Oracle Label Security - Amazon Relational Database Service
必要條件新增選項使用 Oracle Label Security移除選項 (不支援)故障診斷

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Oracle Label Security

Amazon RDS 透過使用 OLS 選項支援 Oracle Database 的 Oracle Label Security for the Enterprise Edition。

大部分的資料庫安全機制可控制物件層級的存取。Oracle Label Security 可對個別資料表列的存取提供精細分級的控制。例如,您可以使用 Label Security,以政策型管理模型來強制執行法規遵循。您可以使用 Label Security 政策,控制機密資料的存取,並限制僅具有適當許可層級的使用者才能存取。如需詳細資訊,請參閱 Oracle 文件中的簡介 Oracle Label Security

Oracle Label Security 的先決條件

熟悉 Oracle Label Security 的以下先決條件:

  • 您的資料庫執行個體必須使用「使用自有授權」模型。如需更多詳細資訊,請參閱 RDS for Oracle 授權選項

  • 您必須對具有軟體更新授權和支援的 Oracle Enterprise Edition 具備有效的授權。

  • 您的 Oracle 授權必須包括 Label Security 選項。

  • 您必須使用非多租戶 (非 CDB) 資料庫架構。如需詳細資訊,請參閱 CDB 架構的單一租戶組態

新增 Oracle Label Security 選項

將 Oracle Label Security 選項新增至資料庫執行個體的一般程序如下:

  1. 建立新的選項群組,或是複製或修改現有選項群組。

  2. 將選項新增至選項群組。

    重要

    Oracle Label Security 是永久且持續的選項。

  3. 將選項群組與資料庫執行個體建立關聯。

在新增 Label Security 選項之後,只要選項群組為作用中狀態,Label Security 就會為作用中狀態。

將 Label Security 選項新增至資料庫執行個體

  1. 判斷要使用的選項群組。您可以建立新的選項群組或使用現有的選項群組。如果您要使用現有的選項群組,請跳到下一個步驟。否則請使用下列設定來建立自訂資料庫選項群組:

    1. 針對 Engine (引擎),選擇 oracle-ee

    2. 針對 Major engine version (主要引擎版本),請選擇您資料庫執行個體的版本。

    如需更多詳細資訊,請參閱 建立選項群組

  2. OLS 選項新增至選項群組。如需新增選項的詳細資訊,請參閱將選項新增至選項群組

    重要

    如果您將 Label Security 新增至已附加至一個或多個資料庫執行個體的現有選項群組,則所有資料庫執行個體都會重新啟動。

  3. 將選項群組套用至新的或現有的資料庫執行個體:

    • 針對新的資料庫執行個體,您會在啟動執行個體時套用選項群組。如需更多詳細資訊,請參閱 建立 Amazon RDS 資料庫執行個體

    • 針對現有的資料庫執行個體,您可以透過修改執行個體並附加新的選項群組來套用選項群組。當您將 Label Security 選項新增至現有的資料庫執行個體時,在資料庫執行個體自動重新啟動時會發生短暫的停機。如需更多詳細資訊,請參閱 修改 Amazon RDS 資料庫執行個體

使用 Oracle Label Security

若要使用 Oracle Label Security,您可以建立政策,控制資料表中特定資料列的存取。如需詳細資訊,請參閱 Oracle 文件中的建立 Oracle Label Security 原則

使用 Label Security 時,您會以 LBAC_DBA 角色執行所有動作。資料庫執行個體的主要使用者會獲授予 LBAC_DBA 角色。您可以將 LBAC_DBA 角色授予其他使用者,以便他們可以管理 Label Security 政策。

對於使用非 CDB 架構的 Oracle 資料庫 19c,請務必將OLS_ENFORCEMENT封裝的存取權授與任何需要「Oracle 標籤安全性」存取權的新使用者。

若要授予 OLS_ENFORCEMENT 套件的存取權,請以主要使用者身分連接至資料庫執行個體,然後執行下列 SQL 陳述式:

GRANT ALL ON LBACSYS.OLS_ENFORCEMENT TO username;

您可以透過 Oracle Enterprise Manager (OEM) Cloud Control 來設定 Label Security。Amazon RDS 可藉由 Management Agent 選項支援 OEM Cloud Control。如需詳細資訊,請參閱 適用於 Enterprise Manager Cloud Control 的 Oracle Management Agent

移除 Oracle Label Security 選項 (不支援)

Oracle Label Security 是永久且持續的選項。因為此選項是永久的,所以您無法從選項群組中將其移除。如果您將 Oracle Label Security 新增至選項群組,並將其與資料庫執行個體建立關聯,則稍後可以將不同的選項群組與資料庫執行個體建立關聯,但此群組也必須包含 Oracle Label Security 選項。

故障診斷

下列是您使用 Oracle Label Security 時可能遇到的問題。

問題 故障診斷建議

當您嘗試建立政策時,您會看到如下的錯誤訊息:insufficient authorization for the SYSDBA package

Oracle Label Security 功能的已知問題會防止使用者名稱有 16 或 24 個字元的使用者執行 Label Security 命令。您可以建立字元數不同的新使用者、將 LBAC_DBA 授予新使用者、以新使用者身分登入,並以新使用者身分執行 OLS 命令。如需其他資訊,請聯絡 Oracle 客戶 Support 部。