Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Oracle Label Security
Amazon RDS unterstützt Oracle Label Security für die Enterprise Edition von Oracle Database mithilfe der OLS Option.
Die meisten Datenbanksicherheitskontrollen greifen auf die Ebene von Objekten zu. Oracle Label Security ermöglicht eine feinere Steuerung des Zugriffs auf einzelne Tabellenspalten. Sie können beispielsweise Label Security verwenden, um regulatorische Compliance mit einem richtlinienbasierten Verwaltungsmodell durchzusetzen. Sie können mit Label Security-Richtlinien den Zugriff auf sensible Daten steuern und den Zugriff auf Benutzer mit einer entsprechenden Berechtigungsstufe beschränken. Weitere Informationen finden Sie unter Introduction to Oracle Label Security
Themen
Anforderungen für Oracle Label Security
Machen Sie sich mit den folgenden Anforderungen für Oracle Label Security vertraut:
-
Ihre DB-Instance muss das Modell "Bring Your Own License" verwenden. Weitere Informationen finden Sie unter RDSfür Oracle-Lizenzoptionen.
-
Sie benötigen eine gültige Lizenz für Oracle Enterprise Edition mit Softwareupdate-Lizenz und Support.
-
Ihre Oracle-Lizenz muss die Label Security-Option enthalten.
Überlegungen bei der Verwendung von Oracle Label Security
Oracle Label Security wird verwendet, indem Richtlinien für die Steuerung des Zugriffs auf einzelne Tabellenzeilen erstellt werden. Weitere Informationen finden Sie unter Creating an Oracle Label Security Policy
Berücksichtigen Sie dabei Folgendes:
-
Oracle Label Security ist eine permanente und persistente Option. Da die Option permanent ist, können Sie sie nicht aus einer Optionsgruppe entfernen. Wenn Sie Oracle Label Security einer Optionsgruppe hinzufügen und sie Ihrer DB-Instance zuordnen, können Sie Ihrer DB-Instance später eine andere Optionsgruppe zuordnen, aber diese Gruppe muss ebenfalls die Oracle Label Security-Option enthalten.
-
Wenn Sie mit Label Security arbeiten, führen Sie alle Aktionen als
LBAC_DBARolle aus. Dem Masterbenutzer für Ihre DB-Instance wird dieLBAC_DBARolle zugewiesen. Sie können dieLBAC_DBARolle anderen Benutzern zuweisen, damit diese die Label Security-Richtlinien verwalten können. -
Stellen Sie sicher, dass Sie allen neuen Benutzern, die Zugriff auf Oracle Label Security benötigen, Zugriff auf das
OLS_ENFORCEMENTPaket gewähren. Um Zugriff auf dasOLS_ENFORCEMENTPaket zu gewähren, stellen Sie als Master-Benutzer eine Verbindung zur DB-Instance her und führen Sie die folgende SQL Anweisung aus:GRANT ALL ON LBACSYS.OLS_ENFORCEMENT TOusername; -
Sie können Label Security über Oracle Enterprise Manager (OEM) Cloud Control konfigurieren. Amazon RDS unterstützt OEM Cloud Control über die Management Agent-Option. Weitere Informationen finden Sie unter Oracle Management Agent für Enterprise Cloud Control.
Hinzufügen der Oracle Label Security-Option
Der allgemeine Vorgang für das Hinzufügen der Oracle Label Security-Option zu einer DB-Instance ist wie folgt:
Erstellen Sie eine neue Optionsgruppe oder kopieren oder ändern Sie eine bestehende Optionsgruppe.
Fügen Sie die Option zur Optionsgruppe hinzu.
Wichtig
Oracle Label Security ist eine permanente und persistente Option.
Ordnen Sie die Optionsgruppe der DB-Instance zu.
Nachdem Sie die Label Security-Option hinzugefügt haben, ist Label Security aktiviert, sobald die Optionsgruppe aktiviert ist.
So fügen Sie einer DB-Instance die Label Security-Option hinzu:
-
Bestimmen Sie die zu verwendende Optionsgruppe. Sie können eine Optionsgruppe erstellen oder eine bestehende Optionsgruppe verwenden. Wenn Sie eine bestehende Optionsgruppe verwenden möchten, fahren Sie mit dem nächsten Schritt fort. Erstellen Sie andernfalls eine benutzerdefinierte DB-Optionsgruppe mit folgenden Einstellungen:
-
Wählen Sie für Engine die Option oracle-ee aus.
-
Wählen Sie für Major Engine Version (Engine-Hauptversion) die Version Ihrer DB-Instance aus.
Weitere Informationen finden Sie unter Erstellen einer Optionsgruppe.
-
-
Fügen Sie die OLSOption der Optionsgruppe hinzu. Weitere Informationen über das Hinzufügen von Optionen finden Sie unter Hinzufügen einer Option zu einer Optionsgruppe.
Wichtig
Wenn Sie einer bestehenden Optionsgruppe, die bereits mit einer oder mehreren DB-Instances verknüpft ist, die Label Security-Option hinzufügen, werden alle DB-Instances neu gestartet.
-
Ordnen Sie die Optionsgruppe einer neuen oder bestehenden DB-Instance zu:
-
Einer neuen DB-Instance wird die Optionsgruppe beim Starten der Instance zugewiesen. Weitere Informationen finden Sie unter Eine Amazon RDS DB-Instance erstellen.
-
Bei einer bestehenden DB-Instance weisen Sie die Optionsgruppe zu, indem Sie die Instance ändern und die neue Optionsgruppe anhängen. Wenn Sie die Label Security-Option zu einer bestehenden DB-Instance hinzufügen, entsteht während des automatischen Neustarts Ihrer DB-Instance ein kurzzeitiger Nutzungsausfall. Weitere Informationen finden Sie unter Ändern einer Amazon RDS DB-Instance.
-
Fehlerbehebung
Die folgenden Probleme können bei der Verwendung von Oracle Label Security auftreten.
| Problem | Vorschläge für die Fehlerbehebung |
|---|---|
|
Wenn Sie eine Richtlinie erstellen möchten, wird die Fehlermeldung ähnlich der folgenden angezeig: |
Es gibt bei dem Oracle Label Security-Feature ein bekanntes Problem, das verhindert, dass Benutzer, deren Benutzername genau 16 oder genau 24 Zeichen lang ist, die Label Security-Befehle ausführen können. Sie können einen neuen Benutzer mit einer anderen Anzahl von Zeichen erstellen, DBA dem neuen Benutzer LBAC _ gewähren, sich als neuer Benutzer anmelden und die OLS Befehle als neuer Benutzer ausführen. Für weitere Informationen wenden Sie sich an den Oracle Support. |
