Documentação do Oracle Cloud Infrastructure

Usar o Oracle Database Vault com o Autonomous Database

O Oracle Database Vault implementa controles de segurança avançados para seu banco de dados. Esses controles de segurança exclusivos restringem o acesso a dados de aplicativos por usuários privilegiados do banco de dados, reduzindo o risco de ameaças internas e externas e atendendo aos requisitos comuns de conformidade.

Consulte O que é o Oracle Database Vault para obter mais informações.

Tópico principal: Segurança

Usuários e Atribuições do Oracle Database Vault no Autonomous Database

O Oracle Database Vault fornece controles de segurança poderosos para ajudar a proteger dados de aplicativos contra acesso não autorizado e implementar a separação de funções entre administradores e proprietários de dados para cumprir requisitos de privacidade e regulatórios.

Por padrão, o usuário ADMIN tem as atribuições DV_OWNER e DV_ACCTMGR. Se quiser configurar usuários separados para as contas DV_OWNER e DV_ACCTMGR. Consulte Esquemas, Atribuições e Contas do Oracle Database Vault para obter mais informações.

Por padrão, o gerenciamento de usuários é ativado para o componente APEX quando o Oracle Database Vault é ativado. Quando o gerenciamento de usuários está ativado, os usuários do APEX que têm as atribuições necessárias para CREATE | ALTER | DROP têm os privilégios necessários para executar essas operações quando o Database Vault está ativado. Para alterar isso, consulte Desativar o Gerenciamento de Usuários com o Oracle Database Vault no Autonomous Database.

No Autonomous Database com o Oracle Database Vault ativado, conceda os seguintes privilégios:

  • Ao usar o Oracle GoldenGate, conceda ao usuário GGADMIN os privilégios DV_GOLDENGATE_ADMIN e DV_GOLDENGATE_REDO_ACCESS.

  • O usuário ADMIN deve conceder o privilégio BECOME USER aos usuários que precisam usar o Oracle Data Pump. Para executar algumas operações do Oracle Data Pump, pode ser necessária uma autorização adicional do Oracle Database Vault. Por exemplo, para executar uma exportação completa do banco de dados ou exportar um esquema protegido por realm requer o uso DBMS_MACADM.AUTHORIZE_DATAPUMP_USER.

    Consulte AUTHORIZE_DATAPUMP_USER Procedimento para obter mais informações.

  • Para que as APIs relacionadas à credencial DBMS_CLOUD funcionem quando o Oracle Database Vault estiver ativado e o esquema do proprietário da credencial estiver protegido usando um realm do Database Vault, adicione autorizações para o usuário C##CLOUD$SERVICE ao realm do Database Vault.

    Por exemplo:

    BEGIN
    DBMS_MACADM.ADD_AUTH_TO_REALM(realm_name   => 'PROTECT_ADMIN',
        grantee       => 'C##CLOUD$SERVICE',
        rule_set_name => 'Enabled',
        auth_options  => DBMS_MACUTL.G_REALM_AUTH_PARTICIPANT);
END;
/

    Em que PROTECT_ADMIN é o realm do Oracle Database Vault.

    Consulte ADD_AUTH_TO_REALM Procedimento para obter mais informações.

Ativar o Oracle Database Vault no Autonomous Database

Mostra as etapas de ativação do Oracle Database Vault no Autonomous Database.

O Oracle Database Vault é desativado por padrão no Autonomous Database. Para configurar e ativar o Oracle Database Vault no Autonomous Database, faça o seguinte:

  1. Configure o Oracle Database Vault usando o seguinte comando:
    EXEC DBMS_CLOUD_MACADM.CONFIGURE_DATABASE_VAULT('adb_dbv_owner', 'adb_dbv_acctmgr');

    Onde:

    • adb_dbv_owner é o proprietário do Oracle Database Vault
    • adb_dbv_acctmgr é o gerente de conta.

    Consulte Procedimento CONFIGURE_DATABASE_VAULT para obter mais informações.

  2. Ativar Oracle Database Vault:
    EXEC DBMS_CLOUD_MACADM.ENABLE_DATABASE_VAULT;

    Consulte Procedimento ENABLE_DATABASE_VAULT para obter mais informações.

