Data Management (DMS) では、セキュリティルールと承認プロセスは相互に関連しています。ユーザーのさまざまな動作に対して、異なる承認プロセスを選択できます。この Topic では、承認プロセスの設定方法について説明します。
前提条件
管理者またはデータベース管理者 (DBA) である必要があります。詳細については、「自分のシステムロールの表示」をご参照ください。
基本概念
承認ノード
承認ノードは、承認プロセスにおける段階です。承認ノードには、1 人以上の承認者を追加できます。
説明承認ノードに複数の承認者がいる場合、そのうちの 1 人がチケットを承認すると、プロセスは次のノードに進みます。
DMS は、4 つのデフォルト承認ノードを提供します。
承認ノード
説明
管理者
DMS 管理者がチケットを承認します。
説明ユーザーを管理者にする方法の詳細については、「ユーザーの編集」をご参照ください。
DBA
操作を実行するリソースの DBA がチケットを承認します。
説明ページでインスタンスの高度な設定を編集することで、インスタンスの DBA を設定できます。
DBA ロール
DBA ロールを持つユーザーがチケットを承認します。これには、操作を実行するリソースの DBA も含まれます。
説明ユーザーに DBA ロールを割り当てる方法の詳細については、「ユーザーの編集」をご参照ください。
オーナー
操作を実行するリソースのオーナーがチケットを承認します。
説明インスタンス所有者またはデータベース所有者の権限を申請する方法の詳細については、「アクセスの制御権限の管理」をご参照ください。
デフォルトの承認ノードに加えて、カスタム承認ノードを追加、編集、削除できます。詳細については、「承認ノードの作成」をご参照ください。
各承認ノードには、一意のノード ID があります。
承認テンプレート
承認テンプレートは、1 つ以上の承認ノードで構成されます。
デフォルトの承認テンプレートに加えて、カスタム承認テンプレートを追加、編集、削除できます。詳細については、「承認ノードの作成」をご参照ください。
各承認テンプレートには、一意のテンプレート ID があります。たとえば、ID が
851の承認テンプレートは、ID が512と511の承認ノードで構成できます。ルールにテンプレート ID を入力することで、承認テンプレートをセキュリティルールに関連付けることができます。
承認の優先度
セキュリティルールでは、基本設定項目とチェックポイントの両方に対して承認プロセスを設定できます。
説明DMS では、チェックポイントの承認プロセスは、基本設定項目の承認プロセスよりも高い優先度を持ちます。基本設定項目のプロセスは、チェックポイントにプロセスが設定されていない場合にのみ使用されます。
承認不要
DMS では、承認不要プロセスの承認テンプレート ID は -1 です。また、次のアクションを使用して承認不要プロセスを作成することもできます。アクションの詳細については、「セキュリティルールの DSL 構文」をご参照ください。
アクション
説明
@act.do_not_approve
承認は不要です。
@act.choose_approve_template -1
承認テンプレート ID を -1 (承認不要) に設定します。
@act.choose_approve_template_with_reason -1 “No approval required”
承認テンプレート ID を -1 (承認不要) に設定し、対応するプロセスで「No approval required」というメッセージを返します。
ステップ 1:承認ノードの作成
- DMS V5.0 コンソールにログインします。
左上隅の
アイコンにポインターを合わせ、 を選択します。説明DMS コンソールを通常モードで使用する場合は、上部のナビゲーションバーで を選択します。
左側のナビゲーションウィンドウで、[承認ノード] タブをクリックします。
[承認ノードの追加] をクリックします。
必要な情報を入力します。
パラメーター
説明
ノード名
承認ノードの名前。
コメント
承認ノードの備考。
承認者
このノードの承認者。複数の承認者を追加できます。複数の承認者がいる場合、1 人の承認者が応答すると、このノードのチケットは承認されます。
[送信] をクリックします。
ステップ 2:承認テンプレートの作成
- DMS V5.0 コンソールにログインします。
上部のナビゲーションバーで、 を選択します。
説明コンソールをシンプルモードで使用する場合は、コンソールの左上隅にある
