Oracle Label Security - Amazon Relational Database Service

Oracle Label Security

Amazon RDS unterstützt Oracle Label Security für die Enterprise Edition von Oracle Database durch die Verwendung der OLS-Option.

Die meisten Datenbanksicherheitskontrollen greifen auf die Ebene von Objekten zu. Oracle Label Security ermöglicht eine feinere Steuerung des Zugriffs auf einzelne Tabellenspalten. Sie können beispielsweise Label Security verwenden, um regulatorische Compliance mit einem richtlinienbasierten Verwaltungsmodell durchzusetzen. Sie können mit Label Security-Richtlinien den Zugriff auf sensible Daten steuern und den Zugriff auf Benutzer mit einer entsprechenden Berechtigungsstufe beschränken. Weitere Informationen finden Sie unter Introduction to Oracle Label Security in der Oracle-Dokumentation.

Voraussetzungen für Oracle Label Security

Machen Sie sich mit den folgenden Voraussetzungen für Oracle Label Security vertraut:

  • Ihre DB-Instance muss das Modell "Bring Your Own License" verwenden. Weitere Informationen finden Sie unter Oracle-Lizenzierungsoptionen.

  • Sie benötigen eine gültige Lizenz für Oracle Enterprise Edition mit Softwareupdate-Lizenz und Support.

  • Ihre Oracle-Lizenz muss die Label Security-Option enthalten.

  • Sie müssen die nicht mandantenante Datenbankarchitektur anstelle der Single-Tenant-Architektur verwenden. Weitere Informationen finden Sie unter RDS for Oracle-Architektur.

Hinzufügen der Oracle Label Security-Option

Der allgemeine Vorgang für das Hinzufügen der Oracle Label Security-Option zu einer DB-Instance ist wie folgt:

  1. Erstellen Sie eine neue Optionsgruppe oder kopieren oder ändern Sie eine bestehende Optionsgruppe.

  2. Hinzufügen der Option zur Optionsgruppe.

    Wichtig

    Oracle Label Security ist eine permanente und persistente Option.

  3. Ordnen Sie die Optionsgruppe der DB-Instance zu.

Nachdem Sie die Label Security-Option hinzugefügt haben, ist Label Security aktiviert, sobald die Optionsgruppe aktiviert ist.

So fügen Sie einer DB-Instance die Label Security-Option hinzu:

  1. Bestimmen Sie die zu verwendende Optionsgruppe. Sie können eine Optionsgruppe erstellen oder eine bestehende Optionsgruppe verwenden. Wenn Sie eine bestehende Optionsgruppe verwenden möchten, fahren Sie mit dem nächsten Schritt fort. Erstellen Sie andernfalls eine benutzerdefinierte DB-Optionsgruppe mit folgenden Einstellungen:

    1. Wählen Sie für Engine die Option oracle-ee aus.

    2. Wählen Sie für Major Engine Version (Engine-Hauptversion) die Version Ihrer DB-Instance aus.

    Weitere Informationen finden Sie unter Erstellen einer Optionsgruppe.

  2. Fügen Sie der Optionsgruppe die Option OLS hinzu. Weitere Informationen über das Hinzufügen von Optionen finden Sie unter Hinzufügen einer Option zu einer Optionsgruppe.

    Wichtig

    Wenn Sie einer bestehenden Optionsgruppe, die bereits mit einer oder mehreren DB-Instances verknüpft ist, die Label Security-Option hinzufügen, werden alle DB-Instances neu gestartet.

  3. Ordnen Sie die Optionsgruppe einer neuen oder bestehenden DB-Instance zu:

    • Einer neuen DB-Instance wird die Optionsgruppe beim Starten der Instance zugewiesen. Weitere Informationen finden Sie unter Erstellen einer Amazon RDS-DB-Instance.

    • Bei einer bestehenden DB-Instance weisen Sie die Optionsgruppe zu, indem Sie die Instance ändern und die neue Optionsgruppe anhängen. Wenn Sie die Label Security-Option zu einer bestehenden DB-Instance hinzufügen, entsteht während des automatischen Neustarts Ihrer DB-Instance ein kurzzeitiger Nutzungsausfall. Weitere Informationen finden Sie unter Ändern einer Amazon RDS-DB-Instance.

