Oracle Label Security - Amazon Relational Database Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Oracle Label Security

Amazon RDS prend en charge Oracle Label Security pour l'édition Enterprise d'Oracle Database grâce à l'utilisation de OLS cette option.

La plupart des contrôles de sécurité de base de données accèdent au niveau de l'objet. Oracle Label Security offre un contrôle d'accès précis aux lignes de table individuelles. Par exemple, vous pouvez utiliser Label Security pour assurer la conformité réglementaire avec un modèle d'administration basé sur politique. Vous pouvez utiliser des politiques Label Security pour contrôler l'accès aux données sensibles et limiter l'accès aux seuls utilisateurs dotés du niveau d'autorisation approprié. Pour plus d'informations, consultez Introduction to Oracle Label Security dans la documentation Oracle.

Exigences relatives à Oracle Label Security

Familiarisez-vous avec les exigences suivantes pour Oracle Label Security :

  • Votre instance de base de données doit utiliser le modèle Bring Your Own License. Pour plus d'informations, consultez RDSpour les options de licence Oracle.

  • Vous devez disposer d'une licence valide pour Oracle Enterprise Edition avec la licence de mise à jour du logiciel et le support.

  • Votre licence Oracle doit inclure l'option Label Security.

Considérations relatives à l'utilisation d'Oracle Label Security

Pour utiliser Oracle Label Security, vous créez des politiques qui contrôlent l'accès à des lignes spécifiques dans vos tables. Pour plus d'informations, consultez Creating an Oracle Label Security Policy (Créer une stratégie Oracle Label Security) dans la documentation Oracle.

Éléments à prendre en compte :

  • Oracle Label Security est une option permanente et persistante. Comme cette option est permanente, vous ne pouvez pas la supprimer d'un groupe d'options. Si vous ajoutez Oracle Label Security à un groupe d'options et que vous l'associez à votre instance de base de données, vous pouvez ultérieurement associer un autre groupe d'options à votre instance de base de données, mais ce groupe doit également contenir l'option Oracle Label Security.

  • Lorsque vous travaillez avec Label Security, vous effectuez toutes les actions en tant que LBAC_DBA rôle. Le LBAC_DBA rôle est attribué à l'utilisateur principal de votre instance de base de données. Vous pouvez attribuer le LBAC_DBA rôle à d'autres utilisateurs afin qu'ils puissent administrer les politiques de sécurité des étiquettes.

  • Assurez-vous d'accorder l'accès au OLS_ENFORCEMENT package à tous les nouveaux utilisateurs qui ont besoin d'accéder à Oracle Label Security. Pour accorder l'accès au OLS_ENFORCEMENT package, connectez-vous à l'instance de base de données en tant qu'utilisateur principal et exécutez l'SQLinstruction suivante :

    GRANT ALL ON LBACSYS.OLS_ENFORCEMENT TO username;
  • Vous pouvez configurer Label Security via Oracle Enterprise Manager (OEM) Cloud Control. Amazon RDS prend en charge OEM le contrôle du cloud via l'option d'agent de gestion. Pour de plus amples informations, veuillez consulter Oracle Management Agent pour Enterprise Manager Cloud Control.

Ajout de l'option Oracle Label Security

Le processus général d'ajout de l'option Oracle Label Security à une instance de base de données est le suivant :

  1. Créer un groupe d'options ou copier ou modifier un groupe existant.

  2. Ajoutez l'option au groupe d'options.

    Important

    Oracle Label Security est une option permanente et persistante.

  3. Associez le groupe d'options à l'instance de base de données.

Lorsque vous ajoutez l'option Label Security, dès que le groupe d'options est actif, l'option Label Security est active.

Pour ajouter l'option Label Security à une instance de base de données
  1. Déterminez le groupe d'options que vous voulez utiliser. Vous pouvez créer un groupe d'options ou utiliser un groupe d'options existant. Si vous souhaitez utiliser un groupe d'options existant, passez à l'étape suivante. Sinon, créez un groupe d'options DB personnalisé avec les paramètres suivants :

    1. Pour Moteur, choisissez oracle-ee.

    2. Pour Version majeure du moteur, choisissez la version de votre instance de base de données.

    Pour de plus amples informations, veuillez consulter Création d'un groupe d'options.

  2. Ajoutez l'OLSoption au groupe d'options. Pour plus d'informations sur l'ajout d'options, consultez Ajout d'une option à un groupe d'options.

    Important

    Si vous ajoutez l'option Label Security dans un groupe d'options existant qui est déjà attaché à une ou plusieurs instances de base de données, toutes les instances de base de données sont redémarrées.

  3. Appliquez le groupe d'options à une instance de base de données nouvelle ou existante:

    • Pour une nouvelle instance de base de données, vous appliquez le groupe d'options lorsque vous lancez l'instance. Pour plus d'informations, consultez Création d'une RDS instance de base de données Amazon.

    • Pour une instance de base de données existante, vous appliquez le groupe d'options en modifiant l'instance et en attachant le nouveau groupe d'options. Lorsque vous ajoutez l'option Label Security à une instance de base de données existante, une brève panne se produit pendant le redémarrage automatique de votre instance de base de données. Pour de plus amples informations, veuillez consulter Modification d'une RDS instance de base de données Amazon.

Résolution des problèmes

Ci-après des problèmes que vous pouvez rencontrer en utilisant Oracle Label Security.

Problème Suggestions de dépannage

Lorsque vous essayez de créer une stratégie, vous voyez un message d'erreur similaire à ce qui suit : insufficient authorization for the SYSDBA package.

Un problème connu avec la fonctionnalité Label Security d'Oracle empêche les utilisateurs avec des noms d'utilisateur de 16 ou 24 caractères d'exécuter des commandes Label Security. Vous pouvez créer un nouvel utilisateur avec un nombre de caractères différent, attribuer LBAC _ DBA au nouvel utilisateur, vous connecter en tant que nouvel utilisateur et exécuter les OLS commandes en tant que nouvel utilisateur. Pour plus d'informations, contactez le support Oracle.