Autonomous AI DatabaseでのOracle Database Vaultの使用

Oracle Database Vaultは、不正なアクセスからアプリケーション・データを保護し、プライバシ要件と規制要件に準拠するために管理者とデータ所有者間の職務分離を実装するための強力なセキュリティ制御を提供します。

デフォルトでは、ADMINユーザーにはDV_OWNERおよびDV_ACCTMGRロールがあります。DV_OWNERおよびDV_ACCTMGRアカウントに別々のユーザーを設定する場合。詳細は、Oracle Database Vaultのスキーマ、ロールおよびアカウントを参照してください。

Oracle Database Vaultが有効な場合、APEXコンポーネントに対してユーザー管理がデフォルトで有効になります。ユーザー管理が有効な場合、ユーザーをCREATE | ALTER | DROPするために必要なロールを持つAPEXユーザーは、Database Vaultが有効なときにこれらの操作を実行するために必要な権限を持ちます。これを変更するには、「Autonomous AI DatabaseでのOracle Database Vaultを使用したユーザー管理の無効化」を参照してください。

Oracle Database Vaultが有効なAutonomous AI Databaseでは、次の権限を付与します:

• Oracle GoldenGateを使用する場合は、GGADMINユーザーにDV_GOLDENGATE_ADMINおよびDV_GOLDENGATE_REDO_ACCESSを付与します。

• ADMINユーザーは、Oracle Data Pumpを使用する必要があるユーザーにBECOME USER権限を付与する必要があります。一部のOracle Data Pump操作を実行するには、追加のOracle Database Vault認可が必要になる場合があります。たとえば、完全なデータベース・エクスポートを実行したり、レルムで保護されたスキーマをエクスポートするには、DBMS_MACADM.AUTHORIZE_DATAPUMP_USERを使用する必要があります。

  詳細は、AUTHORIZE_DATAPUMP_USERプロシージャを参照してください。

• Oracle Database Vaultが有効で、資格証明所有者のスキーマがDatabase Vaultレルムを使用して保護されている場合に、DBMS_CLOUD資格証明関連のAPIが機能するには、C##CLOUD$SERVICEユーザーの認可をDatabase Vaultレルムに追加する必要があります。

  たとえば:

  BEGIN
      DBMS_MACADM.ADD_AUTH_TO_REALM(realm_name   => 'PROTECT_ADMIN',
          grantee       => 'C##CLOUD$SERVICE',
          rule_set_name => 'Enabled',
          auth_options  => DBMS_MACUTL.G_REALM_AUTH_PARTICIPANT);
  END;
  /

  ここで、PROTECT_ADMINはOracle Database Vaultレルムです。

  詳細は、ADD_AUTH_TO_REALMプロシージャを参照してください。

Autonomous AI DatabaseでOracle Database Vaultを有効にするステップを示します。

1. 次のコマンドを使用して、Oracle Database Vaultを構成します。

   EXEC DBMS_CLOUD_MACADM.CONFIGURE_DATABASE_VAULT('adb_dbv_owner', 'adb_dbv_acctmgr');

   説明:

   • adb_dbv_ownerは、Oracle Database Vaultの所有者です。
   • adb_dbv_acctmgrはアカウント・マネージャです。

   詳細は、「CONFIGURE_DATABASE_VAULTプロシージャ」を参照してください。

2. Oracle Database Vaultの無効化:

   EXEC DBMS_CLOUD_MACADM.ENABLE_DATABASE_VAULT;

   詳細は、「ENABLE_DATABASE_VAULTプロシージャ」を参照してください。

3. Autonomous AI Databaseインスタンスを再起動します。

   詳細は、「Autonomous AI Databaseの再起動」を参照してください。

SELECT * FROM DBA_DV_STATUS;

NAME                 STATUS
-------------------- -----------
DV_CONFIGURE_STATUS  TRUE
DV_ENABLE_STATUS     TRUE

Autonomous AI DatabaseでOracle Database Vaultを無効にするステップを示します。

1. Oracle Database Vaultの無効化

   EXEC DBMS_CLOUD_MACADM.DISABLE_DATABASE_VAULT;

   詳細は、「DISABLE_DATABASE_VAULTプロシージャ」を参照してください。

2. Autonomous AI Databaseインスタンスを再起動します。

   詳細は、「Autonomous AI Databaseの再起動」を参照してください。

SELECT * FROM DBA_DV_STATUS;

NAME                 STATUS
-------------------- -----------
DV_CONFIGURE_STATUS  TRUE
DV_ENABLE_STATUS     FALSE

Oracle Database Vaultが有効なAutonomous AI Databaseで、指定したコンポーネントに対してユーザー管理関連の操作を許可しない方法を示します。

1. DV_ACCTMGRおよびDV_ADMINロールを付与されているユーザーとして、指定したコンポーネントのユーザー管理を無効にできます。
2. APEXコンポーネントなど、指定したコンポーネントのユーザー管理を無効にするには、次のコマンドを使用します:

   EXEC DBMS_CLOUD_MACADM.DISABLE_USERMGMT_DATABASE_VAULT('APEX');

Oracle Database Vaultが有効なAutonomous AI Databaseで、指定したコンポーネントのユーザー管理を許可するステップを示します。

1. DV_ACCTMGRおよびDV_ADMINロールを付与されているユーザーは、指定したコンポーネントのユーザー管理を有効にできます。
2. APEXコンポーネントなど、指定したコンポーネントのユーザー管理を有効にするには、次のコマンドを使用します:

   EXEC DBMS_CLOUD_MACADM.ENABLE_USERMGMT_DATABASE_VAULT('APEX');