1つの解説
PDBの1.1ロックダウンプロファイル
PDBロックダウンプロファイルは、オペレーションの名前付きセットを制御することが可能です。PDB制御操作権限はすべてのユーザーに対して効果を取ることです。
例:ユーザーは、構文ストレートALTER SYSTEMを禁止制御することができます。ある程度のデータベースのセキュリティを保証します。
制限動作は、次の4つの側面になります
-
ネットワークアクセス機能。これらは、PDB外部と通信するためにネットワークを使用する操作です。たとえば、PL / SQLパッケージUTL_TCP、UTL_HTTP、UTL_MAIL、UTL_SNMP、UTL_INADDR、およびDBMS_DEBUG_JDWPは、操作のこれらの種類を行います。現在、ACLはネットワークIDを共有するためにこの種のアクセスを制御するために使用されています。
-
共通のユーザーまたはオブジェクトにアクセスできます。これらは、操作されている共通のスキーマで共通のユーザー・アカウントやアクセスオブジェクトを通してPDB缶プロキシでローカルユーザー。操作のこれらの種類は、追加または共通スキーマのオブジェクトを交換、共通のオブジェクトに権限を付与する、共通のディレクトリオブジェクトにアクセスして、一般的なユーザーにINHERIT権限ロールを付与し、一般的なユーザーに、ユーザーのプロキシを操作しています。
-
オペレーティングシステムへのアクセス。たとえば、UTL_FILEまたはDBMS_FILE_TRANSFER PL / SQLパッケージへのアクセスを制限することができます。
-
接続。たとえば、PDBに接続してから、共通のユーザーを制限したり、制限モードで開かれているPDBに接続しているからSYSOPERの管理者権限を持つローカルユーザーを制限することができます。
実験2
2.1 PDBロックダウンプロファイルの作成
- CDBのルートにログオンし、ロックダウンプロファイルを作成します
SQL> create lockdown profile cndba_prof;
Lockdown Profile created.
- ロックダウンプロファイルを変更し、リフレッシュ共有プールを無効にします
SQL> ALTER LOCKDOWN PROFILE cndba_prof DISABLE STATEMENT = ('ALTER SYSTEM') clause = ('flush shared_pool');
Lockdown Profile altered.
注意:ロックダウンプロファイルは、あなたがそれを変更した場合、それはすぐに反映されます、使用されています。
2.2 PDBロックダウンプロファイルを有効にします
- CDBレベルのロックダウンプロファイルを有効にするには、CDBの下のすべてのPDBが有効になります
SQL> alter system set pdb_lockdown=cndba_prof;
System altered.
- PDBレベルはロックダウンプロファイル、このPDBの力への唯一のエントリを有効にします
alter system set pdb_lockdown=cndba_prof;
PDBテストが有効であるに2.3ログオンします
ロックダウンは、操作のすべての制限をプロファイルよると、共有プールの操作を明確にします。
SQL> alter system flush shared_pool;
alter system flush shared_pool
*
ERROR at line 1:
ORA-01031: insufficient privileges
ヒントは、他の通常の操作を操作する権限がありません。以下のような:
SQL> alter system set sessions=400;
System altered.
2.4 PDBロックダウンプロファイルを無効にします
PDBを設定同じ区別CDBレベルとレベル
alter system set pdb_lockdown='';
2.5 PDBロックダウンプロファイルを削除します。
SQL > DROP Lockdown Profile cndba_prof;
Lockdown Profile dropped.
もっとPDBロックダウンプロファイル情報、公式ドキュメントを参照してください。
http://docs.oracle.com/database/122/DBSEG/configuring-privilege-and-role-authorization.htm#DBSEG-GUID-0D525203-A1A7-46BBを-B9DB-03F2D1A3803F