Voraussetzungen Hinzufügen der Option Verwenden von Oracle Label Security Entfernen der Option (nicht unterstützt)Fehlerbehebung

Oracle Label Security

Amazon RDS unterstützt Oracle Label Security für die Enterprise Edition von Oracle Database durch die Verwendung der OLS-Option.

Die meisten Datenbanksicherheitskontrollen greifen auf die Ebene von Objekten zu. Oracle Label Security ermöglicht eine feinere Steuerung des Zugriffs auf einzelne Tabellenspalten. Sie können beispielsweise Label Security verwenden, um regulatorische Compliance mit einem richtlinienbasierten Verwaltungsmodell durchzusetzen. Sie können mit Label Security-Richtlinien den Zugriff auf sensible Daten steuern und den Zugriff auf Benutzer mit einer entsprechenden Berechtigungsstufe beschränken. Weitere Informationen finden Sie unter Introduction to Oracle Label Security in der Oracle-Dokumentation.

Themen

Voraussetzungen für Oracle Label Security
Hinzufügen der Oracle Label Security-Option
Verwenden von Oracle Label Security
Entfernen der Oracle Label Security-Option (nicht unterstützt)
Fehlerbehebung

Voraussetzungen für Oracle Label Security

Machen Sie sich mit den folgenden Voraussetzungen für Oracle Label Security vertraut:

Ihre DB-Instance muss das Modell "Bring Your Own License" verwenden. Weitere Informationen finden Sie unter RDSfür Oracle-Lizenzoptionen.
Sie benötigen eine gültige Lizenz für Oracle Enterprise Edition mit Softwareupdate-Lizenz und Support.
Ihre Oracle-Lizenz muss die Label Security-Option enthalten.
Sie müssen die Nicht-Multi-Tenant-Datenbankarchitektur (Nicht-CDB) verwenden. Weitere Informationen finden Sie unter Single-Tenant-Konfiguration der CDB-Architektur.

Hinzufügen der Oracle Label Security-Option

Der allgemeine Vorgang für das Hinzufügen der Oracle Label Security-Option zu einer DB-Instance ist wie folgt:

Erstellen Sie eine neue Optionsgruppe oder kopieren oder ändern Sie eine bestehende Optionsgruppe.
Fügen Sie die Option zur Optionsgruppe hinzu.

Wichtig
Oracle Label Security ist eine permanente und persistente Option.
Ordnen Sie die Optionsgruppe der DB-Instance zu.

Nachdem Sie die Label Security-Option hinzugefügt haben, ist Label Security aktiviert, sobald die Optionsgruppe aktiviert ist.

So fügen Sie einer DB-Instance die Label Security-Option hinzu:

Bestimmen Sie die zu verwendende Optionsgruppe. Sie können eine Optionsgruppe erstellen oder eine bestehende Optionsgruppe verwenden. Wenn Sie eine bestehende Optionsgruppe verwenden möchten, fahren Sie mit dem nächsten Schritt fort. Erstellen Sie andernfalls eine benutzerdefinierte DB-Optionsgruppe mit folgenden Einstellungen:
1. Wählen Sie für Engine die Option oracle-ee aus.
2. Wählen Sie für Major Engine Version (Engine-Hauptversion) die Version Ihrer DB-Instance aus.
Weitere Informationen finden Sie unter Erstellen einer Optionsgruppe.
Fügen Sie der Optionsgruppe die Option OLS hinzu. Weitere Informationen über das Hinzufügen von Optionen finden Sie unter Hinzufügen einer Option zu einer Optionsgruppe.

Wichtig
Wenn Sie einer bestehenden Optionsgruppe, die bereits mit einer oder mehreren DB-Instances verknüpft ist, die Label Security-Option hinzufügen, werden alle DB-Instances neu gestartet.
Ordnen Sie die Optionsgruppe einer neuen oder bestehenden DB-Instance zu:
- Einer neuen DB-Instance wird die Optionsgruppe beim Starten der Instance zugewiesen. Weitere Informationen finden Sie unter Erstellen einer Amazon RDS-DB-Instance.
- Bei einer bestehenden DB-Instance weisen Sie die Optionsgruppe zu, indem Sie die Instance ändern und die neue Optionsgruppe anhängen. Wenn Sie die Label Security-Option zu einer bestehenden DB-Instance hinzufügen, entsteht während des automatischen Neustarts Ihrer DB-Instance ein kurzzeitiger Nutzungsausfall. Weitere Informationen finden Sie unter Ändern einer Amazon RDS-DB-Instance.

