Oracle Label Security - Amazon Relational Database Service

Oracle Label Security

O Amazon RDS oferece suporte ao Oracle Label Security para a Enterprise Edition do Oracle Database 12c, com o uso da opção OLS.

A maioria dos controles de segurança do banco de dados acessa o nível do objeto. O Oracle Label Security fornece um controle de acesso granular a linhas de tabela individuais. Por exemplo, você pode usar o Label Security para impor a conformidade regulamentar com um modelo de administração baseado em políticas. Você pode usar as políticas do Label Security para controlar o acesso a dados confidenciais e permitir o acesso somente para os usuários com o nível de autorização apropriado. Para obter mais informações, consulte o tópico de introdução ao Oracle Label Security, na documentação da Oracle.

Importante

Para o Oracle Database 19c e o Oracle Database 12c Versão 2 (12.2) on Amazon RDS, o Oracle Label Security é uma opção permanente e persistente.

Pré-requisitos para o Oracle Label Security

Veja a seguir os pré-requisitos para usar o Oracle Label Security:

  • Sua instância de banco de dados deve usar o modelo "Traga sua própria licença". Para obter mais informações, consulte Opções de licenciamento da Oracle.

  • Você deve ter uma licença válida para o Oracle Enterprise Edition com Suporte e licença para atualização de software.

  • Sua licença Oracle deve incluir a opção Label Security.

  • Você deve estar usando a arquitetura de banco de dados não multilocatário em vez da arquitetura de locatário único. Para obter mais informações, consulte Arquitetura do RDS para Oracle.

Adicionar a opção Oracle Label Security

O processo geral para adicionar a opção Oracle Label Security a uma instância de banco de dados é o seguinte:

  1. Crie um novo grupo de opções, ou copie ou modifique um existente.

  2. Adicione a opção ao grupo de opções.

  3. Associe o grupo de opções à instância de banco de dados.

Depois de adicionar a opção Label Security, assim que o grupo de opções estiver ativo, o Label Security ficará ativo.

Como adicionar a opção Label Security a uma instância de banco de dados

  1. Determine o grupo de opções que você deseja usar. Você pode criar um novo grupo de opções ou usar um existente. Se você quiser usar um grupo de opções existente, vá para a próxima etapa. Caso contrário, crie um grupo de opções de banco de dados personalizado com as seguintes configurações:

    1. Para Engine (Mecanismo), escolha oracle-ee.

    2. Para Major engine version (Versão do mecanismo principal), escolha a versão da sua instância de banco de dados.

    Para obter mais informações, consulte Criar um grupo de opções.

  2. Adicione a opção OLS ao grupo de opções. Para mais informações sobre a adição de opções, consulte Adicionar uma opção a um grupo de opções.

    Importante

    Se você adicionar Label Security a um grupo de opções existente que já esteja conectado a uma ou mais instâncias de banco de dados, todas estas serão reiniciadas.

  3. Aplique o grupo de opções a uma instância de banco de dados nova ou existente:

    • Para uma nova instância de banco de dados, você aplica o grupo de opções ao executar a instância. Para obter mais informações, consulte Criar uma instância de banco de dados do Amazon RDS.

    • Para uma instância de banco de dados existente, você aplica o grupo de opções modificando a instância e anexando o novo grupo de opções. Quando você adiciona a opção Label Security a uma instância de banco de dados existente, ocorre uma breve interrupção enquanto sua instância de banco de dados é reiniciada automaticamente. Para obter mais informações, consulte Modificar uma instância de banco de dados do Amazon RDS.

Usar o Oracle Label Security

Para usar o Oracle Label Security, você cria políticas que controlam o acesso a linhas específicas nas suas tabelas. Para obter mais informações, consulte o tópico sobre como Criar uma política do Oracle Label Security, na documentação da Oracle.

Ao trabalhar com o Label Security, você realiza todas as ações como a função LBAC_DBA. O usuário mestre da sua instância de banco de dados recebe a função LBAC_DBA. Você pode conceder a função LBAC_DBA a outros usuários, para que eles possam administrar políticas do Label Security.

Para instâncias de banco de dados Amazon RDS for Oracle Database 19c e Oracle Database 12c Versão 2 (12.2), você deve conceder acesso ao pacote OLS_ENFORCEMENT para todos os novos usuários que precisam de acesso ao Oracle Label Security. Para conceder acesso ao pacote OLS_ENFORCEMENT, conecte-se à instância de banco de dados como o usuário mestre e execute a seguinte instrução SQL:

GRANT ALL ON LBACSYS.OLS_ENFORCEMENT TO username;

É possível configurar o Label Security por meio do Oracle Enterprise Manager (OEM) Cloud Control. O Amazon RDS é compatível com o OEM Cloud Control pelo uso da opção Management Agent. Para obter mais informações, consulte Oracle Management Agent para Enterprise Manager Cloud Control.

Remover a opção Oracle Label Security

Você pode remover a opção Oracle Label Security de uma instância de banco de dados.

Para remover o Label Security de uma instância de banco de dados, siga um destes procedimentos:

  • Para remover o Label Security de várias instâncias de bancos de dados, remova a opção Label Security do grupo de opções ao qual elas pertencem. Essa alteração afeta todas as instâncias de bancos de dados que usam o grupo de opções. Quando você remove o Label Security de um grupo de opções conectado a várias instâncias de bancos de dados, todas estas são reiniciadas. Para obter mais informações, consulte Remover uma opção de um grupo de opções.

  • Para remover o Label Security de uma única instância de banco de dados, modifique essa instância e especifique um grupo de opções diferente que não inclua a opção Label Security. Você pode especificar um grupo de opções padrão (vazio) ou criar um grupo de opções personalizado diferente. Quando você remove a opção Label Security, ocorre uma breve interrupção enquanto sua instância de banco de dados é reiniciada automaticamente. Para obter mais informações, consulte Modificar uma instância de banco de dados do Amazon RDS.

Troubleshooting

Os problemas a seguir podem ocorrer ao usar o Oracle Label Security.

Problema Sugestões de solução de problemas

Ao tentar criar uma política, você vê uma mensagem de erro semelhante à seguinte: insufficient authorization for the SYSDBA package.

Um problema conhecido com o recurso Label Security da Oracle impede que os usuários com nomes de usuários de 16 ou 24 caracteres executem comandos do Label Security. Você pode criar um novo usuário com um número diferente de caracteres, conceder LBAC_DBA ao novo usuário, fazer login como esse novo usuário e executar os comandos do OLS como esse novo usuário. Para obter informações adicionais, entre em contato com o suporte da Oracle.