Oracle 레이블 보안 - Amazon Relational Database Service

Oracle 레이블 보안

Amazon RDS에서는 OLS 옵션을 사용하여 Oracle Database의 Enterprise Edition에 대한 Oracle 레이블 보안을 지원합니다.

대부분의 데이터베이스 보안에서는 객체 수준에서 액세스를 제어합니다. Oracle 레이블 보안에서는 개별 테이블 행에 대한 액세스를 세부적으로 제어합니다. 예를 들어 레이블 보안을 사용하면 정책 기반 관리 모델을 통해 규제 준수를 이행할 수 있습니다. 레이블 보안 정책을 사용하여 중요 데이터에 대한 액세스를 제어하고 적절한 권한을 가진 사용자로 액세스를 제한할 수 있습니다. 자세한 내용은 Oracle 설명서의 Introduction to Oracle Label Security를 참조하십시오.

Oracle 레이블 보안에 대한 필수 선행 조건

Oracle 레이블 보안에 대한 다음 사전 조건을 숙지하세요.

  • DB 인스턴스에서 기본 보유 라이선스 사용 모델을 사용해야 합니다. 자세한 내용은 RDS for Oracle 라이선스 옵션 섹션을 참조하세요.

  • Oracle Enterprise Edition에 유효한 라이선스(소프트웨어 업데이트 라이선스 및 지원 포함)가 있어야 합니다.

  • Oracle 라이선스에 레이블 보안 옵션이 포함되어 있어야 합니다.

  • 비멀티테넌트(비CDB) 데이터베이스 아키텍처를 사용해야 합니다. 자세한 내용은 CDB 아키텍처의 단일 테넌트 구성 섹션을 참조하세요.

Oracle 레이블 보안 옵션 추가

Oracle 레이블 보안 옵션을 DB 인스턴스에 추가하는 일반적인 프로세스는 다음과 같습니다.

  1. 새 옵션 그룹을 생성하거나 기존 옵션 그룹을 복사 또는 수정합니다.

  2. 옵션을 옵션 그룹에 추가합니다.

    중요

    Oracle 레이블 보안은 영구적이고 지속적인 옵션입니다.

  3. 옵션 그룹을 DB 인스턴스에 연결합니다.

레이블 보안 옵션을 추가하면 옵션 그룹이 활성화되고 레이블 보안이 활성화됩니다.

DB 인스턴스에 레이블 보안 옵션을 추가하려면
  1. 사용할 옵션 그룹을 결정합니다. 새 옵션 그룹을 생성하거나 기존 옵션 그룹을 사용합니다. 기존 옵션 그룹을 사용하려면 다음 단계로 건너뛰십시오. 그렇지 않으면 다음 설정을 사용하여 사용자 지정 DB 옵션을 생성합니다.

    1. [Engine]에서 [oracle-ee]를 선택합니다.

    2. 메이저 엔진 버전에서 DB 인스턴스의 버전을 선택합니다.

    자세한 내용은 옵션 그룹 생성 섹션을 참조하세요.

  2. [OLS] 옵션을 옵션 그룹에 추가합니다. 옵션 추가에 대한 자세한 내용은 옵션 그룹에 옵션 추가 섹션을 참조하세요.

    중요

    하나 이상의 DB 인스턴스에 이미 연결되어 있는 기존 옵션 그룹에 레이블 보안을 추가하면 모든 DB 인스턴스가 다시 시작됩니다.

  3. 옵션 그룹을 새 DB 인스턴스 또는 기존 DB 인스턴스에 적용합니다:

    • 새 DB 인스턴스의 경우, 인스턴스를 시작할 때 옵션 그룹을 적용합니다. 자세한 내용은 Amazon RDS DB 인스턴스 생성 섹션을 참조하세요.

    • 기존 DB 인스턴스의 경우, 해당 인스턴스를 수정하고 새 옵션 그룹을 연결하여 옵션 그룹을 적용합니다. 기존 DB 인스턴스에 레이블 보안 옵션을 추가하는 경우 DB 인스턴스를 자동으로 다시 시작하는 동안 인스턴스가 잠시 중단됩니다. 자세한 내용은 Amazon RDS DB 인스턴스 수정 섹션을 참조하세요.

Oracle 레이블 보안 사용

Oracle 레이블 보안을 사용하려면 테이블의 특정 행에 대한 액세스를 제어하는 정책을 생성합니다. 자세한 내용은 Oracle 설명서의 Creating an Oracle Label Security Policy를 참조하십시오.

레이블 보안을 사용할 경우 모든 작업을 LBAC_DBA 역할로 수행합니다. LBAC_DBA 역할은 DB 인스턴스에 대한 마스터 사용자에게 부여됩니다. 다른 사용자에게 레이블 보안 정책을 관리할 수 있는 LBAC_DBA 역할을 부여할 수 있습니다.

다음 릴리스의 경우 Oracle 레이블 보안에 액세스해야 하는 새로운 사용자에게 OLS_ENFORCEMENT 패키지에 대한 액세스 권한을 부여해야 합니다.

  • 비 CDB 아키텍처를 사용하는 Oracle Database 19c

  • Oracle Database 12c 릴리스 2(12.2)

OLS_ENFORCEMENT 패키지에 대한 액세스 권한을 부여하려면 마스터 사용자로 DB 인스턴스에 연결하고 다음 SQL 문을 실행합니다.

GRANT ALL ON LBACSYS.OLS_ENFORCEMENT TO username;

Oracle Enterprise Manager(OEM) Cloud Control을 통해 레이블 보안을 구성할 수 있습니다. Amazon RDS는 Management Agent 옵션을 통해 OEM Cloud Control을 지원합니다. 자세한 내용은 Oracle Management Agent for Enterprise Manager Cloud Control 섹션을 참조하세요.

Oracle 레이블 보안 옵션 제거(지원되지 않음)

Oracle 레이블 보안은 Oracle Database 12c 릴리스 2(12.2)부터 영구적이고 지속적인 옵션입니다. 이 옵션은 영구적이므로 옵션 그룹에서 제거할 수 없습니다. Oracle 레이블 보안을 옵션 그룹에 추가하고 이를 DB 인스턴스와 연결하면 나중에 다른 옵션 그룹을 DB 인스턴스와 연결할 수 있지만 이 그룹에는 Oracle 레이블 보안 옵션도 포함되어야 합니다.

문제 해결

다음은 Oracle 레이블 보안을 사용할 때 생길 수 있는 문제입니다.

문제 문제 해결 제안

정책을 생성하려고 하면 다음과 비슷한 오류 메시지가 표시됩니다. insufficient authorization for the SYSDBA package.

사용자의 이름이 16자 또는 24자인 경우 레이블 보안 명령을 실행할 수 없는 Oracle 레이블 보안 기능의 알려진 문제입니다. 새 사용자의 이름 문자 수를 변경하고 새 사용자에게 LBAC_DBA를 부여한 다음 새 사용자로 로그인하여 OLS 명령을 실행할 수 있습니다. 자세한 내용은 Oracle 지원 부서에 문의하세요.