権限の管理 - ちょび

システム権限

• ADMIN OPTION句付きで付与されたシステム権限を取り消しても、そのユーザーが権限を利用して作成したオブジェクトが削除されたり、そのユーザが他のユーザに付与したシステム権限が取り消されることはない
• ADMIN OPTION句付きでシステム権限を付与されたユーザが、その権限を付与したユーザのシステム権限を取り消すことも可能
• CREATE SESSION,CREATE TABLE,CREATE ANY INDEX,SELECT ANY TABLE,CREATE SEQUENCE

オブジェクト権限

• オブジェクト権限の取り消しは、その権限を付与したユーザしかできない
• WITH GRANT OPTION句付きで付与されたオブジェクト権限が取消されると、そのユーザが他のユーザに付与したオブジェクト権限もカスケードして取消される

権限情報の取得

• DBA_SYS_PRIVS
  • ユーザーとロールに付与されたシステム権限の情報
  • 与えられたユーザ名(GRANTEE)のみが表示され、権限を与えたユーザー名は表示されない
  • WITH ADMIN OPTION付きで付与されたか否かを確認できる
  • 直接ユーザーに付与された権限のみ表示し、ロール経由で付与された権限は表示されない
• SESSION_PRIVS
  • そのセッションで現在使用可能なシステム権限の情報
  • 直接付与されている権限とロール経由で付与された権限の両方が含まれる
• DBA_TAB_PRIVS
  • すべてのオブジェクトに関するオブジェクト権限の情報
• DBA_COL_PRIVS
  • すべてのオブジェクトの列に関するオブジェクト権限の情報

監査

オペレーティングシステム監査

• インスタンスの起動や停止、管理者権限による接続に関する記録

データベース監査

• ユーザーが行ったデータベース操作が記録される
• AUDIT文を使用してどの監査を監視するか指定
• データベース監査の種類
  • 文監査
    • 特定の種類のオブジェクトに影響を与えるSQL文または文のグループを監査

      (例) AUDIT user;
           -- {CREATE | ALTER | DROP} USER 文を監査
      

  • 権限監査
    • 特定のシステム権限を使用したSQL文を監査

      (例) AUDIT select any table BY scott BY ACCESS;
           -- ユーザー scott による select any table 権限の使用
                を監査し、アクセスごとに1つの監査レコードを記録
      

  • オブジェクト監査
    • 特定のオブジェクト権限を使用したSQL文を監査

      (例) AUDIT LOCK ON scott.emp
           BY ACCESS WHENEVER SUCCESSFUL;
           -- ユーザー scott の emp 表に対するLOCK文を
                成功したときだけ監査
      

値ベース監査

• 列の値の変更を記録