Conceder Atribuições à Conta do Serviço Oracle Data Safe no Seu Banco de Dados de Destino

Os recursos do Oracle Data Safe que você pode usar com seu banco da dados de destino dependem das atribuições que você concede à conta do serviço Oracle Data Safe nesse banco da dados de destino. Você pode conceder e revogar atribuições conforme necessário.

As atribuições são diferentes para Autonomous AI Databases e não Autonomous AI Databases. Para Bancos de Dados AI não autônomos, você pode conceder atribuições à conta de serviço do Oracle Data Safe antes ou depois de registrar seu banco de dados. Para Autonomous AI Databases, primeiro você precisa registrar seu banco de dados, que desbloqueia a conta de serviço pré-implantada do Oracle Data Safe e, em seguida, conceder e revogar atribuições conforme necessário. Por padrão, a conta de serviço do Oracle Data Safe em um Autonomous AI Database já recebe algumas das atribuições.

Atribuições da Conta de Serviço do Oracle Data Safe

Observação

Observação: Conceda somente as atribuições necessárias ao serviço Oracle Data Safe em seus bancos de dados de destino. A forma como você concede atribuições depende do tipo de bancos de Dados de destino que você tem.

A tabela a seguir descreve as atribuições para AI Databases não autônomos e Autonomous AI Databases. Se você estiver registrando um Banco de Dados AI não autônomo (por exemplo, um sistema de banco de dados, um banco de dados Oracle local ou um banco de dados Oracle em uma instância de computação), poderá conceder as atribuições na primeira coluna. Se você estiver registrando um Autonomous AI Database, poderá conceder as atribuições na segunda coluna. Por padrão, algumas ou a maioria das atribuições são concedidas por padrão, portanto, é melhor fazer referência a cada tipo de registro de destino.

Atribuições para Bancos de Dados de IA Não Autônomos Atribuições para Autonomous AI Databases Descrição
ASSESSMENT DS$ASSESSMENT_ROLE Privilégios necessários para os recursos Avaliação do Usuário e Avaliação de Segurança
AUDIT_COLLECTION DS$AUDIT_COLLECTION_ROLE Privilégios necessários para acessar trilhas de auditoria do banco de dados de destino
DATA_DISCOVERY DS$DATA_DISCOVERY_ROLE Privilégios necessários para o recurso Data Discovery (descoberta de dados confidenciais no banco de dados de destino)
MASKING DS$DATA_MASKING_ROLE Privilégios necessários para o recurso Data Masking (mascaramento de dados confidenciais no banco de dados de destino)
AUDIT_SETTING DS$AUDIT_SETTING_ROLE Privilégios necessários para atualizar as políticas de auditoria do banco de dados de destino
SQL_FIREWALL DS$SQL_FIREWALL_ROLE Privilégios necessários para o recurso Firewall de SQL (coletar, monitorar e permitir e bloquear tráfego de SQL). Isso é apenas para o Oracle AI Database 26ai ou posterior.

Conceder Atribuições ao Oracle Data Safe Service em um Autonomous AI Database

Por padrão, o Autonomous AI Database vem com uma conta de banco de dados criada especificamente para o Oracle Data Safe chamada DS$ADMIN. As atribuições que você concede a esta conta determinam as funcionalidades do Oracle Data Safe que você pode usar com o Autonomous AI Database.

Para o Autonomous AI Database, todas as atribuições já são concedidas por padrão, exceto DS$DATA_MASKING_ROLE e DS$SQL_FIREWALL_ROLE.

Se você criar um usuário especial para o Mascaramento de Dados, precisará especificar esse nome de usuário ao conceder e revogar atribuições.

Observação

Observação: se o Database Vault estiver ativado no seu Autonomous AI Database, saiba que há etapas específicas a serem seguidas no procedimento abaixo para fazer com que o Oracle Data Safe funcione no Database Vault.

Para conceder ou revogar atribuições da conta do serviço Oracle Data Safe no Autonomous AI Database, você pode executar o pacote PL/SQL DS_TARGET_UTIL no banco de dados. É necessário executar este pacote como o usuário Administrador do PDB (ADMIN) ou como um usuário que tem permissão de execução no pacote PL/SQL DS_TARGET_UTIL. Você pode conceder ou revogar atribuições com a frequência necessária.

