Oracle Label Security
Amazon RDS es compatible con Oracle Label Security para Enterprise Edition de Oracle Database con la opción OLS.
La mayoría de los sistemas de seguridad de bases de datos controlan el acceso en el nivel de objeto. Oracle Label Security proporciona un control de acceso muy preciso a cada una de las filas de las tablas. Por ejemplo, puede utilizar Label Security para imponer el cumplimiento de las normativas mediante un modelo de administración basado en políticas. Puede utilizar las políticas de Label Security para controlar el acceso a la información confidencial y restringirlo únicamente a los usuarios con el nivel adecuado. Para obtener más información, consulte Introduction to Oracle Label Security
Temas
Requisitos previos de Oracle Label Security
Familiarícese con los siguientes requisitos previos para Oracle Label Security:
-
La instancia de base de datos debe utilizar el modelo Bring Your Own License (BYOL, "Traiga su propia licencia"). Para obtener más información, consulte Opciones de licencias de RDS para Oracle.
-
Debe tener una licencia válida de Oracle Enterprise Edition con Software Update License and Support.
-
La licencia de Oracle debe incluir la opción Label Security.
-
Debe utilizar la arquitectura de base de datos que no es de multitenencia (no CDB). Para obtener más información, consulte Configuración de un solo inquilino de la arquitectura CDB.
Adición de la opción Oracle Label Security
El proceso general para añadir la opción Oracle Label Security a una instancia de base de datos es el siguiente:
Cree un grupo de opciones nuevo o copie o modifique un grupo de opciones existente.
Añada la opción al grupo de opciones.
importante
Oracle Label Security es una opción permanente y persistente.
Asocie el grupo de opciones a la instancia de base de datos.
Después de añadir la opción Label Security, esta se activará en cuanto se active el grupo de opciones.
Para agregar la opción Label Security a una instancia de base de datos
-
Determine el grupo de opciones que desea utilizar. Puede crear un grupo de opciones o utilizar uno existente. Si desea utilizar un grupo de opciones existente, vaya al siguiente paso. De lo contrario, cree un grupo de opciones de base de datos personalizado con las siguientes opciones:
-
En Engine, elija oracle-ee.
-
En Major engine version (Versión principal del motor), elija la versión de su instancia de base de datos.
Para obtener más información, consulte Creación de un grupo de opciones.
-
-
Añada la opción OLS al grupo de opciones. Para obtener más información acerca de la adición de opciones, consulte Agregar una opción a un grupo de opciones.
importante
Si añade Label Security a un grupo de opciones existente que ya está asociado a una o varias instancias de bases de datos, se reinician todas las instancias de bases de datos.
-
Aplique el grupo de opciones a una instancia de base de datos nueva o existente:
-
Si se trata de una instancia de base de datos nueva, el grupo de opciones se aplica cuando se lanza la instancia. Para obtener más información, consulte Creación de una instancia de base de datos de Amazon RDS.
-
Para una instancia de base de datos existente, el grupo de opciones se aplica modificando la instancia y asociando el grupo de opciones nuevo. Cuando se añade la opción Label Security a una instancia de base de datos existente, se produce una breve interrupción mientras la instancia de base de datos se reinicia automáticamente. Para obtener más información, consulte Modificación de una instancia de base de datos de Amazon RDS.
-
Uso de Oracle Label Security
Para utilizar Oracle Label Security, debe crear políticas que controlen el acceso a determinadas filas de las tablas. Para obtener más información, consulte Creating an Oracle Label Security Policy
Cuando se utiliza Label Security, todas las acciones se realizan con el rol LBAC_DBA. Al usuario maestro de la instancia de base de datos se le concede el rol LBAC_DBA. Es posible conceder el rol LBAC_DBA a otros usuarios para que puedan administrar las políticas de Label Security.
Para Oracle Database 19c que utilice una arquitectura que no sea CDB, asegúrese de conceder acceso al paquete OLS_ENFORCEMENT a cualquier usuario nuevo que requiera acceso a Oracle Label Security.
Para conceder acceso al paquete OLS_ENFORCEMENT, conéctese a la instancia de base de datos como usuario maestro y ejecute la siguiente instrucción SQL:
GRANT ALL ON LBACSYS.OLS_ENFORCEMENT TOusername;
Puede configurar Label Security a través de Oracle Enterprise Manager (OEM) Cloud Control. Amazon RDS es compatible con OEM Cloud Control mediante el uso de la opción Management Agent. Para obtener más información, consulte Oracle Management Agent para Enterprise Manager Cloud Control.
Eliminación de la opción Oracle Label Security (no compatible)
Oracle Label Security es una opción permanente y persistente. Puesto que la opción es permanente no se puede quitar de un grupo de opciones. Si agrega Oracle Label Security a un grupo de opciones y lo asocia a su instancia de base de datos, más adelante podrá asociar un grupo de opciones diferente a su instancia de base de datos, pero este grupo también deberá contener la opción Oracle Label Security.
Resolución de problemas
A continuación se muestran los problemas que pueden presentarse al utilizar Oracle Label Security.
| Problema | Sugerencias para la solución de problemas |
|---|---|
|
Al intentar crear una política, ve un mensaje de error similar al siguiente: |
Un problema conocido de la característica Oracle Label Security impide que los usuarios cuyos nombres tienen 16 o 24 caracteres ejecuten comandos de Label Security. Puede crear otro usuario con un número de caracteres distinto, conceder el rol LBAC_DBA a dicho usuario, iniciar sesión con las credenciales de ese usuario y ejecutar los comandos de OLS con ellas. Para obtener más información, póngase en contacto con el servicio de soporte de Oracle. |