アイコンをクリックし、 を選択します。左側のナビゲーションウィンドウで、[承認テンプレート] タブをクリックします。
[承認テンプレートの追加] をクリックします。
必要な情報を入力します。
パラメーター
説明
テンプレート名
承認テンプレートの名前。
コメント
承認テンプレートの備考。
承認ノード
[ノードの追加] をクリックして承認ノードを追加します。承認ノードは昇順で処理されます。たとえば、0 が最初の承認ノード、1 が 2 番目の承認ノードです。
[送信] をクリックします。
次のステップ
セキュリティコラボレーションモードのインスタンスのセキュリティルールに承認テンプレートを適用します。詳細については、「セキュリティルールへの承認テンプレートの適用」をご参照ください。
その他の情報
DMS は、チケット承認者のために柔軟な承認メソッドを提供します。
承認:チケットを承認してプロセスを続行します。
却下:チケットを却下して承認プロセスを終了します。
取り消し:チケットの申請者は、承認待ちのチケットを取り消すことができます。
オーナーの変更:現在の承認者は、承認を別のユーザーに転送できます。
事前承認ノードの追加:現在の承認ノードの前に、新しいカスタム承認ノードを追加できます。
事後承認ノードの追加:現在の承認ノードの後に、新しいカスタム承認ノードを追加できます。
新しい承認ノードの承認者は、既存の DMS ユーザーからのみ選択できます。DMS にユーザーを追加する方法の詳細については、「ユーザー管理」をご参照ください。
よくある質問
Q:DMS の承認プロセスで、ユーザーが自分のチケットを承認できないようにすることはできますか?
A:はい。セキュリティコラボレーションモードのインスタンスは、カスタム承認プロセスをサポートしています。ユーザーが自分のチケットを承認できないようにするには、次の手順を実行します:
DMS コンソールのトップメニューバーで、[運用管理] をクリックします。
ドロップダウンリストから [設定管理] を選択します。
[設定管理] タブで、検索バーに「remove」と入力し、[承認フローの承認ノードから申請者を自動的に削除するかどうか (複数の承認者がいる場合に有効)] という名前の設定項目を見つけます。
[操作] 列で [編集] をクリックします。パラメーター値を
Yに設定し、[変更の確認] をクリックします。
設定が完了すると、チケットの申請者が承認フローの承認者でもある場合、システムはそのチケットの承認者リストから申請者を自動的に削除します。これにより、自己承認が防止されます。
Q:DMS で、あるデータベースには特定の承認プロセスを設定し、別のデータベースには承認不要のプロセスを設定するにはどうすればよいですか?
A:カスタム承認プロセスなどの高度な設定は、インスタンスがセキュリティコラボレーションモードの場合にのみ設定できます。
セキュリティコラボレーションモードの有効化
インスタンスリストで、対象のインスタンスを右クリックします。
[コントロールモード] > [セキュリティコラボレーション] > [mysql default] を選択してモードを切り替えます。
説明モードを切り替えると、すべてのデータベース変更操作で承認が必要になります。
(オプション) 承認ルールの追加
必要に応じて、詳細な承認ポリシーを設定できます。承認ルールを作成するには、「承認プロセスの設定」をご参照ください。
承認ルールの設定
DMS コンソールのトップメニューバーで、[セキュリティとディザスタリカバリ (DBS)] > [セキュリティルール] を選択します。
[仕様管理] タブで、データベースエンジンの種類に基づいて対応するルールセットを選択します。
対象のルールを見つけ、[操作] 列の [編集] をクリックして [詳細] ページに移動します。
左側のナビゲーションウィンドウで、[SQL 変更] を選択します。[チェックポイント] セクションで、[リスク承認ルール] を選択します。
[ルールの追加] をクリックし、DSL スクリプトを入力してルールを設定します。
例:
aesデータベースでは指定の承認テンプレート173956を使用し、他のデータベースは承認不要とするルールを作成するには:if 'aes' in @fac.ref_schema_names then @act.choose_approve_template 173956 else @act.do_not_approve end必要に応じて DSL 式を拡張できます。構文の詳細については、「セキュリティルールの DSL 構文」をご参照ください。