68d53dc5a9
ADB-centered row-level access control across heterogeneous DB sources
(AWS RDS Postgres + MySQL) using Oracle VPD + Data Redaction +
Secure Application Context, packaged as a one-click demo.
Mechanism:
- LOGON trigger calls ctx_pkg.init once per session to load the user's
allowed regions from the permission mapping tables into a Secure App
Context (VPD_CTX, USING ctx_pkg).
- VPD policy function vpd_region_filter reads SYS_CONTEXT and returns
an IN-list predicate (or '1=0' for fail-closed, NULL for '*'),
which Oracle injects into every SELECT on the protected views.
- Data Redaction reuses the same context to mask PII (email, full_name)
when the allowed-regions value is not '*'.
- 5 documented bypass attempts (direct DB link SELECT, SET_CONTEXT
spoof, DBMS_RLS drop, mapping table SELECT) all blocked by GRANT
scoping + DEFINER rights on ctx_pkg.
One-click entrypoint:
- ./run.sh {prereq|source|adb|tests|audit|all|teardown}
- Source DDL (Postgres + MySQL customers + 12-row seed each) is
applied via local psql/mysql; ADB-side setup via sqlplus with .env
values injected as SQL*Plus DEFINE substitutions.
Verified E2E on ADB 26ai + AWS RDS PG + RDS MySQL (mysql_community
gateway) on 2026-05-26: VPDUSER_A sees only APAC rows (PG 2 / MySQL 6,
PII masked), VPDUSER_B sees all (PG 12 / MySQL 17, PII unmasked).
Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>
3.1 KiB
3.1 KiB
01 · Quickstart
./run.sh 한 번으로 모든 게 끝납니다. 이 문서는 첫 실행 전에 무엇이 필요하고,
무엇이 잘못될 수 있는지 알려줍니다.
1. 사전에 준비되어 있어야 하는 것
1-1. ADB (Autonomous Database)
- 인스턴스 1개. Always Free 도 OK.
- OCI 콘솔에서 Wallet 다운로드 → 로컬에 압축 풀기.
- Instant Client (
sqlplus) 가 설치되어 있고 PATH 에 등록되어 있을 것.
1-2. 원격 Postgres / MySQL
- ADB 가 네트워크로 도달 가능해야 합니다. (RDS public access ON, 보안그룹에 ADB egress IP 허용 등)
- DB 가 미리 생성되어 있어야 합니다. 테이블은
run.sh source가 만듭니다.-- Postgres CREATE DATABASE vpdpoc; -- MySQL CREATE DATABASE ecommerce_poc; psql,mysql클라이언트가 로컬에 설치되어 있어야 합니다.brew install libpq mysql-client # macOS apt-get install postgresql-client mysql-client # Debian/Ubuntu
1-3. ADB ADMIN 계정 패스워드
.env의ADB_PASSWORD에 넣거나, 비워두고 실행 시 프롬프트로 입력.
2. .env 채우기
cp .env.example .env
$EDITOR .env
최소한 다음 항목은 비어 있으면 안 됩니다:
| 변수 | 의미 |
|---|---|
TNS_ADMIN |
Wallet 풀린 디렉토리 (cwallet.sso, tnsnames.ora 가 있는 곳) |
ADB_TNS |
tnsnames.ora 안의 service alias (예: d8aukro81636mon0_tp) |
ADB_USER, ADB_PASSWORD |
ADB 관리자 계정 |
PG_HOST 등 |
원격 Postgres 연결정보 |
MY_HOST 등 |
원격 MySQL 연결정보 |
VPDUSER A/B 의 패스워드는 데모용 기본값이 들어있으니 그대로 써도 무방하지만, 공유 환경이면 바꿔주세요.
3. 실행
./run.sh
기대 출력 (요약):
[ OK ] prereq 통과
[ OK ] Postgres source 준비 완료
[ OK ] MySQL source 준비 완료
[ OK ] ADB setup 완료
[ OK ] user_a / user_b 테스트 실행 완료 (위 출력에서 행 수 / 거부 결과 확인)
[ OK ] audit 완료
[ OK ] === ALL DONE — VPD POC 전체 파이프라인 통과 ===
이후 직접 검증해보고 싶으면:
# vpduser_a 로 접속 → APAC rows 만 보여야 함
sqlplus vpduser_a/${VPDUSER_A_PASSWORD}@${ADB_TNS}
SQL> SELECT region, COUNT(*) FROM admin.v_customers_pg GROUP BY region;
4. 자주 하는 실수
| 증상 | 원인 / 해결 |
|---|---|
TNS:could not resolve |
TNS_ADMIN 경로 잘못 / ADB_TNS 가 tnsnames.ora 에 없음 |
ORA-12506 |
Wallet 풀린 위치는 맞는데 권한 문제 (chmod 600 시도 X — 600 이면 sqlplus 가 못 읽음, 644 OK) |
| Postgres 연결 실패 | RDS Public Access 꺼져있거나 SG/firewall 차단. 로컬에서 psql -h ... -U ... 로 먼저 확인 |
ORA-28000 |
ADB 계정이 잠겼음. OCI 콘솔에서 unlock |
ORA-65020 (DB Link 생성 실패) |
같은 이름 link 가 이미 다른 host 로 등록돼 있음. 00_cleanup.sql 부터 다시 |
| 정책이 안 먹는다 (모든 row 보임) | vpduser_a 가 아니라 admin 으로 접속한 것 — ADMIN 은 정책 BYPASS |