本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Oracle Label Security
Amazon RDS 透過使用 OLS 選項支援 Oracle Database 的 Oracle Label Security for the Enterprise Edition。
大部分的資料庫安全機制可控制物件層級的存取。Oracle Label Security 可對個別資料表列的存取提供精細分級的控制。例如,您可以使用 Label Security,以政策型管理模型來強制執行法規遵循。您可以使用 Label Security 政策,控制機密資料的存取,並限制僅具有適當許可層級的使用者才能存取。如需詳細資訊,請參閱 Oracle 文件中的簡介 Oracle Label Security
主題
Oracle Label Security 的先決條件
熟悉 Oracle Label Security 的以下先決條件:
-
您的資料庫執行個體必須使用「使用自有授權」模型。如需更多詳細資訊,請參閱 RDS for Oracle 授權選項。
-
您必須對具有軟體更新授權和支援的 Oracle Enterprise Edition 具備有效的授權。
-
您的 Oracle 授權必須包括 Label Security 選項。
-
您必須使用非多租戶 (非 CDB) 資料庫架構。如需詳細資訊,請參閱 CDB 架構的單一租戶組態。
新增 Oracle Label Security 選項
將 Oracle Label Security 選項新增至資料庫執行個體的一般程序如下:
建立新的選項群組,或是複製或修改現有選項群組。
將選項新增至選項群組。
重要
Oracle Label Security 是永久且持續的選項。
將選項群組與資料庫執行個體建立關聯。
在新增 Label Security 選項之後,只要選項群組為作用中狀態,Label Security 就會為作用中狀態。
將 Label Security 選項新增至資料庫執行個體
-
判斷要使用的選項群組。您可以建立新的選項群組或使用現有的選項群組。如果您要使用現有的選項群組,請跳到下一個步驟。否則請使用下列設定來建立自訂資料庫選項群組:
-
針對 Engine (引擎),選擇 oracle-ee。
-
針對 Major engine version (主要引擎版本),請選擇您資料庫執行個體的版本。
如需更多詳細資訊,請參閱 建立選項群組。
-
-
將 OLS 選項新增至選項群組。如需新增選項的詳細資訊,請參閱將選項新增至選項群組。
重要
如果您將 Label Security 新增至已附加至一個或多個資料庫執行個體的現有選項群組,則所有資料庫執行個體都會重新啟動。
-
將選項群組套用至新的或現有的資料庫執行個體:
-
針對新的資料庫執行個體,您會在啟動執行個體時套用選項群組。如需更多詳細資訊,請參閱 建立 Amazon RDS 資料庫執行個體。
-
針對現有的資料庫執行個體,您可以透過修改執行個體並附加新的選項群組來套用選項群組。當您將 Label Security 選項新增至現有的資料庫執行個體時,在資料庫執行個體自動重新啟動時會發生短暫的停機。如需更多詳細資訊,請參閱 修改 Amazon RDS 資料庫執行個體。
-
使用 Oracle Label Security
若要使用 Oracle Label Security,您可以建立政策,控制資料表中特定資料列的存取。如需詳細資訊,請參閱 Oracle 文件中的建立 Oracle Label Security 原則
使用 Label Security 時,您會以 LBAC_DBA 角色執行所有動作。資料庫執行個體的主要使用者會獲授予 LBAC_DBA 角色。您可以將 LBAC_DBA 角色授予其他使用者,以便他們可以管理 Label Security 政策。
對於使用非 CDB 架構的 Oracle 資料庫 19c,請務必將OLS_ENFORCEMENT
封裝的存取權授與任何需要「Oracle 標籤安全性」存取權的新使用者。
若要授予 OLS_ENFORCEMENT
套件的存取權,請以主要使用者身分連接至資料庫執行個體,然後執行下列 SQL 陳述式:
GRANT ALL ON LBACSYS.OLS_ENFORCEMENT TO
username
;
您可以透過 Oracle Enterprise Manager (OEM) Cloud Control 來設定 Label Security。Amazon RDS 可藉由 Management Agent 選項支援 OEM Cloud Control。如需詳細資訊,請參閱 適用於 Enterprise Manager Cloud Control 的 Oracle Management Agent。
移除 Oracle Label Security 選項 (不支援)
Oracle Label Security 是永久且持續的選項。因為此選項是永久的,所以您無法從選項群組中將其移除。如果您將 Oracle Label Security 新增至選項群組,並將其與資料庫執行個體建立關聯,則稍後可以將不同的選項群組與資料庫執行個體建立關聯,但此群組也必須包含 Oracle Label Security 選項。
故障診斷
下列是您使用 Oracle Label Security 時可能遇到的問題。
問題 | 故障診斷建議 |
---|---|
當您嘗試建立政策時,您會看到如下的錯誤訊息: |
Oracle Label Security 功能的已知問題會防止使用者名稱有 16 或 24 個字元的使用者執行 Label Security 命令。您可以建立字元數不同的新使用者、將 LBAC_DBA 授予新使用者、以新使用者身分登入,並以新使用者身分執行 OLS 命令。如需其他資訊,請聯絡 Oracle 客戶 Support 部。 |