  1. Para conceder ou revogar uma atribuição da conta de serviço do Oracle Data Safe, faça o seguinte:

    1. Usando uma ferramenta como SQL*Plus ou SQL Developer, faça log-in no Autonomous AI Database como o usuário Administrador do PDB (ADMIN) ou como um usuário que tenha permissão de execução no pacote PL/SQL DS_TARGET_UTIL.

    2. Para conceder uma atribuição, execute o comando a seguir. <ROLE_NAME> é o nome de uma atribuição do Oracle Data Safe e deve estar entre aspas. <USERNAME> é o nome da conta de serviço do Oracle Data Safe. Se você conceder a atribuição DS$DATA_MASKING_ROLE e estiver ativado para o Database Vault, espere um erro ORA-20001 e vá para a etapa 3.

    Se você estiver concedendo uma atribuição a DS$ADMIN:

    EXECUTE DS_TARGET_UTIL.GRANT_ROLE('<ROLE_NAME>');

    Se você estiver concedendo uma atribuição a um usuário criado, inclua o nome do usuário:

    EXECUTE DS_TARGET_UTIL.GRANT_ROLE('<ROLE_NAME>', '<USERNAME>');
    1. Para revogar uma atribuição, execute o comando a seguir. <ROLE_NAME> é o nome de uma atribuição do Oracle Data Safe e deve estar entre aspas. <USERNAME> é o nome da conta de serviço do Oracle Data Safe.

    Se você estiver revogando uma atribuição de DS$ADMIN:

    EXECUTE DS_TARGET_UTIL.REVOKE_ROLE('<ROLE_NAME>');

    Se você estiver revogando uma atribuição de um usuário criado, inclua o nome do usuário:

    EXECUTE DS_TARGET_UTIL.REVOKE_ROLE('<ROLE_NAME>', '<USERNAME>');
  2. Se o Database Vault estiver ativado no banco e você quiser usar os seguintes recursos no Oracle Data Safe, faça o seguinte:

    • Para a Avaliação do Usuário ou a Avaliação de Segurança: Conecte-se com seu banco como usuário com a atribuição DV_OWNER e conceda a atribuição DV_SECANALYST ao usuário DS$ADMIN.

    • Para Mascaramento de Dados: Conecte-se ao banco de dados como um usuário com a atribuição DV_OWNER e autorize o usuário ADMIN ao Realm Oracle System Privilege and Role Management. Conecte-se ao banco com o usuário ADMIN e conceda UNLIMITED TABLESPACE ao usuário DS$ADMIN.

    • Para o Firewall de SQL: Se você tiver concedido a atribuição como usuário Administrador do PDB (ADMIN) ou como usuário que tem a atribuição DV_ADMIN ou DV_OWNER, essa etapa não será necessária. No entanto, se você não tiver feito isso, estabeleça conexão com seu banco de dados como usuário com a atribuição DV_ADMIN ou DV_OWNER e execute o seguinte comando como usuário que tenha a atribuição DV_ADMIN ou DV_OWNER:

    BEGIN
        DBMS_MACADM.AUTHORIZE_SQL_FIREWALL (
        uname => '<USERNAME>',
        manage_dv_admins => 'N');
    END;
    /
  3. Se o Database Vault estiver ativado no seu banco de dados e você quiser revogar os seguintes recursos no Oracle Data Safe, faça o seguinte:

    • Para Avaliação do Usuário ou Avaliação de Segurança: Estabeleça conexão com o banco como usuário com a atribuição DV_OWNER e revogue a atribuição DV_SECANALYST do usuário DS$ADMIN.

    • Para Mascaramento de Dados: Conecte-se ao banco de dados como usuário ADMIN e revogue o UNLIMITED TABLESPACE do usuário DS$ADMIN. Conecte-se ao banco como um usuário com a atribuição DV_OWNER e desautorize o usuário ADMIN do Realm Oracle System Privilege and Role Management.

    • Para o Firewall de SQL: Estabeleça conexão com seu banco de dados como usuário com as atribuições DV_ADMIN ou DV_OWNER e execute o código a seguir. Depois, revogue a atribuição SQL_FIREWALL seguindo a etapa 1.

    BEGIN
        DBMS_MACADM.UNAUTHORIZE_SQL_FIREWALL (
            uname => '<USERNAME>',
            manage_dv_admins => 'Y');
        END;
    /

Conceder Atribuições ao Oracle Data Safe Service em um Banco de Dados AI Não Autônomo

Para conceder ou revogar atribuições da conta do serviço Oracle Data Safe em um Banco de Dados AI não Autônomo, você precisa executar um script SQL de privilégios chamado datasafe_privileges.sql Você pode fazer download deste script no Oracle Data Safe no Oracle Cloud Infrastructure. Para executar o script, você precisa estar conectado ao banco de dados como o usuário SYS.