  3. Reinicie a instância do Autonomous Database.

    Consulte Restart Autonomous Database para obter mais informações.

Use o seguinte comando para verificar se o Oracle Database Vault está ativado ou desativado:

SELECT * FROM DBA_DV_STATUS;

Será exibido um resultado semelhante ao seguinte:

NAME                 STATUS
-------------------- -----------
DV_CONFIGURE_STATUS  TRUE
DV_ENABLE_STATUS     TRUE

O valor DV_ENABLE_STATUS TRUE indica que o Oracle Database Vault está ativado.

Observação

As operações de manutenção do Autonomous Database, como backups e aplicação de patch, não são afetadas quando o Oracle Database Vault está ativado.

Consulte Desativar o Oracle Database Vault no Autonomous Database para obter informações sobre como desativar o Oracle Database Vault.

Desativar o Oracle Database Vault no Autonomous Database

Mostra as etapas de desativação do Oracle Database Vault no Autonomous Database.

Para desativar o Oracle Database Vault no Autonomous Database, faça o seguinte:

  1. Desativar Oracle Database Vault.
    EXEC DBMS_CLOUD_MACADM.DISABLE_DATABASE_VAULT;

    Consulte DISABLE_DATABASE_VAULT Procedimento para obter mais informações.

  2. Reinicie a instância do Autonomous Database.

    Consulte Restart Autonomous Database para obter mais informações.

Use o seguinte comando para verificar se o Oracle Database Vault está ativado ou desativado:

SELECT * FROM DBA_DV_STATUS;

Será exibido um resultado semelhante ao seguinte:

NAME                 STATUS
-------------------- -----------
DV_CONFIGURE_STATUS  TRUE
DV_ENABLE_STATUS     FALSE

The DV_ENABLE_STATUS value FALSE indicates Oracle Database Vault is disabled.

Desativar o Gerenciamento de Usuários com o Oracle Database Vault no Autonomous Database

Mostra como proibir operações relacionadas a gerenciamento de usuários para componentes especificados no Autonomous Database com o Oracle Database Vault ativado.

O Autonomous Database com o Oracle Database Vault ativado tem o gerenciamento de usuários, por padrão, ativado para a console do Oracle APEX. Se quiser impor uma separação de responsabilidades mais rígida e proibir o gerenciamento de usuários nesta console, use DBMS_CLOUD_MACADM.DISABLE_USERMGMT_DATABASE_VAULT.

  1. Como usuário com as atribuições DV_ACCTMGR e DV_ADMIN, você pode desativar o gerenciamento de usuários para componentes especificados.
  2. Para desativar o gerenciamento de usuários para um componente especificado, por exemplo, para o componente APEX, use o seguinte comando:
    EXEC DBMS_CLOUD_MACADM.DISABLE_USERMGMT_DATABASE_VAULT('APEX');

Consulte Procedimento DISABLE_USERMGMT_DATABASE_VAULT para obter mais informações.

Ativar o Gerenciamento de Usuários com o Oracle Database Vault no Autonomous Database

Mostra as etapas para permitir o gerenciamento de usuários para um componente especificado no Autonomous Database com o Oracle Database Vault ativado.

O Autonomous Database com o Oracle Database Vault ativado tem o gerenciamento de usuários, por padrão, ativado para a console do Oracle APEX. Isso permite o gerenciamento de usuários para operações como CREATE USER, ALTER USER e DROP USER no componente especificado do Autonomous Database.

Use DBMS_CLOUD_MACADM.ENABLE_USERMGMT_DATABASE_VAULT para permitir que contas de usuários especificadas executem o gerenciamento de usuários quando o Oracle Database Vault estiver ativado. Use esse procedimento se o gerenciamento de usuários estiver desativado e você quiser ativá-lo novamente.

  1. Um usuário com as atribuições DV_ACCTMGR e DV_ADMIN pode ativar o gerenciamento de usuários para componentes especificados.
  2. Para ativar o gerenciamento de usuários para um componente especificado, por exemplo, use o seguinte comando:
    EXEC DBMS_CLOUD_MACADM.ENABLE_USERMGMT_DATABASE_VAULT('APEX');

Consulte ENABLE_USERMGMT_DATABASE_VAULT Procedimento para obter mais informações.