Verwenden von Oracle Label Security

Oracle Label Security wird verwendet, indem Richtlinien für die Steuerung des Zugriffs auf einzelne Tabellenzeilen erstellt werden. Weitere Informationen finden Sie unter Creating an Oracle Label Security Policy in der Oracle-Dokumentation.

Wenn Sie Label Security verwenden, werden alle Aktionen unter der Rolle LBAC_DBA ausgeführt. Die Rolle LBAC_DBA ist zunächst dem Masterbenutzer für Ihre DB-Instance zugewiesen. Sie können die Rolle LBAC_DBA auch anderen Benutzern zuweisen, damit weitere Benutzer in der Lage sind, Label Security-Richtlinien zu verwalten.

Stellen Sie für Oracle Database 19c, die die Nicht-CDB-Architektur verwendet, sicher, dass Sie allen neuen Benutzern, die Zugriff auf Oracle Label Security benötigen, Zugriff auf das OLS_ENFORCEMENT Paket gewähren.

Um einem Benutzer Zugriff auf das OLS_ENFORCEMENT-Paket zu gewähren, verbinden Sie sich als Hauptbenutzer mit der DB-Instance und führen Sie die folgende SQL-Anweisung aus:


GRANT ALL ON LBACSYS.OLS_ENFORCEMENT TO username;

Sie können Label Security über Oracle-Enterprise-Manager-(OEM)-Cloud-Kontrolle konfigurieren. Amazon RDS unterstützt die OEM-Cloud-Kontrolle über die Option Managementagent. Weitere Informationen finden Sie unter Oracle Management Agent für Enterprise Cloud Control.

Entfernen der Oracle Label Security-Option (nicht unterstützt)

Oracle Label Security ist eine permanente und persistente Option. Da die Option permanent ist, können Sie sie nicht aus einer Optionsgruppe entfernen. Wenn Sie Oracle Label Security einer Optionsgruppe hinzufügen und sie Ihrer DB-Instance zuordnen, können Sie Ihrer DB-Instance später eine andere Optionsgruppe zuordnen, aber diese Gruppe muss ebenfalls die Oracle Label Security-Option enthalten.

Fehlerbehebung

Die folgenden Probleme können bei der Verwendung von Oracle Label Security auftreten.

Problem Vorschläge für die Fehlerbehebung

Problem	Vorschläge für die Fehlerbehebung
Wenn Sie eine Richtlinie erstellen möchten, wird die Fehlermeldung ähnlich der folgenden angezeig: `insufficient authorization for the SYSDBA package`.	Es gibt bei dem Oracle Label Security-Feature ein bekanntes Problem, das verhindert, dass Benutzer, deren Benutzername genau 16 oder genau 24 Zeichen lang ist, die Label Security-Befehle ausführen können. Erstellen Sie in diesem Fall einen neuen Benutzer, dessen Name nicht genau 16 oder 24 Zeichen lang ist, erteilen Sie diesem Benutzer die Rolle LBAC_DBA, melden Sie sich mit den Anmeldeinformationen dieses Benutzers an und führen Sie die OLS-Befehle unter diesem neuen Benutzerkonto aus. Für weitere Informationen wenden Sie sich an den Oracle Support.

Wenn Sie eine Richtlinie erstellen möchten, wird die Fehlermeldung ähnlich der folgenden angezeig: insufficient authorization for the SYSDBA package.

Es gibt bei dem Oracle Label Security-Feature ein bekanntes Problem, das verhindert, dass Benutzer, deren Benutzername genau 16 oder genau 24 Zeichen lang ist, die Label Security-Befehle ausführen können. Erstellen Sie in diesem Fall einen neuen Benutzer, dessen Name nicht genau 16 oder 24 Zeichen lang ist, erteilen Sie diesem Benutzer die Rolle LBAC_DBA, melden Sie sich mit den Anmeldeinformationen dieses Benutzers an und führen Sie die OLS-Befehle unter diesem neuen Benutzerkonto aus. Für weitere Informationen wenden Sie sich an den Oracle Support.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

OEMVerwaltungsagent

Ortung