データベースでのOracle Data Safeサービス・アカウントの作成
Oracle Data Safeで使用するすべてのデータベースでは、Oracle Data Safeサービス・アカウントが必要です。デフォルトでは、Autonomous AI DatabaseにはすでにDS$ADMINというアカウントがあります。最初はパスワードの期限が切れた状態でロックされます。Autonomous AI DatabaseをOracle Data Safeに登録すると、Oracle Cloud Infrastructureによってこのアカウントのロックが解除され、パスワードがリセットされます。Autonomous AI Databaseの登録を解除すると、アカウントは再度ロックされます。
非Autonomous AIデータベースでは、独自のData Safeサービス・アカウントを作成する必要があります。データベースに対する最小限の権限で作成します。
データ・マスキング使用時のAutonomous AIデータベースの例外
次のいずれかのアイテムを使用するAutonomous AI Databaseのマスキング・ポリシーを作成する場合は、デフォルト・アカウントDS$ADMINを使用するのではなく、データ・マスキング専用のData Safeサービス・アカウント(DS_MASKINGなど)を個別に作成する必要があります。
- マスキング前スクリプト
- マスキング後スクリプト
- ユーザー定義関数、SQL式または後処理関数を含むマスキング・フォーマット
ユーザーがマスキング前チェックまたはマスキング・ジョブを実行する場合は、データ・マスキング用にこの個別のアカウント名およびパスワードを入力する必要があります。
ノート
ノート:データ・マスキングのアカウントを作成したら、そのアカウントにデータ・マスキング・ロール(DS$DATA_MASKING_ROLE)を付与してください。ターゲット・データベースでのOracle Data Safeサービス・アカウントへのロールの付与を参照してください。
ターゲット・データベースでOracle Data Safeサービス・アカウントを作成するステップ
最小限の権限でOracle Data Safeサービス・アカウントを作成します。
-
ユーザーを作成できるアカウントでデータベースにログインします。
-
最小限の権限でユーザー・アカウントを作成します。例:
CREATE USER DATASAFE_ADMIN identified by password DEFAULT TABLESPACE "DATA" TEMPORARY TABLESPACE "TEMP"; GRANT CONNECT, RESOURCE TO DATASAFE_ADMIN;- DATASAFE_ADMINおよびpasswordを独自の値で置き換えます。
ノート
ノート:パスワードの長さは14文字以上で、大文字、小文字、数字および特殊文字をそれぞれ1つ以上含める必要があります。Guidelines for Securing Passwords in Oracle Database 19c Security GuideおよびOracle AI Database 26ai Security Guideを参照してください。-
デフォルトの表領域として
SYSTEMまたはSYSAUXを使用しないでください。これらの表領域を使用している場合、データをマスキングできません。 -
Oracle Data Safeサービス・アカウントの
SESSIONS_PER_USERが20以上であることを確認します。これはユーザー・プロファイルで定義されます。デフォルトでは、Oracle Data Safeサービス・アカウントにはデフォルトのユーザー・プロファイルが割り当てられます。
-
Oracle Data Safeサービス・アカウントにロールを付与します。ターゲット・データベースでのOracle Data Safeサービス・アカウントへのロールの付与を参照してください。