Oracle Label Security - Amazon Relational Database Service

Oracle Label Security

Amazon RDS unterstützt mit der OLS-Option Oracle Label Security für Oracle Enterprise Edition, Version 12c.

Die meisten Datenbanksicherheitskontrollen greifen auf die Ebene von Objekten zu. Oracle Label Security ermöglicht eine feinere Steuerung des Zugriffs auf einzelne Tabellenspalten. Sie können beispielsweise Label Security verwenden, um regulatorische Compliance mit einem richtlinienbasierten Verwaltungsmodell durchzusetzen. Sie können mit Label Security-Richtlinien den Zugriff auf sensible Daten steuern und den Zugriff auf Benutzer mit einer entsprechenden Berechtigungsstufe beschränken. Weitere Informationen finden Sie unter Introduction to Oracle Label Security in der Oracle-Dokumentation.

Wichtig

Für Oracle 19c, Oracle 18c und Oracle 12c Version 12.2 auf Amazon RDS ist Oracle Label Security eine permanente und dauerhafte Option. Sie können die Oracle Label Security nicht aus einer Oracle Version 19c-, 18c- oder 12.2-DB-Instance entfernen.

Voraussetzungen für Oracle Label Security

Es folgen die Voraussetzungen für die Verwendung von Oracle Label Security:

  • Ihre DB-Instance muss das BYOL-Lizensierungsmodell verwenden. Weitere Informationen finden Sie unter Oracle-Lizenzierungsoptionen.

  • Sie benötigen eine gültige Lizenz für Oracle Enterprise Edition mit Softwareupdate-Lizenz und Support.

  • Ihre Oracle-Lizenz muss die Label Security-Option enthalten.

Hinzufügen der Oracle Label Security-Option

Der allgemeine Vorgang für das Hinzufügen der Oracle Label Security-Option zu einer DB-Instance ist wie folgt:

  1. Erstellen Sie eine neue Optionsgruppe oder kopieren oder ändern Sie eine bestehende Optionsgruppe.

  2. Hinzufügen der Option zur Optionsgruppe.

  3. Ordnen Sie die Optionsgruppe der DB-Instance zu.

Nachdem Sie die Label Security-Option hinzugefügt haben, ist Label Security aktiviert, sobald die Optionsgruppe aktiviert ist.

So fügen Sie einer DB-Instance die Label Security-Option hinzu:

  1. Bestimmen Sie die zu verwendende Optionsgruppe. Sie können eine Optionsgruppe erstellen oder eine bestehende Optionsgruppe verwenden. Wenn Sie eine bestehende Optionsgruppe verwenden möchten, fahren Sie mit dem nächsten Schritt fort. Erstellen Sie andernfalls eine benutzerdefinierte DB-Optionsgruppe mit folgenden Einstellungen:

    1. Wählen Sie für Engine die Option oracle-ee aus.

    2. Wählen Sie für Major Engine Version (Engine-Hauptversion) die Version Ihrer DB-Instance aus.

    Weitere Informationen finden Sie unter Erstellen einer Optionsgruppe.

  2. Fügen Sie der Optionsgruppe die Option OLS hinzu. Weitere Informationen über das Hinzufügen von Optionen finden Sie unter Hinzufügen einer Option zu einer Optionsgruppe.

    Wichtig

    Wenn Sie einer bestehenden Optionsgruppe, die bereits mit einer oder mehreren DB-Instances verknüpft ist, die Label Security-Option hinzufügen, werden alle DB-Instances neu gestartet.

  3. Ordnen Sie die Optionsgruppe einer neuen oder bestehenden DB-Instance zu:

    • Einer neuen DB-Instance wird die Optionsgruppe beim Starten der Instance zugewiesen. Weitere Informationen finden Sie unter Erstellen einer Amazon RDS-DB-Instance.

    • Bei einer bestehenden DB-Instance weisen Sie die Optionsgruppe zu, indem Sie die Instance ändern und die neue Optionsgruppe anhängen. Wenn Sie die Label Security-Option zu einer bestehenden DB-Instance hinzufügen, entsteht während des automatischen Neustarts Ihrer DB-Instance ein kurzzeitiger Nutzungsausfall. Weitere Informationen finden Sie unter Ändern einer Amazon RDS-DB-Instance.

