Oracle Cloud Infrastructureドキュメント

Autonomous AI DatabaseでのOracle AI Database Vaultの使用

Oracle AI Database Vaultは、データベースに強力なセキュリティ制御を実装しています。これらのユニークなセキュリティ制御により、特権データベース・ユーザーによるアプリケーション・データへのアクセスを制限することで、内部および外部の脅威のリスクを減らし、一般的なコンプライアンス要件に対応できます。

詳細は、「Oracle AI Database Vaultとは」を参照してください。

Autonomous AI Database上のOracle AI Database Vaultユーザーおよびロール

Oracle AI Database Vaultは、アプリケーション・データを不正アクセスから保護し、プライバシおよび規制の要件に準拠するために管理者とデータ所有者間の職務分離を実装する上で役に立つの強力なセキュリティ制御を提供します。

デフォルトでは、ADMINユーザーにはDV_OWNERおよびDV_ACCTMGRロールが含まれます。DV_OWNERアカウントとDV_ACCTMGRアカウントに別々のユーザーを設定する場合は、詳細は、Oracle AI Database Vaultスキーマ、ロールおよびアカウントを参照してください。

Oracle AI Database Vaultが有効な場合、APEXコンポーネントに対してユーザー管理はデフォルトで有効になります。ユーザー管理が有効な場合、ユーザーをCREATEに必要なロールを持つAPEXユーザーは ALTER DROPユーザーは、Database Vaultが有効なときにこれらの操作を実行するために必要な権限を持ちます。これを変更するには、Autonomous AI Database上のOracle AI Database Vaultによるユーザー管理の無効化を参照してください。

Oracle AI Database Vaultが有効になっているAutonomous AI Databaseで、次の権限を付与します:

  • Oracle GoldenGateを使用する場合は、GGADMINユーザーにDV_GOLDENGATE_ADMINおよびDV_GOLDENGATE_REDO_ACCESSを付与します。

  • ADMINユーザーは、Oracle Data Pumpを使用する必要があるユーザーにBECOME USER権限を付与する必要がある。一部のOracle Data Pump操作を実行するには、追加のOracle AI Database Vault認可が必要な場合があります。たとえば、データベース全体のエクスポートを実行したり、レルム保護スキーマをエクスポートするには、DBMS_MACADM.AUTHORIZE_DATAPUMP_USERを使用します。

    詳細は、「AUTHORIZE_DATAPUMP_USERプロシージャ」を参照してください。

  • Oracle AI Database Vaultが有効で、資格証明所有者のスキーマがDatabase Vaultレルムを使用して保護されている場合にDBMS_CLOUD資格証明関連APIが機能するには、C##CLOUD$SERVICEユーザーの認可をDatabase Vaultレルムに追加する必要があります。

    たとえば:

    BEGIN
    DBMS_MACADM.ADD_AUTH_TO_REALM(realm_name   => 'PROTECT_ADMIN',
        grantee       => 'C##CLOUD$SERVICE',
        rule_set_name => 'Enabled',
        auth_options  => DBMS_MACUTL.G_REALM_AUTH_PARTICIPANT);
END;
/

    ここで、PROTECT_ADMINはOracle AI Database Vaultレルムです。

    詳細は、ADD_AUTH_TO_REALMプロシージャを参照してください。

Autonomous AI DatabaseでのOracle AI Database Vaultの有効化

Autonomous AI DatabaseでOracle AI Database Vaultを有効にするステップを示します。

Autonomous AI Databaseでは、Oracle AI Database Vaultはデフォルトで無効になっています。Autonomous AI DatabaseでOracle AI Database Vaultを構成および有効化するには、次を実行します:

  1. 次のコマンドを使用して、Oracle AI Database Vaultを構成します:

    EXEC DBMS_CLOUD_MACADM.CONFIGURE_DATABASE_VAULT('*adb_dbv_owner*', '*adb_dbv_acctmgr*');

    説明:

    • adb_dbv_ownerは、Oracle AI Database Vaultの所有者です。

    • adb_dbv_acctmgrは、アカウント・マネージャです。

    詳細は、「CONFIGURE_DATABASE_VAULTプロシージャ」を参照してください。

  2. Oracle AI Database Vaultの有効化:

    EXEC DBMS_CLOUD_MACADM.ENABLE_DATABASE_VAULT;

