Oracle Label Security - Amazon Relational Database Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Oracle Label Security

Amazon RDS prend en charge Oracle Label Security pour Oracle Database Enterprise Edition, grâce à l'utilisation de l'option OLS.

La plupart des contrôles de sécurité de base de données accèdent au niveau de l'objet. Oracle Label Security offre un contrôle d'accès précis aux lignes de table individuelles. Par exemple, vous pouvez utiliser Label Security pour assurer la conformité réglementaire avec un modèle d'administration basé sur politique. Vous pouvez utiliser des politiques Label Security pour contrôler l'accès aux données sensibles et limiter l'accès aux seuls utilisateurs dotés du niveau d'autorisation approprié. Pour plus d'informations, consultez Introduction to Oracle Label Security dans la documentation Oracle.

Prérequis pour Oracle Label Security

Familiarisez-vous avec les conditions préalables suivantes pour Oracle Label Security :

  • Votre instance de base de données doit utiliser le modèle Bring Your Own License. Pour plus d'informations, consultez Options de licence RDS for Oracle.

  • Vous devez disposer d'une licence valide pour Oracle Enterprise Edition avec la licence de mise à jour du logiciel et le support.

  • Votre licence Oracle doit inclure l'option Label Security.

  • Vous devez utiliser l'architecture de base de données non multilocataire (non-CDB). Pour de plus amples informations, veuillez consulter Configuration à locataire unique de l'architecture CDB.

Ajout de l'option Oracle Label Security

Le processus général d'ajout de l'option Oracle Label Security à une instance de base de données est le suivant :

  1. Créer un groupe d'options ou copier ou modifier un groupe existant.

  2. Ajoutez l'option au groupe d'options.

    Important

    Oracle Label Security est une option permanente et persistante.

  3. Associez le groupe d'options à l'instance de base de données.

Lorsque vous ajoutez l'option Label Security, dès que le groupe d'options est actif, l'option Label Security est active.

Pour ajouter l'option Label Security à une instance de base de données
  1. Déterminez le groupe d'options que vous voulez utiliser. Vous pouvez créer un groupe d'options ou utiliser un groupe d'options existant. Si vous souhaitez utiliser un groupe d'options existant, passez à l'étape suivante. Sinon, créez un groupe d'options DB personnalisé avec les paramètres suivants :

    1. Pour Moteur, choisissez oracle-ee.

    2. Pour Version majeure du moteur, choisissez la version de votre instance de base de données.

    Pour plus d'informations, consultez Création d'un groupe d'options.

  2. Ajouter l'option OLS au groupe d'options. Pour plus d'informations sur l'ajout d'options, consultez Ajout d'une option à un groupe d'options.

    Important

    Si vous ajoutez l'option Label Security dans un groupe d'options existant qui est déjà attaché à une ou plusieurs instances de base de données, toutes les instances de base de données sont redémarrées.

  3. Appliquez le groupe d'options à une instance de base de données nouvelle ou existante:

    • Pour une nouvelle instance de base de données, vous appliquez le groupe d'options lorsque vous lancez l'instance. Pour plus d'informations, consultez Création d'une instance de base de données Amazon RDS.

    • Pour une instance de base de données existante, vous appliquez le groupe d'options en modifiant l'instance et en attachant le nouveau groupe d'options. Lorsque vous ajoutez l'option Label Security à une instance de base de données existante, une brève panne se produit pendant le redémarrage automatique de votre instance de base de données. Pour plus d'informations, consultez Modification d'une instance de base de données Amazon RDS.

Utilisation d'Oracle Label Security

Pour utiliser Oracle Label Security, vous créez des politiques qui contrôlent l'accès à des lignes spécifiques dans vos tables. Pour plus d'informations, consultez Creating an Oracle Label Security Policy (Créer une stratégie Oracle Label Security) dans la documentation Oracle.

Lorsque vous travaillez avec Label Security, vous effectuez toutes les actions au rôle de LBAC_DBA. L'utilisateur principal pour votre instance de base de données se voit accorder le rôle LBAC_DBA. Vous pouvez accorder le rôle LBAC_DBA à d'autres utilisateurs pour leur permettre d'administrer des politiques Label Security.

Pour les versions suivantes, veillez à accorder l'accès au package OLS_ENFORCEMENT à tous les nouveaux utilisateurs qui ont besoin d'accéder à Oracle Label Security :

  • Oracle Database 19c utilisant l'architecture non CDB

  • Oracle Database 12c version 2 (12.2)

Pour accorder l'accès au package OLS_ENFORCEMENT, connectez-vous à l'instance de base de données en tant qu'utilisateur principal, puis exécutez l'instruction SQL suivante :

GRANT ALL ON LBACSYS.OLS_ENFORCEMENT TO username;

Vous pouvez configurer Label Security via l'Oracle Enterprise Manager (OEM) Cloud Control. Amazon RDS prend en charge l'OEM Cloud Control via l'option Management Agent. Pour de plus amples informations, veuillez consulter Oracle Management Agent pour Enterprise Manager Cloud Control.

Suppression de l'option Oracle Label Security (non prise en charge)

Depuis Oracle Database 12c version 2 (12.2), Oracle Label Security est une option permanente et persistante. Comme cette option est permanente, vous ne pouvez pas la supprimer d'un groupe d'options. Si vous ajoutez Oracle Label Security à un groupe d'options et que vous l'associez à votre instance de base de données, vous pouvez ultérieurement associer un autre groupe d'options à votre instance de base de données, mais ce groupe doit également contenir l'option Oracle Label Security.

Résolution des problèmes

Ci-après des problèmes que vous pouvez rencontrer en utilisant Oracle Label Security.

Problème Suggestions de dépannage

Lorsque vous essayez de créer une stratégie, vous voyez un message d'erreur similaire à ce qui suit : insufficient authorization for the SYSDBA package.

Un problème connu avec la fonctionnalité Label Security d'Oracle empêche les utilisateurs avec des noms d'utilisateur de 16 ou 24 caractères d'exécuter des commandes Label Security. Vous pouvez créer un nouvel utilisateur comportant un nombre différent de caractères, accorder LBAC_DBA au nouvel utilisateur, vous connecter comme le nouvel utilisateur et exécuter les commandes OLS en tant que ce nouvel utilisateur. Pour plus d'informations, veuillez contacter le support d'Oracle.