Data Management (DMS) では、セキュリティルールは承認プロセスに関連付けられています。さまざまなユーザー操作に基づいて、異なる承認プロセスを設定できます。このトピックでは、承認プロセスの設定方法について説明します。
前提条件
管理者または DBA のシステムロールが必要です。ご利用のシステムロールを表示するには、「自分のシステムロールの表示」をご参照ください。
基本概念
承認ノード
承認ノードは、承認プロセスにおける単一のステージを表します。承認ノードには、1 人以上の承認者を追加できます。
説明承認ノード内のいずれかの承認者が応答すると、承認プロセスは次のノードに進みます。
システムには、4 つのデフォルト承認ノードが用意されています:
承認ノード
説明
管理者
管理者がチケットを承認します。
説明ユーザーに管理者ロールを割り当てるには、「ユーザーの編集」をご参照ください。
DBA
関連リソースの DBA がチケットを承認します。
説明ページで、インスタンスの詳細設定で DBA を設定できます。
DBA ロール
特定リソースの DBA を含む、DBA システムロールを持つすべてのユーザーがチケットを承認できます。
説明ユーザーに DBA ロールを割り当てるには、「ユーザーの編集」をご参照ください。
owner
関連リソースのオーナーがチケットを承認します。
説明インスタンスまたはデータベースのオーナー権限を申請するには、「アクセス制御権限の管理」をご参照ください。
デフォルトの承認ノードに加えて、カスタム承認ノードを作成、編集、削除できます。詳細については、「承認ノードの作成」をご参照ください。
各承認ノードには一意の ID があります。
承認テンプレート
承認テンプレートは、1 つ以上の承認ノードで構成されます。
デフォルトの承認テンプレートに加えて、カスタム承認テンプレートを作成、編集、削除できます。詳細については、「承認テンプレートの作成」をご参照ください。
各承認テンプレートには一意の ID があります。たとえば、ID が
851の承認テンプレートは、ID が512と511の承認ノードで構成される場合があります。セキュリティルールで承認テンプレートの ID を指定して、ルールをそのテンプレートに関連付けることができます。
承認の優先度
モジュールごとに、セキュリティルールの基本設定項目と特定のチェックポイントの両方で承認プロセスを設定できます。
説明DMS は、チェックポイントにプロセスが指定されていない場合にのみ、デフォルトの承認プロセスを使用します。
承認不要
DMS では、承認不要のテンプレートの ID は -1 です。次の操作を使用して、承認不要のワークフローを実現することもできます。これらの操作の詳細については、「セキュリティルールの DSL 構文」をご参照ください。
操作
説明
@act.do_not_approve
承認は不要です。
@act.choose_approve_template -1
承認テンプレート ID を -1 (承認不要) に設定します。
@act.choose_approve_template_with_reason -1 "No approval required"
承認テンプレート ID を -1 (承認不要) に設定し、プロセスで「No approval required」というメッセージを返します。
ステップ 1: 承認ノードの作成
DMS 5.0 にログインします。
-
左上隅の
アイコンにポインターを合わせ、 を選択します。説明DMS コンソールを通常モードで使用している場合は、上部のナビゲーションバーで を選択します。
左側のナビゲーションウィンドウで、[承認ノード] タブをクリックします。
[承認ノードの作成] をクリックします。
次の表に基づいて、必要な情報を入力します。
パラメーター
説明
ノード名
承認ノードの名前。
説明
承認ノードの説明。
承認者
このノードの承認者。複数の承認者を追加できます。複数の承認者を追加した場合、いずれか 1 人が応答するとこのステージは完了します。
[送信] をクリックします。
ステップ 2: 承認テンプレートの作成
DMS 5.0 にログインします。
上部のナビゲーションバーで、 を選択します。
説明コンソールをシンプルモードで使用している場合は、左上隅の
アイコンをクリックし、 を選択します。左側のナビゲーションウィンドウで、[承認テンプレート] タブをクリックします。
