Oracleでユーザーを制限するためのプロファイルとポリシーの作成の違いは何ですか？

Question

Oracleデータベースのセキュリティについて講義したところ、一部のユーザーのリソースへのアクセスを制限するプロファイルが作成されていることがわかりました。一方、ユーザーにも制限をかける機能とポリシーがありますが、これら2つの間。ユーザーのためのポリシーを作成する際にプロファイルを使用する理由

Answer 1

プロファイルは、ユーザーが許可するシステムリソースの量、同時セッションの数、使用できるCPUの量などを制限します。また、パスワード管理にプロファイルを使用することもできます。 、パスワードの存続期間などを設定します。

したがって、プロファイルはシステム使用の広い範囲を定義します。ハードウェアとデータベースへのアクセスを制御します。

"ポリシー"とは、細粒度のアクセス制御を意味します。これらのポリシーは、ユーザーが個々の表を見ることができるもの、表示できる行と表示する列を制限します。 FGACのポリシーを使用して、マネージャに直接レポートの詳細をすべて表示させることができますが、他のすべての従業員には特定の情報のみを表示できます。

したがって、ユーザが既ににアクセスできるテーブルには、ポリシーによってさらに制限が適用されます。あなたの質問からは、Pがハイライトされます。

特権は、ユーザーに特定のことを行う許可を与えます。デフォルトでは、ユーザーはデータベース内で何もできません。 CREATE SESSION特権なしでは、接続することすらできません。特権には2つのレベルがあります。システム特権は、ユーザがテーブルの作成、任意のプロシージャの実行、データ辞書の照会などの一般的な活動を行うことを可能にする。テーブル特権は、my.employee_tableからの選択など、ユーザが異なるユーザが所有する特定のオブジェクトで何かを行うことを可能にする。 her.string_functionなどを実行してください。

権限とFGACポリシーがどのようにやり取りするかを確認できます。私はあなたにmy.employee_tableの選択と更新を許可するかもしれませんが、部署40のレコードのみを更新できるポリシーを実施しているかもしれません。

要約すると、ユーザーの制限には4つのレベルがあります。幅の大きい順に ：

1. プロフィール
2. システム特権
3. 表（すなわち、オブジェクト）権限
4. FGACポリシー

---

注12cは、いくつかの監査と呼ばれる導入ポリシー。明らかに、それはOracleデータベースのセキュリティに関する一般的な話題に関連していますが、ここではそれが適切ではないと思います。