Oracle Label Security - Amazon Relational Database Service

Oracle Label Security

Amazon RDS es compatible con Oracle Label Security para Enterprise Edition de Oracle Database con la opción OLS.

La mayoría de los sistemas de seguridad de bases de datos controlan el acceso en el nivel de objeto. Oracle Label Security proporciona un control de acceso muy preciso a cada una de las filas de las tablas. Por ejemplo, puede utilizar Label Security para imponer el cumplimiento de las normativas mediante un modelo de administración basado en políticas. Puede utilizar las políticas de Label Security para controlar el acceso a la información confidencial y restringirlo únicamente a los usuarios con el nivel adecuado. Para obtener más información, consulte Introduction to Oracle Label Security en la documentación de Oracle.

Requisitos previos de Oracle Label Security

Familiarícese con los siguientes requisitos previos para Oracle Label Security:

  • La instancia de base de datos debe utilizar el modelo Bring Your Own License (BYOL, "Traiga su propia licencia"). Para obtener más información, consulte Opciones de licencias de Oracle.

  • Debe tener una licencia válida de Oracle Enterprise Edition con Software Update License and Support.

  • La licencia de Oracle debe incluir la opción Label Security.

  • Debe utilizar la arquitectura de base de datos que no es de varios inquilinos en lugar de la arquitectura de un solo inquilino. Para obtener más información, consulte Arquitectura de RDS for Oracle.

Adición de la opción Oracle Label Security

El proceso general para añadir la opción Oracle Label Security a una instancia de base de datos es el siguiente:

  1. Cree un grupo de opciones nuevo o copie o modifique un grupo de opciones existente.

  2. Añada la opción al grupo de opciones.

    importante

    Oracle Label Security es una opción permanente y persistente.

  3. Asocie el grupo de opciones a la instancia de base de datos.

Después de añadir la opción Label Security, esta se activará en cuanto se active el grupo de opciones.

Para agregar la opción Label Security a una instancia de base de datos

  1. Determine el grupo de opciones que desea utilizar. Puede crear un grupo de opciones o utilizar uno existente. Si desea utilizar un grupo de opciones existente, vaya al siguiente paso. De lo contrario, cree un grupo de opciones de base de datos personalizado con las siguientes opciones:

    1. En Engine, elija oracle-ee.

    2. En Major engine version (Versión principal del motor), elija la versión de su instancia de base de datos.

    Para obtener más información, consulte Creación de un grupo de opciones.

  2. Añada la opción OLS al grupo de opciones. Para obtener más información acerca de la adición de opciones, consulte Agregar una opción a un grupo de opciones.

    importante

    Si añade Label Security a un grupo de opciones existente que ya está asociado a una o varias instancias de bases de datos, se reinician todas las instancias de bases de datos.

  3. Aplique el grupo de opciones a una instancia de base de datos nueva o existente:

    • Si se trata de una instancia de base de datos nueva, el grupo de opciones se aplica cuando se lanza la instancia. Para obtener más información, consulte Creación de una instancia de base de datos de Amazon RDS.

    • Para una instancia de base de datos existente, el grupo de opciones se aplica modificando la instancia y asociando el grupo de opciones nuevo. Cuando se añade la opción Label Security a una instancia de base de datos existente, se produce una breve interrupción mientras la instancia de base de datos se reinicia automáticamente. Para obtener más información, consulte Modificación de una instancia de base de datos de Amazon RDS.

Uso de Oracle Label Security

Para utilizar Oracle Label Security, debe crear políticas que controlen el acceso a determinadas filas de las tablas. Para obtener más información, consulte Creating an Oracle Label Security Policy en la documentación de Oracle.

Cuando se utiliza Label Security, todas las acciones se realizan con el rol LBAC_DBA. Al usuario maestro de la instancia de base de datos se le concede el rol LBAC_DBA. Es posible conceder el rol LBAC_DBA a otros usuarios para que puedan administrar las políticas de Label Security.

Para las siguientes versiones, asegúrese de conceder acceso al paquete OLS_ENFORCEMENT a cualquier usuario nuevo que requiera acceso a Oracle Label Security:

  • Oracle Database 19c con arquitectura no CDB

  • Base de datos Oracle 12c versión 2 (12.2)

Para conceder acceso al paquete OLS_ENFORCEMENT, conéctese a la instancia de base de datos como usuario maestro y ejecute la siguiente instrucción SQL:

GRANT ALL ON LBACSYS.OLS_ENFORCEMENT TO username;

Puede configurar Label Security a través de Oracle Enterprise Manager (OEM) Cloud Control. Amazon RDS es compatible con OEM Cloud Control mediante el uso de la opción Management Agent. Para obtener más información, consulte Oracle Management Agent para Enterprise Manager Cloud Control.

Eliminación de la opción Oracle Label Security

Puede eliminar Oracle Label Security de una instancia de base de datos.

Para eliminar Label Security de una instancia de base de datos, realice una de las siguientes operaciones:

  • Para eliminar Label Security de varias instancias de base de datos, elimine la opción Label Security del grupo de opciones al que pertenecen. Este cambio afecta a todas las instancias de base de datos que utilizan el grupo de opciones. Si elimina Label Security de un grupo de opciones que está asociado a varias instancias de bases de datos, se reinician todas las instancias de bases de datos. Para obtener más información, consulte Quitar una opción de un grupo de opciones.

  • Para eliminar Label Security de una sola instancia de base de datos, modifique dicha instancia y especifique otro grupo de opciones que no incluya la opción Label Security. Puede especificar el grupo de opciones predeterminado (vacío) u otro grupo de opciones personalizado. Cuando se elimina la opción Label Security, se produce una breve interrupción mientras la instancia de base de datos se reinicia automáticamente. Para obtener más información, consulte Modificación de una instancia de base de datos de Amazon RDS.

Solución de problemas

A continuación se muestran los problemas que pueden presentarse al utilizar Oracle Label Security.

Problema Sugerencias para la solución de problemas

Al intentar crear una política, ve un mensaje de error similar al siguiente: insufficient authorization for the SYSDBA package.

Un problema conocido de la característica Oracle Label Security impide que los usuarios cuyos nombres tienen 16 o 24 caracteres ejecuten comandos de Label Security. Puede crear otro usuario con un número de caracteres distinto, conceder el rol LBAC_DBA a dicho usuario, iniciar sesión con las credenciales de ese usuario y ejecutar los comandos de OLS con ellas. Para obtener más información, póngase en contacto con el servicio de soporte de Oracle.