本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Oracle Label Security
Amazon RDS 透過使用 OLS 選項支援 Oracle Database 的 Oracle Label Security for the Enterprise Edition。
大部分的資料庫安全機制可控制物件層級的存取。Oracle Label Security 可對個別資料表列的存取提供精細分級的控制。例如,您可以使用 Label Security,以政策型管理模型來強制執行法規遵循。您可以使用 Label Security 政策,控制機密資料的存取,並限制僅具有適當許可層級的使用者才能存取。如需詳細資訊,請參閱 Oracle 文件中的[簡介 Oracle Label Security](https://docs.oracle.com/database/121/OLSAG/intro.htm#OLSAG001)。
**Topics**
+ [Oracle Label Security 的需求](#Oracle.Options.OLS.PreReqs)
+ [使用 Oracle Label Security 時的考量](#Oracle.Options.OLS.Using)
+ [新增 Oracle Label Security 選項](#Oracle.Options.OLS.Add)
+ [疑難排解](#Oracle.Options.OLS.Troubleshooting)
## Oracle Label Security 的需求
熟悉 Oracle Label Security 的下列需求:
+ 您的資料庫執行個體必須使用「使用自有授權」模型。如需更多詳細資訊,請參閱 [RDS for Oracle 授權選項](Oracle.Concepts.Licensing.md)。
+ 您必須對具有軟體更新授權和支援的 Oracle Enterprise Edition 具備有效的授權。
+ 您的 Oracle 授權必須包括 Label Security 選項。
## 使用 Oracle Label Security 時的考量
若要使用 Oracle Label Security,您可以建立政策,控制資料表中特定資料列的存取。如需詳細資訊,請參閱 Oracle 文件中的[建立 Oracle Label Security 原則](https://docs.oracle.com/database/121/OLSAG/getstrtd.htm#OLSAG3096)。
考慮下列各項:
+ Oracle Label Security 是永久且持續的選項。因為此選項是永久的,所以您無法從選項群組中將其移除。如果您將 Oracle Label Security 新增至選項群組,並將其與資料庫執行個體建立關聯,則稍後可以將不同的選項群組與資料庫執行個體建立關聯,但此群組也必須包含 Oracle Label Security 選項。
+ 使用 Label Security 時,您會以 `LBAC_DBA` 角色執行所有動作。資料庫執行個體的主要使用者會被授予 `LBAC_DBA` 角色。您可以將 `LBAC_DBA` 角色授予其他使用者,使其能夠管理 Label Security 政策。
+ 請確實將 `OLS_ENFORCEMENT` 套件的存取權授予需要存取 Oracle Label Security 的任何新使用者:若要授予 `OLS_ENFORCEMENT` 套件的存取權,請以主要使用者身分連接至資料庫執行個體,然後執行下列 SQL 陳述式:
```
GRANT ALL ON LBACSYS.OLS_ENFORCEMENT TO username;
```
+ 您可以透過 Oracle Enterprise Manager (OEM) Cloud Control 來設定 Label Security。Amazon RDS 可藉由 Management Agent 選項支援 OEM Cloud Control。如需詳細資訊,請參閱[適用於 Enterprise Manager Cloud Control 的 Oracle Management Agent](Oracle.Options.OEMAgent.md)。
## 新增 Oracle Label Security 選項
將 Oracle Label Security 選項新增至資料庫執行個體的一般程序如下:
1. 建立新的選項群組,或是複製或修改現有選項群組。
1. 將選項新增至選項群組。
**重要**
Oracle Label Security 是永久且持續的選項。
1. 將選項群組與資料庫執行個體建立關聯。
在新增 Label Security 選項之後,只要選項群組為作用中狀態,Label Security 就會為作用中狀態。
**將 Label Security 選項新增至資料庫執行個體**
1. 判斷要使用的選項群組。您可以建立新的選項群組或使用現有的選項群組。如果您要使用現有的選項群組,請跳到下一個步驟。否則請使用下列設定來建立自訂資料庫選項群組:
1. 針對 **Engine (引擎)**,選擇 **oracle-ee**。
1. 針對 **Major engine version (主要引擎版本)**,請選擇您資料庫執行個體的版本。
如需更多詳細資訊,請參閱 [建立選項群組](USER_WorkingWithOptionGroups.md#USER_WorkingWithOptionGroups.Create)。
1. 將 **OLS** 選項新增至選項群組。如需新增選項的詳細資訊,請參閱[將選項新增至選項群組](USER_WorkingWithOptionGroups.md#USER_WorkingWithOptionGroups.AddOption)。
**重要**
如果您將 Label Security 新增至已附加至一個或多個資料庫執行個體的現有選項群組,則所有資料庫執行個體都會重新啟動。
1. 將選項群組套用至新的或現有的資料庫執行個體:
+ 針對新的資料庫執行個體,您會在啟動執行個體時套用選項群組。如需更多詳細資訊,請參閱 [建立 Amazon RDS 資料庫執行個體](USER_CreateDBInstance.md)。
+ 針對現有的資料庫執行個體,您可以透過修改執行個體並附加新的選項群組來套用選項群組。當您將 Label Security 選項新增至現有的資料庫執行個體時,在資料庫執行個體自動重新啟動時會發生短暫的停機。如需詳細資訊,請參閱[修改 Amazon RDS 資料庫執行個體](Overview.DBInstance.Modifying.md)。
## 疑難排解
下列是您使用 Oracle Label Security 時可能遇到的問題。
****
| 問題 | 故障診斷建議 |
| --- | --- |
| 當您嘗試建立政策時,您會看到如下的錯誤訊息:`insufficient authorization for the SYSDBA package`。 | Oracle Label Security 功能的已知問題會防止使用者名稱有 16 或 24 個字元的使用者執行 Label Security 命令。您可以建立字元數不同的新使用者、將 LBAC\$1DBA 授予新使用者、以新使用者身分登入,並以新使用者身分執行 OLS 命令。如需其他資訊,請聯絡 Oracle 支援。 |