione di mascheramento dei dati (mascheramento dei dati riservati nel database di destinazione)
AUDIT_SETTING DS$AUDIT_SETTING_ROLE Privilegi necessari per l'aggiornamento dei criteri di audit del database di destinazione
SQL_FIREWALL DS$SQL_FIREWALL_ROLE Privilegi necessari per la funzione SQL Firewall (raccogliere, monitorare e consentire e bloccare il traffico SQL). Questo è solo per Oracle AI Database 26ai o versioni successive.

Concedere ruoli a Oracle Data Safe Service su un Autonomous AI Database

Per impostazione predefinita, Autonomous AI Database include un account di database creato in modo specifico per Oracle Data Safe denominato DS$ADMIN. I ruoli concessi a questo account determinano le funzioni di Oracle Data Safe che è possibile utilizzare con Autonomous AI Database.

Per Autonomous AI Database, tutti i ruoli sono già concessi per impostazione predefinita, ad eccezione di DS$DATA_MASKING_ROLE e DS$SQL_FIREWALL_ROLE.

Se si crea un utente speciale per il mascheramento dei dati, è necessario specificare tale nome utente quando si concedono e revocano i ruoli.

Nota

Nota: se Database Vault è abilitato in Autonomous AI Database, tenere presente che nella procedura riportata di seguito sono previsti passi specifici da eseguire per far funzionare Oracle Data Safe con Database Vault.

Per concedere o revocare ruoli all'account del servizio Oracle Data Safe in Autonomous AI Database, è possibile eseguire il package PL/SQL DS_TARGET_UTIL nel database. È necessario eseguire questo package come utente amministratore PDB (ADMIN) o come utente che dispone dell'autorizzazione di esecuzione sul package PL/SQL DS_TARGET_UTIL. È possibile concedere o revocare i ruoli con la frequenza necessaria.

  1. Per concedere o revocare un ruolo all'account del servizio Oracle Data Safe, effettuare le operazioni riportate di seguito.

    1. Utilizzando uno strumento come SQL*Plus o SQL Developer, eseguire il login a Autonomous AI Database come utente amministratore PDB (ADMIN) o come utente che dispone dell'autorizzazione di esecuzione sul package PL/SQL DS_TARGET_UTIL.

    2. Per concedere un ruolo, eseguire il comando seguente. <ROLE_NAME> è il nome di un ruolo Oracle Data Safe e deve essere racchiuso tra virgolette. <USERNAME> è il nome dell'account del servizio Oracle Data Safe. Se Database Vault è abilitato nel database e si concede il ruolo DS$DATA_MASKING_ROLE, attendere un errore ORA-20001 e procedere al passo 3.

    Se si concede un ruolo a DS$ADMIN:

    EXECUTE DS_TARGET_UTIL.GRANT_ROLE('<ROLE_NAME>');

    Se si concede un ruolo a un utente creato, includere il nome utente:

    EXECUTE DS_TARGET_UTIL.GRANT_ROLE('<ROLE_NAME>', '<USERNAME>');
    1. Per revocare un ruolo, eseguire il comando seguente. <ROLE_NAME> è il nome di un ruolo Oracle Data Safe e deve essere racchiuso tra virgolette. <USERNAME> è il nome dell'account del servizio Oracle Data Safe.

    Se si revoca un ruolo da DS$ADMIN:

    EXECUTE DS_TARGET_UTIL.REVOKE_ROLE('<ROLE_NAME>');

    Se si revoca un ruolo a un utente creato, includere il nome utente:

    EXECUTE DS_TARGET_UTIL.REVOKE_ROLE('<ROLE_NAME>', '<USERNAME>');

  2. Se Database Vault è abilitato nel database e si desidera utilizzare le funzioni riportate di seguito in Oracle Data Safe, effettuare le operazioni riportate di seguito.

    • Per la valutazione utente o la valutazione della sicurezza: connettersi al database come utente con il ruolo DV_OWNER e concedere il ruolo DV_SECANALYST all'utente DS$ADMIN.

    • Per il mascheramento dei dati: connettersi al database come utente con il ruolo DV_OWNER e autorizzare l'utente ADMIN al realm di gestione dei ruoli e dei privilegi di sistema Oracle. Connettersi al database come utente ADMIN e concedere UNLIMITED TABLESPACE all'utente DS$ADMIN.

    • Per SQL Firewall: se il ruolo è stato concesso come utente amministratore PDB (ADMIN) o come utente con il ruolo DV_ADMIN o DV_OWNER, questo passo non è necessario. In caso contrario, connettersi al database come utente con il ruolo DV_ADMIN o DV_OWNER ed eseguire il comando seguente come utente che dispone del ruolo DV_ADMIN o DV_OWNER:

    BEGIN
    DBMS_MACADM.AUTHORIZE_SQL_FIREWALL (
    uname => '<USERNAME>',
    manage_dv_admins => 'N');
END;
/

  3. Se Database Vault è abilitato nel database e si desidera revocare le funzioni riportate di seguito in Oracle Data Safe, effettuare le operazioni riportate di seguito.

    • Per la valutazione utente o la valutazione della sicurezza: connettersi al database come utente con il ruolo DV_OWNER e revocare il ruolo DV_SECANALYST all'utente DS$ADMIN.

