Oracle Label Security - Amazon Relational Database Service
要求使用 Oracle 標籤安全性時的考量新增選項故障診斷

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Oracle Label Security

Amazon 通過使用該OLS選項RDS支持 Oracle 數據庫企業版的甲骨文標籤安全。

大部分的資料庫安全機制可控制物件層級的存取。Oracle Label Security 可對個別資料表列的存取提供精細分級的控制。例如,您可以使用 Label Security,以政策型管理模型來強制執行法規遵循。您可以使用 Label Security 政策,控制機密資料的存取,並限制僅具有適當許可層級的使用者才能存取。如需詳細資訊,請參閱 Oracle 文件中的簡介 Oracle Label Security

Oracle 標籤安全性的需求

請熟悉「Oracle 標籤安全性」的下列需求:

  • 您的資料庫執行個體必須使用「使用自有授權」模型。如需更多詳細資訊,請參閱 RDS適用於 Oracle 授權選項

  • 您必須對具有軟體更新授權和支援的 Oracle Enterprise Edition 具備有效的授權。

  • 您的 Oracle 授權必須包括 Label Security 選項。

使用 Oracle 標籤安全性時的考量

若要使用 Oracle Label Security,您可以建立政策,控制資料表中特定資料列的存取。如需詳細資訊,請參閱 Oracle 文件中的建立 Oracle Label Security 原則

考慮下列各項:

  • Oracle Label Security 是永久且持續的選項。因為此選項是永久的,所以您無法從選項群組中將其移除。如果您將 Oracle Label Security 新增至選項群組,並將其與資料庫執行個體建立關聯,則稍後可以將不同的選項群組與資料庫執行個體建立關聯,但此群組也必須包含 Oracle Label Security 選項。

  • 當您使用標籤安全性時,您會以角色身分執行所有動LBAC_DBA作。您的資料庫執行個體的主要使用者會被授與此LBAC_DBA角色。您可以將LBAC_DBA角色授與其他使用者,以便他們可以管理標籤安全性原則。

  • 請務必將OLS_ENFORCEMENT封裝的存取權授與任何需要「Oracle 標籤安全性」存取權的新使用者。若要授與OLS_ENFORCEMENT套件的存取權,請以主要使用者身分連線至資料庫執行個體,然後執行下列SQL陳述式:

    GRANT ALL ON LBACSYS.OLS_ENFORCEMENT TO username;

  • 您可以透過 Oracle 企業管理員 (OEM) 雲端控制來設定標籤安全性。Amazon 透過管理代理程式選項RDS支援OEM雲端控制。如需詳細資訊,請參閱適用於 Enterprise Manager Cloud Control 的 Oracle Management Agent

新增 Oracle Label Security 選項

將 Oracle Label Security 選項新增至資料庫執行個體的一般程序如下:

  1. 建立新的選項群組,或是複製或修改現有選項群組。

  2. 將選項新增至選項群組。

    重要

    Oracle Label Security 是永久且持續的選項。

  3. 將選項群組與資料庫執行個體建立關聯。

在新增 Label Security 選項之後,只要選項群組為作用中狀態,Label Security 就會為作用中狀態。

將 Label Security 選項新增至資料庫執行個體

  1. 判斷要使用的選項群組。您可以建立新的選項群組或使用現有的選項群組。如果您要使用現有的選項群組,請跳到下一個步驟。否則請使用下列設定來建立自訂資料庫選項群組:

    1. 針對 Engine (引擎),選擇 oracle-ee

    2. 針對 Major engine version (主要引擎版本),請選擇您資料庫執行個體的版本。

    如需詳細資訊,請參閱建立選項群組

  2. OLS選項新增至選項群組。如需新增選項的詳細資訊,請參閱將選項新增至選項群組

    重要

    如果您將 Label Security 新增至已附加至一個或多個資料庫執行個體的現有選項群組,則所有資料庫執行個體都會重新啟動。

  3. 將選項群組套用至新的或現有的資料庫執行個體:

    • 針對新的資料庫執行個體,您會在啟動執行個體時套用選項群組。如需更多詳細資訊,請參閱 建立 Amazon RDS 資料庫執行個體

    • 針對現有的資料庫執行個體,您可以透過修改執行個體並附加新的選項群組來套用選項群組。當您將 Label Security 選項新增至現有的資料庫執行個體時,在資料庫執行個體自動重新啟動時會發生短暫的停機。如需詳細資訊,請參閱修改 Amazon RDS 資料庫執行個體

故障診斷

下列是您使用 Oracle Label Security 時可能遇到的問題。

問題 故障診斷建議

當您嘗試建立政策時,您會看到如下的錯誤訊息:insufficient authorization for the SYSDBA package

Oracle Label Security 功能的已知問題會防止使用者名稱有 16 或 24 個字元的使用者執行 Label Security 命令。您可以使用不同數量的字元建立新使用者、DBA將 LBAC _ 授與新使用者、以新使用者身分登入,然後以新使用者身分執行OLS命令。如需其他資訊,請聯絡 Oracle 客戶 Support 部。