Data Management (DMS) を使用すると、データベース権限申請向けにカスタム承認チェーンを定義できます。デフォルトでは、データベース管理者 (DBA) のみが申請を承認する必要があります。この設定は変更可能です。たとえば、本番データベースへのアクセス申請については、データベース所有者と DBA の両方が承認するよう要件を追加したり、一般ユーザによる本番データベースのクエリ権限申請を完全にブロックしたりできます。
本トピックでは、以下の完全な例を説明します:管理者が poc_prod 本番データベース向けに 2 名の承認者が必要な承認プロセスを設定し、その後、一般ユーザが権限申請を提出して、そのプロセスが有効に適用されていることを確認します。
前提条件
開始する前に、以下の条件を満たしていることを確認してください。
DMS 管理者アカウント
対象データベースに既にセキュリティルールセットが適用済みであること(本例では、
POC 本番データベース向けセキュリティルールをpoc_prodに適用)
承認プロセスの設定(管理者)
DMS 管理者として、DMS コンソール V5.0 にログインします。
セキュリティルール ページへ移動します。
左上隅の
アイコンにポインターを合わせ、すべての機能 > セキュリティおよびディザスタリカバリ (DBS) > セキュリティルール を選択します。
説明通常モードでは、上部ナビゲーションバーから セキュリティおよびディザスタリカバリ (DBS) > セキュリティルール を選択します。
POC 本番データベース向けセキュリティルールセキュリティルールセットを見つけ、編集 をクリックします(操作 列)。詳細 ページで、アクセス申請 タブをクリックします。
[DB 権限申請] デフォルト承認テンプレート ルールを見つけ、編集 をクリックします(操作 列)。
ダイアログボックスで、承認テンプレートの切り替え をクリックします。デフォルトテンプレートでは DBA のみの承認が必要ですが、テンプレートを切り替えることで、追加の必須承認者を設定できます。
所有者 → DBAテンプレートを見つけ、選択 をクリックします(操作 列)。送信 をクリックします。
セキュリティルールセットが更新されました。POC 本番データベース向けセキュリティルール が適用されるデータベースに対する今後のすべての権限申請は、インスタンス所有者および DBA の両方による承認が必要になります。
承認プロセスの検証(一般ユーザ)
一般ユーザとしてログインし、カスタマイズされた承認プロセスが正しく適用されていることを確認します。
一般ユーザとして、DMS コンソール V5.0 にログインします。
権限チケット ページへ移動します。
左上隅の
アイコンにポインターを合わせ、すべての機能 > セキュリティおよびディザスタリカバリ (DBS) > 権限センター > 権限チケット を選択します。
説明通常モードでは、上部ナビゲーションバーから セキュリティおよびディザスタリカバリ (DBS) > 権限センター > 権限チケット を選択します。
右上隅で、アクセス申請 > データベース権限 を選択します。
セキュリティホスティング有効 タブで、データベース権限 タブをクリックします。データベース/テーブル/列の選択 セクションで、
poc_prodを入力し、検索 をクリックします。検索結果から
poc_prodを選択し、追加 をクリックして、選択済みデータベース/テーブル/列 セクションに移動します。権限の選択 セクションで、権限、有効期間、申請理由 を設定し、送信 をクリックします。チケットが送信され、インスタンス所有者および DBA による承認待ち状態になります。ステータスはコンソールのホームページで確認できます。
チケットが承認された後、該当チケットを見つけ、詳細 をクリックします(操作 列)。チケット詳細 ページで、承認詳細の表示 をクリックします(承認 セクション)。これにより、完全な承認チェーンおよび各承認者のステータスを確認できます。