Oracle Label Security - Amazon Relational Database Service
RequisitiConsiderazioni sull'utilizzo di Oracle Label SecurityAggiunta dell'opzioneRisoluzione dei problemi

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Oracle Label Security

Amazon RDS supporta Oracle Label Security for the Enterprise Edition di Oracle Database tramite l'uso dell'OLSopzione.

La maggior parte della sicurezza del database controlla l'accesso a livello dell'oggetto. Oracle Label Security fornisce un controllo preciso dell'accesso alle singole righe della tabella. Ad esempio, è possibile usare Label Security per applicare la conformità alle normative con un modello di amministrazione basato sulla policy. È possibile usare le policy di Label Security per controllare l'accesso a dati sensibili e l'acceso limitato solo agli utenti con il livello adeguato di autorizzazioni. Per altre informazioni, consulta l'articolo relativo a Introduzione a Oracle Label Security nella documentazione Oracle.

Requisiti per Oracle Label Security

Acquisisci familiarità con i seguenti requisiti per Oracle Label Security:

  • L'istanza database deve usare il modello Bring Your Own License (uso di licenze proprie). Per ulteriori informazioni, consulta RDSper le opzioni di licenza Oracle.

  • È necessario disporre di una licenza valida per Oracle Enterprise Edition con Licenza di aggiornamento software e supporto.

  • La licenza Oracle deve comprendere l'opzione Label Security.

Considerazioni sull'utilizzo di Oracle Label Security

Per usare Oracle Label Security, è possibile creare policy che controllino l'accesso a righe specifiche nelle tabelle. Per altre informazioni, consulta l'articolo relativo a Creazione di una policy di Oracle Label Security nella documentazione Oracle.

Considera i seguenti aspetti:

  • Oracle Label Security è un'opzione permanente e persistente. Pertanto, non puoi rimuovere l'opzione da un gruppo di opzioni. Se aggiungi Oracle Label Security a un gruppo di opzioni e lo associ all'istanza database, è possibile in seguito associare un gruppo di opzioni diverso all'istanza database, ma anche questo gruppo deve contenere l'opzione Oracle Label Security.

  • Quando lavori con Label Security, esegui tutte le azioni come LBAC_DBA ruolo. All'utente principale dell'istanza DB viene concesso il LBAC_DBA ruolo. Puoi concedere il LBAC_DBA ruolo ad altri utenti in modo che possano amministrare le politiche di Label Security.

  • Assicurati di concedere l'accesso al OLS_ENFORCEMENT pacchetto a tutti i nuovi utenti che richiedono l'accesso a Oracle Label Security. Per concedere l'accesso al OLS_ENFORCEMENT pacchetto, connettiti all'istanza DB come utente principale ed esegui la seguente SQL istruzione:

    GRANT ALL ON LBACSYS.OLS_ENFORCEMENT TO username;

  • È possibile configurare Label Security tramite Oracle Enterprise Manager (OEM) Cloud Control. Amazon RDS supporta OEM Cloud Control tramite l'opzione Management Agent. Per ulteriori informazioni, consulta Oracle Management Agent per Enterprise Manager Cloud Control.

Aggiunta dell'opzione Oracle Label Security

La procedura generale per aggiungere l'opzione Label Security a un'istanza database è la seguente:

  1. Creare un nuovo gruppo di opzioni oppure copiare o modificare un gruppo di opzioni esistente.

  2. Aggiungere l'opzione al gruppo di opzioni.

    Importante

    Oracle Label Security è un'opzione permanente e persistente.

  3. Associare il gruppo di opzioni a questa istanza database.

Una volta aggiunta l'opzione Label Security, non appena il gruppo di opzioni sarà attivo, anche Label Security sarà attiva.

Per aggiungere l'opzione Label Security a un'istanza database

  1. Determinare il gruppo di opzioni che si desidera usare. È possibile creare un nuovo gruppo di opzioni oppure usare un gruppo di opzioni esistente. Se si desidera usare un gruppo di opzioni esistente, puoi passare alla fase successiva. In caso contrario, creare un gruppo di opzioni database personalizzato con le seguenti impostazioni:

    1. In Engine (Motore) scegliere oracle-ee.

    2. In Major engine version (Versione principale del motore), scegliere la versione dell'istanza database.

    Per ulteriori informazioni, consulta Creazione di un gruppo di opzioni.

  2. Aggiungi l'OLSopzione al gruppo di opzioni. Per ulteriori informazioni sull'aggiunta di opzioni, consulta Aggiunta di un'opzione a un gruppo di opzioni.

    Importante

    Se aggiungi Label Security a un gruppo di opzioni esistente che è già associato a una o più istanze database, tutte le istanze database vengono riavviate.

  3. Applicare il gruppo di opzioni a un'istanza database nuova o esistente:

    • Per una nuova istanza database, si applica il gruppo di opzioni quando viene avviata l'istanza. Per ulteriori informazioni, consulta Creazione di un'istanza Amazon RDS DB.

    • Per un'istanza database esistente, viene applicato il gruppo di opzioni modificando l'istanza e collegando il nuovo gruppo di opzioni. Quando aggiungi l'opzione Label Security a un'istanza database esistente, si verifica una breve interruzione mentre l'istanza database viene automaticamente riavviata. Per ulteriori informazioni, consulta Modifica di un'istanza Amazon RDS DB.

Risoluzione dei problemi

Di seguito sono elencati i problemi che si potrebbero riscontrare quando si usa Oracle Label Security.

Problema Suggerimenti sulla risoluzione dei problemi

Quando cerchi di creare una policy, comparirà un messaggio di errore simile al seguente: insufficient authorization for the SYSDBA package.

Un problema noto con la funzionalità Oracle Label Security impedisce agli utenti con nomi utente di 16 o 24 caratteri di eseguire i comandi di Label Security. È possibile creare un nuovo utente con un numero diverso di caratteri, DBA concedere LBAC _ al nuovo utente, accedere come nuovo utente ed eseguire i OLS comandi come nuovo utente. Per ulteriori informazioni, contattare Oracle Support.