    • Per il mascheramento dei dati: connettersi al database come utente ADMIN e revocare UNLIMITED TABLESPACE all'utente DS$ADMIN. Connettersi al database come utente con il ruolo DV_OWNER e non autorizzare l'utente ADMIN dal Realm di gestione dei ruoli e dei privilegi di sistema Oracle.

    • Per SQL Firewall: connettersi al database come utente con i ruoli DV_ADMIN o DV_OWNER ed eseguire il codice seguente. Successivamente, revocare il ruolo SQL_FIREWALL seguendo il passo 1.

    BEGIN
    DBMS_MACADM.UNAUTHORIZE_SQL_FIREWALL (
        uname => '<USERNAME>',
        manage_dv_admins => 'Y');
    END;
/

Concedere ruoli a Oracle Data Safe Service in un database AI non autonomo

Per concedere o revocare ruoli all'account del servizio Oracle Data Safe in un database AI non autonomo, è necessario eseguire uno script dei privilegi SQL denominato datasafe_privileges.sql. È possibile scaricare questo script da Oracle Data Safe in Oracle Cloud Infrastructure. Per eseguire lo script, è necessario essere connessi al database come utente SYS.

È possibile eseguire lo script tutte le volte che è necessario. Si supponga, ad esempio, che all'inizio sia necessario utilizzare solo la funzione Audit attività in Oracle Data Safe. È possibile eseguire lo script dei privilegi SQL per concedere al database l'accesso solo all'audit attività. Successivamente, si decide di utilizzare anche la funzione Ricerca automatica dati. È possibile eseguire di nuovo lo script dei privilegi SQL nel database per concedere al database l'accesso alla ricerca automatica dei dati.

  1. Se Database Vault è abilitato nel database di destinazione e si desidera utilizzare le funzioni Valutazione utente o Valutazione sicurezza o visualizzare i dati di audit in Oracle Data Safe, connettersi al database come utente con il ruolo DV_OWNER e concedere i ruoli DV_SECANALYST e DV_MONITOR all'account del servizio Oracle Data Safe.

  2. Scaricare lo script dei privilegi SQL. Questo script è disponibile nelle procedure guidate che forniscono assistenza per la registrazione del database di destinazione. Non è necessario utilizzare la procedura guidata e registrare il database di destinazione in questo momento. Basta avviare la procedura guidata e vedrai il link per scaricare lo script nella prima pagina. Scaricare lo script e uscire dalla procedura guidata.

    1. Nella pagina Panoramica del servizio Oracle Data Safe, individuare la casella della procedura guidata corrispondente al tipo di database in uso. Fare clic su Avvia procedura guidata. La procedura guidata visualizza il form Informazioni destinazione Data Safe.

    2. Fare clic su Scarica script privilegio e salvare lo script datasafe_privileges.sql nel computer.

    3. Fare riferimento a Annulla.

  3. Con SQL Developer o SQL*Plus, connettersi al database come utente SYS, quindi eseguire lo script dei privilegi SQL con la seguente istruzione:

    @datasafe_privileges.sql <DATASAFE_ADMIN> <GRANT|REVOKE> <AUDIT_COLLECTION|AUDIT_SETTING|DATA_DISCOVERY|MASKING|ASSESSMENT|SQL_FIREWALL|ALL> [-RDSORACLE][-VERBOSE]

    • <DATASAFE_ADMIN> è il nome dell'account del servizio Oracle Data Safe creato nel database. La distinzione tra maiuscole e minuscole deve corrispondere al nome dell'account nella vista del dizionario dati dba_users nel database.

    • Specificare GRANT o REVOKE a seconda che si desideri aggiungere o rimuovere privilegi dall'account del servizio Oracle Data Safe.

    • È possibile specificare una sola funzione per comando, anche se ALL concede o revoca i privilegi per tutte le funzioni.

    • -RDSORACLE è obbligatorio se si registra Amazon RDS per Oracle, altrimenti rimuovere il parametro

    • -VERBOSE è facoltativo.

    Esempio: concedere tutti i privilegi e rendere disponibili tutte le funzioni di Oracle Data Safe

    @datasafe_privileges.sql <DATASAFE_ADMIN> GRANT ALL -VERBOSE

    Esempio: concedere i privilegi necessari per utilizzare la funzione di creazione.

    @datasafe_privileges.sql <DATASAFE_ADMIN> GRANT MASKING

  4. Se Database Vault è abilitato nel database e si desidera utilizzare la funzione SQL Firewall in Data Safe, eseguire quanto riportato di seguito come utente con il ruolo DV_ADMIN o DV_OWNER.

    BEGIN
    DBMS_MACADM.AUTHORIZE_SQL_FIREWALL (
    uname => '<DATASAFE_ADMIN>',
    manage_dv_admins => 'N');
END;
/

  5. Se Database Vault è abilitato nel database e si desidera interrompere l'utilizzo della funzione SQL Firewall in Data Safe, eseguire le operazioni riportate di seguito come utente con il ruolo DV_ADMIN o DV_OWNER.

    1. Eseguire il seguente codice:

      BEGIN
    DBMS_MACADM.UNAUTHORIZE_SQL_FIREWALL (
        uname => '<DATASAFE_ADMIN>',
        manage_dv_admins => 'Y');
    END;
/

    2. Revocare il privilegio SQL Firewall effettuando il terzo passo.