Oracle Label Security
O Amazon RDS é compatível com o Oracle Label Security para a Enterprise Edition do Oracle Database, com o uso da opção OLS.
A maioria dos controles de segurança do banco de dados acessa o nível do objeto. O Oracle Label Security fornece um controle de acesso granular a linhas de tabela individuais. Por exemplo, você pode usar o Label Security para impor a conformidade regulamentar com um modelo de administração baseado em políticas. Você pode usar as políticas do Label Security para controlar o acesso a dados confidenciais e permitir o acesso somente para os usuários com o nível de autorização apropriado. Para obter mais informações, consulte o tópico de introdução ao Oracle Label Security
Tópicos
Pré-requisitos para o Oracle Label Security
Familiarize-se com os seguintes pré-requisitos para o Oracle Label Security:
-
Sua instância de banco de dados deve usar o modelo "Traga sua própria licença". Para obter mais informações, consulte Opções de licenciamento do RDS para Oracle.
-
Você deve ter uma licença válida para o Oracle Enterprise Edition com Suporte e licença para atualização de software.
-
Sua licença Oracle deve incluir a opção Label Security.
-
Você deve usar a arquitetura de banco de dados não multilocatário (não CDB). Para ter mais informações, consulte Configuração de locatário único da arquitetura CDB.
Adicionar a opção Oracle Label Security
O processo geral para adicionar a opção Oracle Label Security a uma instância de banco de dados é o seguinte:
Crie um novo grupo de opções, ou copie ou modifique um existente.
Adicione a opção ao grupo de opções.
Importante
O Oracle Label Security é uma opção permanente e persistente.
Associe o grupo de opções à instância de banco de dados.
Depois de adicionar a opção Label Security, assim que o grupo de opções estiver ativo, o Label Security ficará ativo.
Como adicionar a opção Label Security a uma instância de banco de dados
-
Determine o grupo de opções que você deseja usar. Você pode criar um novo grupo de opções ou usar um existente. Se você quiser usar um grupo de opções existente, vá para a próxima etapa. Caso contrário, crie um grupo de opções de banco de dados personalizado com as seguintes configurações:
-
Para Engine (Mecanismo), escolha oracle-ee.
-
Para Major engine version (Versão do mecanismo principal), escolha a versão da sua instância de banco de dados.
Para obter mais informações, consulte Criar um grupo de opções.
-
-
Adicione a opção OLS ao grupo de opções. Para mais informações sobre a adição de opções, consulte Adicionar uma opção a um grupo de opções.
Importante
Se você adicionar Label Security a um grupo de opções existente que já esteja conectado a uma ou mais instâncias de banco de dados, todas estas serão reiniciadas.
-
Aplique o grupo de opções a uma instância de banco de dados nova ou existente:
-
Para uma nova instância de banco de dados, você aplica o grupo de opções ao executar a instância. Para ter mais informações, consulte Criar uma instância de banco de dados do Amazon RDS.
-
Para uma instância de banco de dados existente, você aplica o grupo de opções modificando a instância e anexando o novo grupo de opções. Quando você adiciona a opção Label Security a uma instância de banco de dados existente, ocorre uma breve interrupção enquanto sua instância de banco de dados é reiniciada automaticamente. Para obter mais informações, consulte Modificar uma instância de banco de dados do Amazon RDS.
-
Usar o Oracle Label Security
Para usar o Oracle Label Security, você cria políticas que controlam o acesso a linhas específicas nas suas tabelas. Para obter mais informações, consulte o tópico sobre como Criar uma política do Oracle Label Security
Ao trabalhar com o Label Security, você realiza todas as ações como a função LBAC_DBA. O usuário mestre da sua instância de banco de dados recebe a função LBAC_DBA. Você pode conceder a função LBAC_DBA a outros usuários, para que eles possam administrar políticas do Label Security.
Para o Oracle Database 19c usando a arquitetura não CDB, conceda acesso ao pacote OLS_ENFORCEMENT a qualquer usuário novo que exija acesso ao Oracle Label Security.
Para conceder acesso ao pacote OLS_ENFORCEMENT, conecte-se à instância de banco de dados como o usuário mestre e execute a seguinte instrução SQL:
GRANT ALL ON LBACSYS.OLS_ENFORCEMENT TOusername;
É possível configurar o Label Security por meio do Oracle Enterprise Manager (OEM) Cloud Control. O Amazon RDS é compatível com o OEM Cloud Control pelo uso da opção Management Agent. Para ter mais informações, consulte Oracle Management Agent para Enterprise Manager Cloud Control.
Remover a opção Oracle Label Security (não compatível)
O Oracle Label Security é uma opção permanente e persistente. Como a opção é permanente, não é possível removê-la de um grupo de opções. Se você adicionar o Oracle Label Security a um grupo de opções e associá-lo à sua instância de banco de dados, poderá associar posteriormente um grupo de opções diferente à sua instância de banco de dados, mas esse grupo também deverá conter a opção Oracle Label Security.
Solução de problemas
Os problemas a seguir podem ocorrer ao usar o Oracle Label Security.
| Problema | Sugestões de solução de problemas |
|---|---|
|
Ao tentar criar uma política, você vê uma mensagem de erro semelhante à seguinte: |
Um problema conhecido com o recurso Label Security da Oracle impede que os usuários com nomes de usuários de 16 ou 24 caracteres executem comandos do Label Security. Você pode criar um novo usuário com um número diferente de caracteres, conceder LBAC_DBA ao novo usuário, fazer login como esse novo usuário e executar os comandos do OLS como esse novo usuário. Se precisar de mais informações, entre em contato com o suporte da Oracle. |
