Documentação do Oracle Cloud Infrastructure

Usar Oracle Database Vault com Autonomous Database

O Oracle Database Vault implementa controles de segurança avançados para seu banco de dados. Esses controles de segurança exclusivos restringem o acesso a dados de aplicativos por usuários privilegiados do banco de dados, reduzindo o risco de ameaças internas e externas e atendendo aos requisitos comuns de conformidade.

Consulte O que é o Oracle Database Vault? para mais informações.

Tópico principal: Segurança

Usuários e Atribuições do Oracle Database Vault no Autonomous Database

O Oracle Database Vault fornece controles de segurança avançados para ajudar a proteger os dados dos aplicativos contra acesso não autorizado e implementar a separação de tarefas entre administradores e proprietários de dados para cumprir os requisitos regulatórios e de privacidade.

Por padrão, o usuário ADMIN tem as atribuições DV_OWNER e DV_ACCTMGR. Se quiser configurar usuários separados para contas DV_OWNER e DV_ACCTMGR. Consulte Esquemas, Atribuições e Contas do Oracle Database Vault para obter mais informações.

Por padrão, o gerenciamento de usuários é ativado para o componente APEX quando o Oracle Database Vault é ativado. Quando o gerenciamento de usuários está ativado, os usuários do APEX que têm as atribuições necessárias para CREATE | ALTER | DROP têm os privilégios necessários para executar essas operações quando o Database Vault está ativado. Para alterar isso, consulte Desativar o Gerenciamento de Usuários com o Oracle Database Vault no Autonomous Database.

No Autonomous Database com o Oracle Database Vault ativado, conceda os seguintes privilégios:

  • Ao usar o Oracle GoldenGate, conceda ao usuário GGADMIN DV_GOLDENGATE_ADMIN e DV_GOLDENGATE_REDO_ACCESS.

  • O usuário ADMIN deve conceder o privilégio BECOME USER aos usuários que precisam usar o Oracle Data Pump. Para executar algumas operações do Oracle Data Pump, pode ser necessária uma autorização adicional do Oracle Database Vault. Por exemplo, para executar uma exportação completa do banco de dados ou exportar um esquema protegido por realm, é necessário usar DBMS_MACADM.AUTHORIZE_DATAPUMP_USER.

    Consulte AUTHORIZE_DATAPUMP_USER Procedures para obter mais informações.

  • Para que as APIs relacionadas à credencial DBMS_CLOUD funcionem quando o Oracle Database Vault estiver ativado e o esquema do proprietário da credencial estiver protegido usando um realm do Database Vault, você deverá adicionar autorizações para o usuário C##CLOUD$SERVICE ao realm do Database Vault.

    Por exemplo:

    BEGIN
    DBMS_MACADM.ADD_AUTH_TO_REALM(realm_name   => 'PROTECT_ADMIN',
        grantee       => 'C##CLOUD$SERVICE',
        rule_set_name => 'Enabled',
        auth_options  => DBMS_MACUTL.G_REALM_AUTH_PARTICIPANT);
END;
/

    Em que PROTECT_ADMIN é o realm do Oracle Database Vault.

    Consulte ADD_AUTH_TO_REALM Procedures para obter mais informações.

Ativar o Oracle Database Vault no Autonomous Database

Mostra as etapas para ativar o Oracle Database Vault no Autonomous Database.

O Oracle Database Vault é desativado por padrão no Autonomous Database. Para configurar e ativar o Oracle Database Vault no Autonomous Database, faça o seguinte:

  1. Configure o Oracle Database Vault usando o seguinte comando:
    EXEC DBMS_CLOUD_MACADM.CONFIGURE_DATABASE_VAULT('adb_dbv_owner', 'adb_dbv_acctmgr');

    Onde:

    • adb_dbv_owner é o proprietário do Oracle Database Vault.
    • adb_dbv_acctmgr é o gerente da conta.

    Consulte CONFIGURE_DATABASE_VAULT Procedures para obter mais informações.

  2. Ativar Oracle Database Vault:
    EXEC DBMS_CLOUD_MACADM.ENABLE_DATABASE_VAULT;

    Consulte ENABLE_DATABASE_VAULT Procedures para obter mais informações.