    詳細は、「ENABLE_DATABASE_VAULTプロシージャ」を参照してください。

  3. Autonomous AI Databaseインスタンスを再起動します。従来の再起動またはオンラインの再起動を実行できます。

    詳細は、「Autonomous AI Databaseの再起動」を参照してください。

Oracle AI Database Vaultが有効か無効かを確認するには、次のコマンドを使用します:

SELECT * FROM DBA_DV_STATUS;

次のような出力が表示されます。

NAME                 STATUS
-------------------- -----------
DV_CONFIGURE_STATUS  TRUE
DV_ENABLE_STATUS     TRUE

DV_ENABLE_STATUS値がTRUEの場合、Oracle AI Database Vaultが有効であることを示します。

ノート

ノート: Oracle AI Database Vaultが有効な場合、バックアップやパッチ適用などのAutonomous AI Databaseのメンテナンス操作は影響を受けません。

Oracle AI Database Vaultの無効化の詳細は、Autonomous AI DatabaseでのOracle AI Database Vaultの無効化を参照してください。

Autonomous AI DatabaseでのOracle AI Database Vaultの無効化

Autonomous AI DatabaseでOracle AI Database Vaultを無効にするステップを示しています。

Autonomous AI DatabaseでOracle AI Database Vaultを無効にするには、次の手順を実行します。

  1. Oracle AI Database Vaultを無効にします。 
    EXEC DBMS_CLOUD_MACADM.DISABLE_DATABASE_VAULT;

    詳細は、「DISABLE_DATABASE_VAULTプロシージャ」を参照してください。

  2. Autonomous AI Databaseインスタンスを再起動します。従来の再起動またはオンラインの再起動を実行できます。

    詳細は、「Autonomous AI Databaseの再起動」を参照してください。

Oracle AI Database Vaultが有効か無効かを確認するには、次のコマンドを使用します:

SELECT * FROM DBA_DV_STATUS;

次のような出力が表示されます。

NAME                 STATUS
-------------------- -----------
DV_CONFIGURE_STATUS  TRUE
DV_ENABLE_STATUS     FALSE

DV_ENABLE_STATUSFALSEは、Oracle AI Database Vaultが無効であることを示します。

Autonomous AI Database上のOracle AI Database Vaultによるユーザー管理の無効化

Oracle AI Database Vaultが有効なAutonomous AI Databaseで、指定したコンポーネントに対してユーザー管理関連の操作を許可しない方法を示します。

Oracle AI Database Vaultが有効になっているAutonomous AI Databaseでは、Oracle APEXコンソールのユーザー管理がデフォルトで有効になっています。より厳密な職務分離を強制し、このコンソールからのユーザー管理を禁止する場合は、DBMS_CLOUD_MACADM.DISABLE_USERMGMT_DATABASE_VAULTを使用します。

  1. DV_ACCTMGRおよびDV_ADMINロールを付与されているユーザーとして、指定したコンポーネントのユーザー管理を無効にできます。

  2. APEXコンポーネントなど、指定したコンポーネントのユーザー管理を無効にするには、次のコマンドを使用します:

EXEC DBMS_CLOUD_MACADM.DISABLE_USERMGMT_DATABASE_VAULT('APEX');

詳細は、「DISABLE_USERMGMT_DATABASE_VAULTプロシージャ」を参照してください。

Autonomous AI Database上のOracle AI Database Vaultによるユーザー管理の有効化

Oracle AI Database Vaultが有効なAutonomous AI Databaseで、指定したコンポーネントのユーザー管理を許可するステップを示します。

Oracle AI Database Vaultが有効になっているAutonomous AI Databaseでは、Oracle APEXコンソールのユーザー管理がデフォルトで有効になっています。これにより、Autonomous AI Database内で指定されたコンポーネントからCREATE USERALTER USERおよびDROP USERなどの操作をユーザーが管理できます

Oracle AI Database Vaultが有効な場合に、指定したユーザー・アカウントでユーザー管理を実行できるようにするには、DBMS_CLOUD_MACADM.ENABLE_USERMGMT_DATABASE_VAULTを使用します。このプロシージャは、ユーザー管理が無効になっており、再度有効にする場合に使用します。

  1. DV_ACCTMGRおよびDV_ADMINロールを付与されているユーザーは、指定したコンポーネントのユーザー管理を有効にできます。

  2. APEXコンポーネントなど、指定したコンポーネントのユーザー管理を有効にするには、次のコマンドを使用します:

    EXEC DBMS_CLOUD_MACADM.ENABLE_USERMGMT_DATABASE_VAULT('APEX');

詳細は、「ENABLE_USERMGMT_DATABASE_VAULTプロシージャ」を参照してください。