メニュー
Amazon Relational Database Service
ユーザーガイド (API Version 2014-10-31)

Oracle Label Security

Amazon RDS は OLS オプションの使用を通じて Oracle Enterprise Edition、version 12c 用の Oracle Label Security をサポートします。

ほとんどのデータベースセキュリティでは、オブジェクトレベルでアクセスを制御します。Oracle Label Security は、個別のテーブル行へのアクセスのきめ細かい制御を提供します。たとえば、Label Security を使用して、ポリシーベースの管理モデルで規制コンプライアンスを適用できます。Label Security ポリシーを使用して機密データへのアクセスを制御し、適切なクリアランスレベルを持つユーザーのみにアクセスを制限できます。詳細については、Oracle ドキュメントの「Introduction to Oracle Label Security」を参照してください。

Oracle Label Security の前提条件

Oracle Label Security を使用するための前提条件は次のとおりです。

  • DB インスタンスでは自分のライセンス使用のモデルを使用する必要があります。詳細については、「Oracle のライセンス」を参照してください。

  • Oracle Enterprise Edition の有効なライセンスと、ソフトウェア更新ライセンスおよびサポートが必要です。

  • Oracle ライセンスには、Label Security オプションが必要です。

Oracle Label Security オプションの追加

DB インスタンスに Oracle Label Security オプションを追加する一般的な手順は以下のとおりです。

  1. 新しいオプショングループを作成するか、既存のオプショングループをコピーまたは変更します。

  2. オプショングループにオプションを追加します。

  3. オプショングループを DB インスタンスに関連付けます。

Label Security オプションの追加後、オプショングループがアクティブになるとすぐに、Label Security がアクティブになります。

Label Security オプションを DB インスタンスに追加するには

  1. 使用するオプショングループを決定します。新しいオプショングループを作成することも、既存のオプショングループを使用することもできます。既存のオプショングループを使用する場合は、次のステップは飛ばしてください。または、次の設定でカスタム DB オプショングループを作成します。

    1. [Engine] で、[oracle-ee] を選択します。

    2. [Major Engine Version] で、[ 12.1] を選択します。

    詳細については、「オプショングループを作成する」を参照してください。

  2. オプショングループに [OLS] オプションを追加します。オプションの追加方法の詳細については、「オプショングループにオプションを追加する」を参照してください。

    重要

    すでに 1 つ以上の DB インスタンスにアタッチされている既存のオプショングループに Label Security を追加すると、すべての DB インスタンスが再起動されます。

  3. 新規または既存の DB インスタンスに、DB オプショングループを適用します。

Oracle Label Security の使用

Oracle Label Security を使用するには、テーブルの特定の行へのアクセスを制御するポリシーを作成します。詳細については、Oracle ドキュメントの「Creating an Oracle Label Security Policy」を参照してください。

Label Security を操作する場合、すべてのアクションを LBAC_DBA ロールとして実行します。DB インスタンスのマスターユーザーには LBAC_DBA ロールが付与されます。LBAC_DBA ロールを他のユーザーに付与し、他のユーザーが Label Security ポリシーを管理するようにできます。

Oracle Enterprise Manager (OEM) Cloud Control を通じて Label Security を設定できます。Amazon RDS は Management Agent オプションを通じて OEM Cloud Control をサポートします。詳細については、「Enterprise Manager Cloud Control 向け Oracle Management Agent」を参照してください。

Oracle Label Security オプションの削除

DB インスタンスから Oracle Label Security を削除できます。

DB インスタンスから Label Security を削除するには、次のいずれかを実行します。

  • 複数の DB インスタンスから Label Security を削除するには、それらが属しているオプショングループから Label Security オプションを削除します。この変更はそのオプショングループを使用するすべての DB インスタンスに影響します。複数の DB インスタンスにアタッチされたオプショングループから Label Security を削除すると、すべての DB インスタンスが再起動されます。詳細については、「オプショングループからオプションを削除する」を参照してください。

     

  • 1 つの DB インスタンスから Label Security を削除するには、DB インスタンスを変更し、Label Security オプションを含まない別のオプショングループを指定します。デフォルト (空) のオプショングループや別のカスタムオプショングループを指定できます。Label Security オプションを削除する場合、DB インスタンスを自動的に再起動している間に短い停止が発生します。詳細については、「Oracle データベースエンジンを実行する DB インスタンスの変更」を参照してください。

トラブルシューティング

Oracle Label Security を使用するときに発生する可能性のある問題を次に示します。

問題 トラブルシューティングの提案

ポリシーを作成しようとすると、次のようなエラーメッセージが表示されます: insufficient authorization for the SYSDBA package

Oracle の Label Security 機能の既知の問題により、16~24 文字のユーザー名を持つユーザーは、Label Security のコマンドを実行することができません。文字数が異なる新しいユーザーを作成し、LBAC_DBA を新しいユーザーに付与し、新しいユーザーとしてログインして、新しいユーザーとして OLS コマンドを実行します。詳細については、Oracle サポートにお問い合わせください。

関連トピック