Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Oracle Label Security
Amazon RDS unterstützt Oracle Label Security für die Enterprise Edition von Oracle Database durch die Verwendung der OLS-Option.
Die meisten Datenbanksicherheitskontrollen greifen auf die Ebene von Objekten zu. Oracle Label Security ermöglicht eine feinere Steuerung des Zugriffs auf einzelne Tabellenspalten. Sie können beispielsweise Label Security verwenden, um regulatorische Compliance mit einem richtlinienbasierten Verwaltungsmodell durchzusetzen. Sie können mit Label Security-Richtlinien den Zugriff auf sensible Daten steuern und den Zugriff auf Benutzer mit einer entsprechenden Berechtigungsstufe beschränken. Weitere Informationen finden Sie unter Introduction to Oracle Label Security
Themen
Anforderungen für Oracle Label Security
Machen Sie sich mit den folgenden Anforderungen für Oracle Label Security vertraut:
-
Ihre DB-Instance muss das Modell "Bring Your Own License" verwenden. Weitere Informationen finden Sie unter RDS-für-Oracle-Lizenzierungsoptionen.
-
Sie benötigen eine gültige Lizenz für Oracle Enterprise Edition mit Softwareupdate-Lizenz und Support.
-
Ihre Oracle-Lizenz muss die Label Security-Option enthalten.
Überlegungen zur Verwendung von Oracle Label Security
Oracle Label Security wird verwendet, indem Richtlinien für die Steuerung des Zugriffs auf einzelne Tabellenzeilen erstellt werden. Weitere Informationen finden Sie unter Creating an Oracle Label Security Policy
Berücksichtigen Sie dabei Folgendes:
-
Oracle Label Security ist eine permanente und persistente Option. Da die Option permanent ist, können Sie sie nicht aus einer Optionsgruppe entfernen. Wenn Sie Oracle Label Security einer Optionsgruppe hinzufügen und sie Ihrer DB-Instance zuordnen, können Sie Ihrer DB-Instance später eine andere Optionsgruppe zuordnen, aber diese Gruppe muss ebenfalls die Oracle Label Security-Option enthalten.
-
Wenn Sie Label Security verwenden, werden alle Aktionen unter der Rolle
LBAC_DBAausgeführt. Die RolleLBAC_DBAist dem Masterbenutzer für Ihre DB-Instance zugewiesen. Sie können die RolleLBAC_DBAauch anderen Benutzern zuweisen, damit weitere Benutzer in der Lage sind, Label-Security-Richtlinien zu verwalten. -
Achten Sie darauf, dass Sie allen neuen Benutzern, die Zugriff auf Oracle Label Security benötigen, Zugriff auf das Paket
OLS_ENFORCEMENTerteilen: Um einem Benutzer Zugriff auf dasOLS_ENFORCEMENT-Paket zu gewähren, verbinden Sie sich als Hauptbenutzer mit der DB-Instance und führen Sie die folgende SQL-Anweisung aus:GRANT ALL ON LBACSYS.OLS_ENFORCEMENT TOusername; -
Sie können Label Security mithilfe von Oracle Enterprise Manager (OEM) Cloud Control konfigurieren. Amazon RDS unterstützt OEM Cloud Control über die Management-Agent-Option. Weitere Informationen finden Sie unter Oracle Management Agent für Enterprise Cloud Control.
Hinzufügen der Oracle Label Security-Option
Der allgemeine Vorgang für das Hinzufügen der Oracle Label Security-Option zu einer DB-Instance ist wie folgt:
Erstellen Sie eine neue Optionsgruppe oder kopieren oder ändern Sie eine bestehende Optionsgruppe.
Fügen Sie die Option zur Optionsgruppe hinzu.
Wichtig
Oracle Label Security ist eine permanente und persistente Option.
Ordnen Sie die Optionsgruppe der DB-Instance zu.
Nachdem Sie die Label Security-Option hinzugefügt haben, ist Label Security aktiviert, sobald die Optionsgruppe aktiviert ist.
So fügen Sie einer DB-Instance die Label Security-Option hinzu:
-
Bestimmen Sie die zu verwendende Optionsgruppe. Sie können eine Optionsgruppe erstellen oder eine bestehende Optionsgruppe verwenden. Wenn Sie eine bestehende Optionsgruppe verwenden möchten, fahren Sie mit dem nächsten Schritt fort. Erstellen Sie andernfalls eine benutzerdefinierte DB-Optionsgruppe mit folgenden Einstellungen:
-
Wählen Sie für Engine die Option oracle-ee aus.
-
Wählen Sie für Major Engine Version (Engine-Hauptversion) die Version Ihrer DB-Instance aus.
Weitere Informationen finden Sie unter Erstellen einer Optionsgruppe.
-
-
Fügen Sie der Optionsgruppe die Option OLS hinzu. Weitere Informationen über das Hinzufügen von Optionen finden Sie unter Hinzufügen einer Option zu einer Optionsgruppe.
Wichtig
Wenn Sie einer bestehenden Optionsgruppe, die bereits mit einer oder mehreren DB-Instances verknüpft ist, die Label Security-Option hinzufügen, werden alle DB-Instances neu gestartet.
-
Ordnen Sie die Optionsgruppe einer neuen oder bestehenden DB-Instance zu:
-
Einer neuen DB-Instance wird die Optionsgruppe beim Starten der Instance zugewiesen. Weitere Informationen finden Sie unter Erstellen einer Amazon-RDS-DB-Instance.
-
Bei einer bestehenden DB-Instance weisen Sie die Optionsgruppe zu, indem Sie die Instance ändern und die neue Optionsgruppe anhängen. Wenn Sie die Label Security-Option zu einer bestehenden DB-Instance hinzufügen, entsteht während des automatischen Neustarts Ihrer DB-Instance ein kurzzeitiger Nutzungsausfall. Weitere Informationen finden Sie unter Ändern einer Amazon-RDS-DB-Instance.
-
Fehlerbehebung
Die folgenden Probleme können bei der Verwendung von Oracle Label Security auftreten.
| Problem | Vorschläge für die Fehlerbehebung |
|---|---|
|
Wenn Sie eine Richtlinie erstellen möchten, wird die Fehlermeldung ähnlich der folgenden angezeig: |
Es gibt bei dem Oracle Label Security-Feature ein bekanntes Problem, das verhindert, dass Benutzer, deren Benutzername genau 16 oder genau 24 Zeichen lang ist, die Label Security-Befehle ausführen können. Erstellen Sie in diesem Fall einen neuen Benutzer, dessen Name nicht genau 16 oder 24 Zeichen lang ist, erteilen Sie diesem Benutzer die Rolle LBAC_DBA, melden Sie sich mit den Anmeldeinformationen dieses Benutzers an und führen Sie die OLS-Befehle unter diesem neuen Benutzerkonto aus. Wenden Sie sich an den Oracle-Support, um weitere Informationen zu erhalten. |
