すべてのプロダクト
Search

このプロダクト

    Bastionhost:データベース O&M のベストプラクティス

    ドキュメントセンター

    Bastionhost:データベース O&M のベストプラクティス

    最終更新日:Nov 10, 2025

    データベース資産は企業にとって極めて重要です。セキュリティを確保するためには、データベース資産に対する運用保守 (O&M) 操作を制御する必要があります。Bastionhost Enterprise Edition および Bastionhost SM Edition は、ApsaraDB RDS for MySQL、ApsaraDB RDS for SQL Server、ApsaraDB RDS for PostgreSQL インスタンス、PolarDB for MySQL、PolarDB for PostgreSQL、PolarDB for PostgreSQL (Oracle 互換) クラスター、および自己管理の MySQL、SQL Server、PostgreSQL、Oracle データベースに対する O&M および監査操作をサポートしています。このトピックでは、具体的な例を使用して、Bastionhost を使用してデータベースで O&M 操作を実行する方法について説明します。

    背景情報

    企業の資産には、Windows サーバーや Linux サーバーに加えて、多くのデータベース資産が含まれます。データベース資産には大量の機密データが含まれています。企業の主要な要件は、O&M のセキュリティを確保し、不正なアクセスや操作を防ぐことです。

    企業のデータベース資産は、ApsaraDB RDS インスタンスや、MySQL、SQL Server、PostgreSQL、Oracle を実行する自己管理データベースなど、いくつかのタイプに分類されます。大企業のデータベース資産は、複数のアカウント、VPC (仮想プライベートクラウド)、データセンター、または異種クラウドにまたがって分散しています。Bastionhost は、前述のハイブリッドシナリオの資産に対する O&M 操作を制御し、O&M セキュリティチームが O&M 操作を一元的に管理できるようにします。

    Bastionhost Enterprise または SM Edition は、Windows サーバー、Linux サーバー、およびデータベース資産に対する O&M 操作をサポートしています。Bastionhost の管理者は、さまざまな種類のデータベースに対する O&M 権限を制御できます。O&M 操作は追跡および監査できます。これにより、データベースの O&M セキュリティが確保されます。さらに、このプラットフォームはハイブリッド環境向けの運用機能を提供します。ネットワークドメイン管理機能を活用することで、マルチアカウント、オンプレミスのデータセンター、および異種クラウド環境の資産を統一されたプラットフォームに統合できます。これにより、セキュリティチームはワンストップで管理および制御を行うことができます。

    Bastionhost Enterprise および SM Edition は、信頼性の高いデュアルエンジンアーキテクチャ上に構築されています。両方のエンジンがアクティブであるため、業務継続性が確保され、データベース O&M の高い要件を満たします。詳細については、「Bastionhost の各エディションの機能比較」をご参照ください。

    プロセス

    要塞ホストをデータベース O&M に使用する場合、管理者はまず資産を管理し、要塞ホストを介して O&M 担当者に権限を割り当てます。その後、O&M 担当者はクライアントまたは O&M ポータルを使用して要塞ホストへの SSH トンネルを確立し、要塞ホストの管理下にあるデータベース資産にログインしてメンテナンスを実行します。

    O&M の方法とステップ

    クライアントベースの O&M

    前提条件

    • Bastionhost でデータベースとユーザーが作成され、そのユーザーが資産と資産アカウントへのアクセスを承認されていること。詳細については、「データベースの作成」、「ユーザーの管理」、および「資産と資産アカウントの承認」をご参照ください。

      このトピックでは、MySQLローカルユーザーを例として使用します。

    • SSH トンネルをサポートするデータベース O&M ツールがローカルシステムにインストールされていること。推奨されるクライアントツールとバージョンの詳細については、「推奨されるクライアント接続ツールとバージョン」をご参照ください。

      このトピックでは、Windows システム + Navicat Premium ツールおよびLinux システム + コマンドラインを使用した O&M プロセスについて説明します。

    ステップ 1: Bastionhost の O&M アドレスとデータベース O&M トークンを取得する

    1. O&M ポータルにログインします。詳細については、「O&M ポータルにログインする」をご参照ください。

    2. 左側のナビゲーションウィンドウで、[データベース] をクリックします。

    3. [データベース] ページで、ターゲットデータベースを見つけます。[リモート接続] 列で、[ログイン方法] ドロップダウンリストから [O&M トークンの表示] を選択し、[ログイン] をクリックします。

    4. [O&M トークン] ダイアログボックスで、[O&M トークンの申請] をクリックします (最初のログインでは O&M トークンを申請する必要があります)。