  3. Reinicie a instância do Autonomous Database.

    Consulte Reiniciar o Autonomous Database para obter mais informações.

Use o seguinte comando para verificar se o serviço Oracle Database Vault está ativado ou desativado:

SELECT * FROM DBA_DV_STATUS;

Será exibido um resultado semelhante ao seguinte:

NAME                 STATUS
-------------------- -----------
DV_CONFIGURE_STATUS  TRUE
DV_ENABLE_STATUS     TRUE

O valor TRUE do DV_ENABLE_STATUS indica que o Oracle Database Vault está ativado.

Observação

As operações de manutenção do Autonomous Database, como backups e aplicação de patches, não são afetadas quando o Oracle Database Vault está ativado.

Consulte Desativar o Oracle Database Vault no Autonomous Database para obter informações sobre como desativar o Oracle Database Vault.

Desativar o Oracle Database Vault no Autonomous Database

Mostra as etapas para desativar o Oracle Database Vault no Autonomous Database.

Para desativar o Oracle Database Vault no Autonomous Database, faça o seguinte:

  1. Desativar Oracle Database Vault.
    EXEC DBMS_CLOUD_MACADM.DISABLE_DATABASE_VAULT;

    Consulte DISABLE_DATABASE_VAULT Procedures para obter mais informações.

  2. Reinicie a instância do Autonomous Database.

    Consulte Reiniciar o Autonomous Database para obter mais informações.

Use o seguinte comando para verificar se o serviço Oracle Database Vault está ativado ou desativado:

SELECT * FROM DBA_DV_STATUS;

Será exibido um resultado semelhante ao seguinte:

NAME                 STATUS
-------------------- -----------
DV_CONFIGURE_STATUS  TRUE
DV_ENABLE_STATUS     FALSE

O valor DV_ENABLE_STATUS FALSE indica que o Oracle Database Vault está desativado.

Desativar o Gerenciamento de Usuários com o Oracle Database Vault no Autonomous Database

Mostra como não permitir operações relacionadas ao gerenciamento de usuários para componentes especificados no Autonomous Database com o Oracle Database Vault ativado.

O Autonomous Database com o Oracle Database Vault ativado tem o gerenciamento de usuários, por padrão, ativado para a console do Oracle APEX. Se você quiser impor uma separação mais rígida de tarefas e proibir o gerenciamento de usuários dessa console, use DBMS_CLOUD_MACADM.DISABLE_USERMGMT_DATABASE_VAULT.

  1. Como um usuário que recebeu as atribuições DV_ACCTMGR e DV_ADMIN, você pode desativar o gerenciamento de usuários para componentes especificados.
  2. Para desativar o gerenciamento de usuário para um componente especificado, por exemplo, para o componente APEX, use o seguinte comando:
    EXEC DBMS_CLOUD_MACADM.DISABLE_USERMGMT_DATABASE_VAULT('APEX');

Consulte DISABLE_USERMGMT_DATABASE_VAULT Procedures para obter mais informações.

Ativar o Gerenciamento de Usuários com o Oracle Database Vault no Autonomous Database

Mostra as etapas para permitir o gerenciamento de usuários para um componente especificado no Autonomous Database com o Oracle Database Vault ativado.

O Autonomous Database com o Oracle Database Vault ativado tem o gerenciamento de usuários, por padrão, ativado para a console do Oracle APEX. Isso permite o gerenciamento de usuários para operações como CREATE USER, ALTER USER e DROP USER do componente especificado no Autonomous Database.

Use DBMS_CLOUD_MACADM.ENABLE_USERMGMT_DATABASE_VAULT para permitir que contas de usuário especificadas executem o gerenciamento de usuários quando o Oracle Database Vault estiver ativado. Use este procedimento se o gerenciamento de usuários estiver desativado e você quiser ativá-lo novamente.

  1. Um usuário com atribuições DV_ACCTMGR e DV_ADMIN pode ativar o gerenciamento de usuários para componentes especificados.
  2. Para ativar o gerenciamento de usuários de um componente especificado, por exemplo, para o componente APEX, use o seguinte comando:
    EXEC DBMS_CLOUD_MACADM.ENABLE_USERMGMT_DATABASE_VAULT('APEX');

Consulte ENABLE_USERMGMT_DATABASE_VAULT Procedures para obter mais informações.