[承認テンプレートの作成] をクリックします。
次の表に基づいて、必要な情報を入力します。
パラメーター
説明
テンプレート名
承認テンプレートの名前。
説明
承認テンプレートの説明。
承認ノード
[ノードの追加] をクリックして承認ノードを追加します。ノードはシーケンス番号の昇順で処理されます。たとえば、シーケンス番号が 0 のノードは、シーケンス番号が 1 のノードの前に処理されます。
[送信] をクリックします。
次のステップ
セキュリティコラボレーションモードのインスタンスにバインドされているセキュリティルールに承認テンプレートを適用します。詳細については、「セキュリティルールへの承認テンプレートの適用」をご参照ください。
利用可能な承認操作
DMS は、承認チケットを処理するためのいくつかの柔軟な操作を提供します。
承認:チケットを承認して、プロセスを続行させます。
却下:承認プロセスを終了させます。
取り消し:チケットの申請者が保留中のチケットを取り下げることができます。
転送:現在の承認者が別のユーザーに承認を委任できます。
事前承認ノードの追加:現在のノードの前にカスタム承認ノードを追加します。
事後承認ノードの追加:現在のノードの後にカスタム承認ノードを追加します。
新しい承認ノードの承認者は、DMS に既に追加されているユーザーからのみ選択できます。DMS にユーザーを追加する方法については、「ユーザー管理」をご参照ください。
よくある質問
Q: DMS の承認プロセスで、ユーザーが自身のチケットを承認できないように設定できますか?
A: セキュリティコラボレーションインスタンスは、カスタム承認プロセスをサポートしています。ユーザーが自身のチケットを承認できないようにするには、次の手順に従ってください:
DMS の上部メニューバーで、[O&M 管理] をクリックします。
ドロップダウンリストから [設定管理] を選択します。
[設定管理] タブで、検索ボックスに
excludeと入力し、[申請者を承認ノードから自動的に除外する (複数の承認者が存在する場合に有効)] という名前の設定項目を検索します。[操作] 列で [編集] をクリックします。パラメーター値を
Yに設定し、[確認] をクリックします。
設定が完了すると、チケットの申請者が承認プロセス内の承認者でもある場合、システムはそのチケットの承認者リストから申請者を自動的に削除します。これにより、自己承認が防止されます。
Q: データベースに特定の承認プロセスを設定し、DMS で承認不要の変更を設定するにはどうすればよいですか?
A: カスタム承認プロセスなどの詳細設定は、インスタンスのセキュリティコラボレーションモードを有効にした後にのみ利用できます。
セキュリティコラボレーションモードの有効化
インスタンスリストで、ターゲットインスタンスを右クリックします。
モードを切り替えるには、[コントロールモード] > [セキュリティコラボレーション] > [mysql デフォルト] を選択します。
説明モードを切り替えると、すべてのデータベース変更が承認プロセスの対象となります。
(任意) 承認ルールの追加
必要に応じて、詳細な承認ポリシーを設定します。承認ルールの作成方法の詳細については、「承認プロセスの設定」をご参照ください。
承認ルールの設定
DMS の上部メニューバーで、[セキュリティとディザスタリカバリ (DBS)]> [セキュリティルール] を選択します。
[仕様管理] タブで、データエンジンタイプに適したルールセットを選択します。
ターゲットルールを見つけ、[操作] 列の [編集] をクリックして [詳細] ページを開きます。
左側のナビゲーションウィンドウで、[SQL 変更] を選択します。[チェックポイント] セクションで、[リスク承認ルール] を選択します。
[ルールの追加] をクリックし、設定用の DSL スクリプトを入力します。
例:
次の例は、
aesデータベースに承認テンプレート173956を使用し、他のすべてのデータベースへの変更を承認不要にするルールを示しています:if 'aes' in @fac.ref_schema_names then @act.choose_approve_template 173956 else @act.do_not_approve end必要に応じて DSL 式を拡張できます。構文の詳細については、「セキュリティルール DSL 構文」をご参照ください。