    説明

    • O&M ポータルから O&M トークンを取得する際に、現在のデータベースアカウントが Bastionhost でホストされていない場合は、まず O&M トークン ダイアログボックスでデータベースアカウントの基本情報を設定する必要があります。データベースアカウントの作成方法の詳細については、「データベース管理」をご参照ください。

    • O&M トークンは有効期間内に使用する必要があります。管理者は Bastionhost コンソールで有効期間を設定できます。O&M 承認が有効になっている場合、承認プロセス中に管理者が設定した有効期間が使用されます。

    • 管理者が O&M ユーザーに自身のトークンの更新を許可している場合、ユーザーはトークンの有効期限が切れる前に更新できます。トークンの有効期限が切れた後、ユーザーは新しいトークンをリクエストする必要があります。O&M 承認が有効になっている場合、ユーザーはトークンを更新できません。トークン設定が変更された後、新しい設定を有効にするには、新しいトークンをリクエストするか、既存のトークンを更新する必要があります。

    • トークンは有効であるものの O&M 接続に失敗する場合、同時 O&M 接続数が上限に達している可能性があります。この場合、管理者に連絡して Bastionhost インスタンスのインスタンスタイプをスペックアップするか、アイドル状態の接続を解放してください。もう 1 つの考えられる理由は、管理者がソース IP アドレスまたは現在の期間中の O&M リクエストをブロックしていることです。この場合、管理者に連絡して制限を解除してください。

    • 監査ログには、クライアントに入力されたユーザー名や資産アカウントではなく、トークンをリクエストしたユーザーが記録されます。

    ステップ 2: クライアントツールまたはコマンドラインを使用して SSH トンネルを確立する

    以下のセクションでは、Navicat Premium とターミナルのコマンドラインツールを使用して、Bastionhost を介してデータベース資産で O&M 操作を実行する方法について説明します。

    Navicat Premium

    1. Navicat Premium を開き、MySQL 接続を作成します。

      • [SSH] タブで、[SSH トンネル] を選択し、Bastionhost へのログインに必要な情報 (ステップ 1 で取得したクライアント SSH トンネルの設定項目) を設定します。

        image

        主要なパラメーター

        説明

        ホスト

        要塞ホストの O&M アドレス。ステップ 1[クライアント SSH トンネルの設定] セクションにあるパブリックまたはプライベート O&M アドレスです。

        ポート

        SSH トンネル用の要塞ホストの O&M ポートを入力します。デフォルト値: 60022。

        ユーザー名

        要塞ホストへのログインに使用するユーザー名です。

        パスワード

        データベース O&M トークン。ステップ 1[クライアント SSH トンネルの設定] にある O&M トークンを入力するために使用します。

      • [全般] タブで、データベース情報を設定します。

        image

        主要なパラメーター

        説明

        ホスト

        データベースのエンドポイント。

        ユーザー名

        データベースアカウントのユーザー名。

        パスワード

        • 管理者がデータベースアカウントのユーザー名とパスワードを要塞ホストでホストしている場合は、このパラメーターを空のままにできます。

        • 管理者がデータベースアカウントのユーザー名とパスワードを要塞ホストでホストしていない場合は、データベースアカウントのパスワードを入力する必要があります。

        説明 [パスワードを保存] することをお勧めします。パスワードを保存しない場合、データベース O&M ツールでパスワードの入力を求められることがあります。その場合は、O&M トークンを入力できます。

    2. Navicat Premium で、作成したデータベース接続をダブルクリックします。接続が確立された後、O&M 操作を実行できます。

    ターミナルのコマンドライン

    1. CLI を開き、次のコマンドを実行します。

      • コマンドの構文:

        ssh -N -L <localport>:<databaseAddress>:<databasePort> <bastionusername>@<bastionAddress> -p <bastionPort>

      • パラメーターの説明:

        パラメーター

        説明

        localport

        SSH トンネルの作成後に使用されるカスタムのローカルリスニングポート。ローカルリスニングポートが占有されていないことを確認してください。

        databaseAddress

        O&M 操作を実行するデータベースのアドレス。

        databasePort

        O&M 操作を実行するデータベースのポート。

        bastionusername

        要塞ホストのユーザー名。

        bastionAddress

        要塞ホストのパブリック O&M アドレス。

        bastionPort

        SSH 用の要塞ホストの O&M ポート。デフォルト値: 60022。

      • 例: ssh -N -L 33061:rm-******m020h.mysql.rds.aliyuncs.com:3306 bastuser@******-public.bastionhost.aliyuncs.com -p 60022