Verwenden von Oracle Label Security

Oracle Label Security wird verwendet, indem Richtlinien für die Steuerung des Zugriffs auf einzelne Tabellenzeilen erstellt werden. Weitere Informationen finden Sie unter Creating an Oracle Label Security Policy in der Oracle-Dokumentation.

Wenn Sie Label Security verwenden, werden alle Aktionen unter der Rolle LBAC_DBA ausgeführt. Die Rolle LBAC_DBA ist zunächst dem Masterbenutzer für Ihre DB-Instance zugewiesen. Sie können die Rolle LBAC_DBA auch anderen Benutzern zuweisen, damit weitere Benutzer in der Lage sind, Label Security-Richtlinien zu verwalten.

Für Amazon RDS für Oracle 19c-, 18c- und 12.2-DB-Instances müssen Sie allen neuen Benutzern, die Zugriff auf Oracle Label Security benötigen, den Zugriff auf das OLS_ENFORCEMENT-Paket gewähren. Um einem Benutzer Zugriff auf das OLS_ENFORCEMENT-Paket zu gewähren, verbinden Sie sich als Hauptbenutzer mit der DB-Instance und führen Sie die folgende SQL-Anweisung aus:

GRANT ALL ON LBACSYS.OLS_ENFORCEMENT TO username;

Label Security kann mittels der Oracle Enterprise Manager (OEM) Cloud Control konfiguriert werden. Amazon RDS unterstützt die OEM-Cloud Control über die Management Agent-Option. Weitere Informationen finden Sie unter Oracle Management Agent für Enterprise Cloud Control.

Entfernen der Oracle Label Security-Option

Sie können Oracle Label Security aus einer DB-Instance entfernen.

Führen Sie die folgenden Schritte aus, um Label Security aus einer DB-Instance zu entfernen:

  • Entfernen Sie die Option „Label Security“ aus der zugehörigen Optionsgruppe, um Label Security aus mehreren DB-Instances zu entfernen. Diese Änderung wirkt sich auf alle DB-Instances aus, die die betreffende Optionsgruppe verwenden. Wenn Sie Label Security aus einer bestehenden Optionsgruppe entfernen, die mit einer oder mehreren DB-Instances verknüpft ist, werden diese DB-Instances neu gestartet. Weitere Informationen finden Sie unter Entfernen einer Option aus einer Optionsgruppe.

  • Ändern Sie die DB-Instance und legen sie eine andere Optionsgruppe für sie fest, in der die Option Label Security nicht enthalten ist, um die Option aus einer einzelnen DB-Instance zu entfernen. Sie können die (leere) Standardoptionsgruppe oder eine andere benutzerdefinierte Optionsgruppe angeben. Wenn Sie die Label Security-Option entfernen, entsteht während des automatischen Neustarts Ihrer DB-Instance ein kurzzeitiger Nutzungsausfall. Weitere Informationen finden Sie unter Ändern einer Amazon RDS-DB-Instance.

Fehlersuche

Die folgenden Probleme können bei der Verwendung von Oracle Label Security auftreten.

Problem Vorschläge für die Fehlerbehebung

Wenn Sie eine Richtlinie erstellen möchten, wird die Fehlermeldung ähnlich der folgenden angezeigt: insufficient authorization for the SYSDBA package

Es gibt bei dem Oracle Label Security-Feature ein bekanntes Problem, das verhindert, dass Benutzer, deren Benutzername genau 16 oder genau 24 Zeichen lang ist, die Label Security-Befehle ausführen können. Erstellen Sie in diesem Fall einen neuen Benutzer, dessen Name nicht genau 16 oder 24 Zeichen lang ist, erteilen Sie diesem Benutzer die Rolle LBAC_DBA, melden Sie sich mit den Anmeldeinformationen dieses Benutzers an und führen Sie die OLS-Befehle unter diesem neuen Benutzerkonto aus. Wenden Sie sich an den Oracle-Support, um weitere Informationen zu erhalten.