Você pode executar o script quantas vezes forem necessárias. Por exemplo, suponha que, no início, você só precise usar o recurso Auditoria de Atividades no Oracle Data Safe. Você pode executar o script de privilégios SQL para conceder ao banco de dados acesso somente à Auditoria de Atividades. Posteriormente, você decide que deseja usar a funcionalidade Data Discovery também. Você pode executar o script de privilégios SQL novamente no banco de dados para conceder ao banco de dados acesso ao Data Discovery.

  1. Se o Database Vault estiver ativado no banco e você quiser usar os recursos de Avaliação do Usuário ou Avaliação de Segurança ou exibir dados de auditoria no Oracle Data Safe, conecte-se ao banco e ao usuário com a atribuição de DV_OWNER e conceda as atribuições DV_SECANALYST e DV_MONITOR à conta do serviço Oracle Data Safe.

  2. Faça download do script de privilégios SQL. Este script está disponível nos assistentes que auxiliam no registro do banco de dados de destino. Não é necessário trabalhar no assistente e registrar seu banco de dados de destino neste momento. Basta iniciar o assistente e você verá o link para fazer download do script na primeira página. Faça download do script e saia do assistente.

    1. Na página Visão Geral do serviço Oracle Data Safe, localize o mosaico do assistente que corresponde ao tipo de banco de dados com o qual você está trabalhando. Selecione Iniciar Assistente. O assistente exibe o form Informações de Destino do Data Safe.

    2. Selecione Download de Script de Privilégio e salve o script datasafe_privileges.sql no seu computador.

    3. Selecione Cancelar.

  3. Com SQL Developer ou SQL*Plus, conecte-se ao seu banco de dados como o usuário SYS e execute o script SQL com a seguinte instrução:

    @datasafe_privileges.sql <DATASAFE_ADMIN> <GRANT|REVOKE> <AUDIT_COLLECTION|AUDIT_SETTING|DATA_DISCOVERY|MASKING|ASSESSMENT|SQL_FIREWALL|ALL> [-RDSORACLE][-VERBOSE]
    • <DATASAFE_ADMIN> é o nome da conta do serviço Oracle Data Safe que você criou no banco de dados. Ele faz distinção entre maiúsculas e minúsculas e deve coincidir com o nome da conta na view do dicionário de dados dba_users no banco de dados.

    • Especifique GRANT ou REVOKE, dependendo se você deseja adicionar ou remover privilégios da conta de serviço do Oracle Data Safe.

    • Você pode especificar apenas um recurso por comando, embora o ALL conceda ou revogue privilégios para todos os recursos.

    • -RDSORACLE será obrigatório se você estiver registrando o Amazon RDS para Oracle; caso contrário, remova o parâmetro

    • -VERBOSE é opcional.

    Exemplo: Conceder todos os privilégios e disponibilizar todos os recursos do Oracle Data Safe

    @datasafe_privileges.sql <DATASAFE_ADMIN> GRANT ALL -VERBOSE

    Exemplo: Conceda os privilégios necessários para usar o recurso de criação

    @datasafe_privileges.sql <DATASAFE_ADMIN> GRANT MASKING
  4. Se o Database Vault estiver ativado no seu banco de dados e você quiser usar o recurso SQL Firewall no Data Safe, execute o seguinte como usuário com a atribuição DV_ADMIN ou DV_OWNER:

    BEGIN
        DBMS_MACADM.AUTHORIZE_SQL_FIREWALL (
        uname => '<DATASAFE_ADMIN>',
        manage_dv_admins => 'N');
    END;
    /
  5. Se o Database Vault estiver ativado no seu banco de dados e você quiser interromper o uso do recurso SQL Firewall no Data Safe, execute o seguinte como usuário com a atribuição DV_ADMIN ou DV_OWNER:

    1. Execute o seguinte:

      BEGIN
          DBMS_MACADM.UNAUTHORIZE_SQL_FIREWALL (
              uname => '<DATASAFE_ADMIN>',
              manage_dv_admins => 'Y');
          END;
      /
    2. Revogue o privilégio Firewall de SQL seguindo a etapa três.