    2. パスワード認証のステップで、データベース O&M トークンを入力し、Enter キーを押して待機します。

      image

    3. 別のコマンドラインを開き、カスタムのローカルポートがリスニング状態にあるかどうかを確認します。LISTEN は、ポートがリスニング状態にあることを示します。

      image

    4. 次のコマンドを実行します。データベースに接続した後、O&M 操作を実行できます。

      image

      • 構文

        mysql -h 127.0.0.1 -u <accountname> -P <localport>

      • パラメーターの説明

        • accountname は、O&M 操作に使用するデータベースアカウントのユーザー名です。

        • localport は、Bastionhost に接続する際に指定したカスタムのローカルリスニングポートです。

    Web ベースの O&M

    Bastionhost を使用すると、O&M ポータルまたは Web コンソールを介してデータベースで O&M 操作を実行できます。次のセクションでは、O&M ポータルを例として、データ O&M プロセスについて説明します。

    前提条件

    Bastionhost でデータベースとユーザーが作成され、そのユーザーが資産と資産アカウントへのアクセスを承認されていること。詳細については、「データベースの作成」、「ユーザーの管理」、および「資産と資産アカウントの承認」をご参照ください。

    このトピックでは、MySQLローカルユーザーを例として使用します。

    手順

    1. Bastionhost の O&M ポータルにログインします。詳細については、「O&M ポータルにログインする」をご参照ください。

    2. 左側のナビゲーションウィンドウで、[データベース] をクリックします。

    3. ターゲットデータベースを見つけます。リモート接続 列で、ログイン方法として Web リモート接続 を選択し、[ログイン] をクリックします。

      image

    シングルサインオン (SSO) 経由の O&M

    O&M エンジニアは、Web ページ上のシングルサインオンランチャーを使用して、ローカルクライアントを自動的に呼び出してセッションを確立できます。これにより、クライアントを個別に設定する必要がなくなります。次のセクションでは、Bastionhost の O&M ポータルを例として、SSO を使用して MySQL データベースで O&M 操作を実行する方法について説明します。

    前提条件

    ステップ 1: O&M ポータルアドレスを取得する

    1. Bastionhost コンソールにログインします。トップナビゲーションバーで、Bastionhost インスタンスが配置されているリージョンを選択します。

    2. Bastionhost インスタンスのリストで、ターゲットインスタンスを見つけて 管理 をクリックします。

    3. 左側のナビゲーションウィンドウで、[概要] をクリックして O&M ポータルアドレスを取得します。

      image

    ステップ 2: ローカルシステムにシングルサインオンランチャーをインストールする

    1. ブラウザのアドレスバーに、O&M ポータルのアドレスを入力します。

    2. [Alibaba Cloud Bastionhost] ログインページで、要塞ホストのユーザー名とパスワードを入力し、[ログイン] をクリックします。

    3. O&M ポータルページで、[シングルサインオンランチャーのダウンロード] をクリックします。

      この例では、Windows 用のシングルサインオンランチャーがダウンロードされます。

      image

    4. ダウンロードが完了したら、シングルサインオンランチャーをインストールします (インストール後に開く必要はありません)。

    ステップ 3: O&M ターミナルを設定する

    1. O&M ポータルの左側のナビゲーションウィンドウで、デバイス設定 をクリックします。

    2. [MySQL] タブで、Dbeaver クライアントを選択し、[保存] をクリックします。

      image

    3. 表示される [usmsso.exe] ダイアログボックスで、[開く] をクリックし、ページの手順に従ってデータベース O&M 用のクライアントを設定します。

    ステップ 4: データベースで O&M 操作を実行する

    1. O&M ポータルの左側のナビゲーションウィンドウで、[データベース] をクリックします。

    2. ターゲットデータベースを見つけます。[リモート接続] 列で、ドロップダウンリストをクリックし、ログイン方法を ローカルクライアント側のログイン に設定して、[ログイン] をクリックします。

      image

    データベース O&M 監査

    O&M エンジニアが Bastionhost を使用してデータベース資産で O&M 操作を実行すると、セッションレコードと操作ログが生成されます。監査人は、セッションレコードと操作ログを表示して O&M 操作を追跡できます。監査人は、セッションをリアルタイムで監視して、不正な操作が実行されていないかを確認することもできます。

    1. Bastionhost コンソールにログインします。トップナビゲーションバーで、Bastionhost インスタンスが配置されているリージョンを選択します。

    2. Bastionhost インスタンスのリストで、ターゲットインスタンスを見つけて 管理 をクリックします。

    3. 左側のナビゲーションウィンドウで、O&M 監査 > Session Audit を選択します。

    4. [セッション監査] ページで、セッションレコードを表示します。