Verwenden von Oracle Label Security

Oracle Label Security wird verwendet, indem Richtlinien für die Steuerung des Zugriffs auf einzelne Tabellenzeilen erstellt werden. Weitere Informationen finden Sie unter Creating an Oracle Label Security Policy in der Oracle-Dokumentation.

Wenn Sie Label Security verwenden, werden alle Aktionen unter der Rolle LBAC_DBA ausgeführt. Die Rolle LBAC_DBA ist zunächst dem Masterbenutzer für Ihre DB-Instance zugewiesen. Sie können die Rolle LBAC_DBA auch anderen Benutzern zuweisen, damit weitere Benutzer in der Lage sind, Label Security-Richtlinien zu verwalten.

Stellen Sie für die folgenden Versionen sicher, dass Sie allen neuen Benutzern, die Zugriff auf Oracle Label Security benötigen, Zugriff auf das OLS_ENFORCEMENT-Paket erteilen:

  • Oracle Database 19c mit Nicht-CDB-Architektur

  • Oracle Database 12c Release 2 (12.2)

Um einem Benutzer Zugriff auf das OLS_ENFORCEMENT-Paket zu gewähren, verbinden Sie sich als Hauptbenutzer mit der DB-Instance und führen Sie die folgende SQL-Anweisung aus:

GRANT ALL ON LBACSYS.OLS_ENFORCEMENT TO username;

Sie können Label Security über Oracle-Enterprise-Manager-(OEM)-Cloud-Kontrolle konfigurieren. Amazon RDS unterstützt die OEM-Cloud-Kontrolle über die Option Managementagent. Weitere Informationen finden Sie unter Oracle Management Agent für Enterprise Cloud Control.

Entfernen der Oracle Label Security-Option

Sie können Oracle Label Security aus einer DB-Instance entfernen.

Führen Sie die folgenden Schritte aus, um Label Security aus einer DB-Instance zu entfernen:

  • Entfernen Sie die Option „Label Security“ aus der zugehörigen Optionsgruppe, um Label Security aus mehreren DB-Instances zu entfernen. Diese Änderung wirkt sich auf alle DB-Instances aus, die die betreffende Optionsgruppe verwenden. Wenn Sie Label Security aus einer bestehenden Optionsgruppe entfernen, die mit einer oder mehreren DB-Instances verknüpft ist, werden diese DB-Instances neu gestartet. Weitere Informationen finden Sie unter Entfernen einer Option aus einer Optionsgruppe.

  • Ändern Sie die DB-Instance und legen sie eine andere Optionsgruppe für sie fest, in der die Option Label Security nicht enthalten ist, um die Option aus einer einzelnen DB-Instance zu entfernen. Sie können die (leere) Standardoptionsgruppe oder eine andere benutzerdefinierte Optionsgruppe angeben. Wenn Sie die Label Security-Option entfernen, entsteht während des automatischen Neustarts Ihrer DB-Instance ein kurzzeitiger Nutzungsausfall. Weitere Informationen finden Sie unter Ändern einer Amazon RDS-DB-Instance.

Fehlerbehebung

Die folgenden Probleme können bei der Verwendung von Oracle Label Security auftreten.

Problem Vorschläge für die Fehlerbehebung

Wenn Sie eine Richtlinie erstellen möchten, wird die Fehlermeldung ähnlich der folgenden angezeig: insufficient authorization for the SYSDBA package.

Es gibt bei dem Oracle Label Security-Feature ein bekanntes Problem, das verhindert, dass Benutzer, deren Benutzername genau 16 oder genau 24 Zeichen lang ist, die Label Security-Befehle ausführen können. Erstellen Sie in diesem Fall einen neuen Benutzer, dessen Name nicht genau 16 oder 24 Zeichen lang ist, erteilen Sie diesem Benutzer die Rolle LBAC_DBA, melden Sie sich mit den Anmeldeinformationen dieses Benutzers an und führen Sie die OLS-Befehle unter diesem neuen Benutzerkonto aus. Wenden Sie sich an den Oracle-Support, um weitere Informationen zu erhalten.