Amazon Relational Database Service
Guide de l'utilisateur

Oracle Label Security

Amazon RDS prend en charge Oracle Label Security pour Oracle Enterprise Edition, version 12c, grâce à l'utilisation de l'option OLS.

La plupart des contrôles de sécurité de base de données accèdent au niveau de l'objet. Oracle Label Security offre un contrôle d'accès précis aux lignes de table individuelles. Par exemple, vous pouvez utiliser Label Security pour assurer la conformité réglementaire avec un modèle d'administration basé sur stratégie. Vous pouvez utiliser des stratégies Label Security pour contrôler l'accès aux données sensibles et limiter l'accès aux seuls utilisateurs dotés du niveau d'autorisation approprié. Pour plus d'informations, consultez Introduction to Oracle Label Security dans la documentation Oracle.

Important

Pour Oracle 18c et Oracle 12c version 12.2 sur Amazon RDS, Oracle Label Security est une option permanente et persistante. Vous ne pouvez pas supprimer Oracle Label Security d'une instance de base de données Oracle version 18c ou 12.2.

Prérequis pour Oracle Label Security

Pour pouvoir utiliser Oracle Label Security, vous devez impérativement disposer des éléments suivants :

  • Votre instance de base de données doit utiliser le modèle Bring Your Own License. Pour plus d'informations, consultez Licences Oracle.

  • Vous devez disposer d'une licence valide pour Oracle Enterprise Edition avec la licence de mise à jour du logiciel et le support.

  • Votre licence Oracle doit inclure l'option Label Security.

Ajout de l'option Oracle Label Security

Le processus général d'ajout de l'option Oracle Label Security à une instance de base de données est le suivant :

  1. Créer un groupe d'options ou copier ou modifier un groupe existant.

  2. Ajouter l'option au groupe d'options.

  3. Associez le groupe d'options à l'instance de base de données.

Lorsque vous ajoutez l'option Label Security, dès que le groupe d'options est actif, l'option Label Security est active.

Pour ajouter l'option Label Security à une instance de base de données

  1. Déterminez le groupe d'options que vous voulez utiliser. Vous pouvez créer un groupe d'options ou utiliser un groupe d'options existant. Si vous souhaitez utiliser un groupe d'options existant, passez à l'étape suivante. Sinon, créez un groupe d'options DB personnalisé avec les paramètres suivants :

    1. Pour Moteur, choisissez oracle-ee.

    2. Pour Version majeure du moteur, choisissez la version de votre instance de base de données.

    Pour de plus amples informations, veuillez consulter Création d'un groupe d'options.

  2. Ajouter l'option OLS au groupe d'options. Pour de plus amples informations sur l'ajout d'options, veuillez consulter Ajout d'une option à un groupe d'options.

    Important

    Si vous ajoutez l'option Label Security dans un groupe d'options existant qui est déjà attaché à une ou plusieurs instances de base de données, toutes les instances de base de données sont redémarrées.

  3. Appliquez le groupe d'options à une instance de base de données nouvelle ou existante:

Utilisation d'Oracle Label Security

Pour utiliser Oracle Label Security, vous créez des stratégies qui contrôlent l'accès à des lignes spécifiques dans vos tables. Pour plus d'informations, consultez Creating an Oracle Label Security Policy (Créer une stratégie Oracle Label Security) dans la documentation Oracle.

Lorsque vous travaillez avec Label Security, vous effectuez toutes les actions au rôle de LBAC_DBA. L'utilisateur principal pour votre instance de base de données se voit accorder le rôle LBAC_DBA. Vous pouvez accorder le rôle LBAC_DBA à d'autres utilisateurs pour leur permettre d'administrer des stratégies Label Security.

Pour les instances de base de données Amazon RDS pour Oracle 18c et 12.2, vous devez accorder l'accès au package OLS_ENFORCEMENT à tous les nouveaux utilisateurs qui ont besoin d'accéder à Oracle Label Security. Pour accorder l'accès au package OLS_ENFORCEMENT, connectez-vous à l'instance de base de données en tant qu'utilisateur principal, puis exécutez l'instruction SQL suivante :

GRANT ALL ON LBACSYS.OLS_ENFORCEMENT TO username;

Vous pouvez configurer Label Security via Oracle Enterprise Manager (OEM) Cloud Control. Amazon RDS prend en charge OEM Cloud Control via l'option Management Agent. Pour plus d'informations, consultez Oracle Management Agent pour Enterprise Manager Cloud Control.

Suppression de l'option Oracle Label Security

Vous pouvez supprimer Oracle Label Security sur une instance de base de données.

Pour supprimer Label Security sur une instance de base de données, effectuez l'une des actions suivantes :

  • Pour supprimer Label Security sur plusieurs instances de base de données, supprimez l'option Label Security du groupe d'options auquel elles appartiennent. Ce changement affecte toutes les instances de bases de données qui utilisent le groupe d'options. Lorsque vous supprimez Label Security sur un groupe d'options qui est attaché à plusieurs instances de base de données, toutes les instances de base de données sont redémarrées. Pour plus d'informations, consultez Suppression d'une option d'un groupe d'options.

  • Pour supprimer Label Security d'une instance de base de données particulière, modifiez l'instance de base de données et spécifiez un autre groupe d'options qui n'inclut pas l'option Label Security. Vous pouvez spécifier le groupe d'options (vide) par défaut, ou un groupe d'options personnalisées différent. Lorsque vous supprimez l'option Label Security, une brève panne se produit pendant le redémarrage automatique de votre instance de base de données. Pour plus d'informations, consultez Modification d'une instance de base de données exécutant le moteur de base de données Oracle.

Dépannage

Ci-après des problèmes que vous pouvez rencontrer en utilisant Oracle Label Security.

Problème Suggestions de dépannage

Lorsque vous essayez de créer une stratégie, vous voyez un message d'erreur similaire à ce qui suit : insufficient authorization for the SYSDBA package.

Un problème connu avec la fonctionnalité Label Security d'Oracle empêche les utilisateurs avec des noms d'utilisateur de 16 ou 24 caractères d'exécuter des commandes Label Security. Vous pouvez créer un nouvel utilisateur comportant un nombre différent de caractères, accorder LBAC_DBA au nouvel utilisateur, vous connecter comme le nouvel utilisateur et exécuter les commandes OLS en tant que ce nouvel utilisateur. Pour plus d'informations, veuillez contacter le support d'Oracle.

Rubriques connexes