Data Management (DMS) は、データベースインスタンス、データベース、テーブル、カラム、行、およびメタデータに対するきめ細かなアクセス制御を提供します。本トピックでは、DMS の権限モデルについて説明し、チケットを用いた権限申請手順を示します。
権限のカテゴリ
DMS では、権限が以下の 3 つのカテゴリに分類されます:
| カテゴリ | 制御対象 |
|---|---|
| 操作権限 | ユーザーがリソースに対して実行できる操作 — ログイン、クエリ、エクスポート、変更 |
| データ権限(リソース所有者権限) | リソースの所有権 — アクセスの付与および取り消しが可能 |
| メタデータアクセス制御 | リソースの可視性 — 許可されていないユーザーがリソースを表示またはアクセス申請できるかどうか |
操作権限
操作権限は、ユーザーがリソースに対して実行可能な操作を規定します。以下の種類があります:
| 権限タイプ | 説明 | セキュリティホスティング必須 |
|---|---|---|
| データベースインスタンスに対する権限 — ログイン | 企業が管理するアカウントおよびパスワードを使用してデータベースインスタンスにログインします。 | 不要 |
| データベースインスタンスに対する権限 — パフォーマンス | データベースインスタンスのパフォーマンスの詳細を表示します。詳細については、「データベースインスタンスのパフォーマンスの詳細を表示する」をご参照ください。 | はい |
| データベースインスタンスに対する権限 — データ | アクセス制御が有効化された機密カラムおよび機密行を除き、データベースインスタンス内のデータをクエリ、エクスポート、および変更します。 | — |
| データベースに対する権限 | データベース内のデータの照会、エクスポート、および変更(アクセスの制御が有効になっている場合は、機微な列および行を除く)。 | — |
| テーブルに対する権限 | アクセス制御が有効化された機密カラムおよび機密行を除き、テーブル内のデータをクエリ、エクスポート、および変更します。 | — |
| 機密カラムに対する権限 | 機微な列のデータに対してクエリの実行、エクスポート、および変更を行います。適用する前に、「機微データ保護機能が有効化されていること」を確認し、親データベースおよびテーブルに対する権限を持っていることを確認してください。 | — |
| 行に対する権限 | 行レベルのアクセス制御の設定行内のデータをクエリ、エクスポート、および変更します。設定の詳細については、「」をご参照ください。申請前に、親データベースおよび親テーブルに対する権限を所持している必要があります。 | — |
| プログラム可能オブジェクトに対する権限 | プログラマブルオブジェクトのデータをクエリ、エクスポート、変更します。詳細については、「ストアド ルーチンを使用してプログラマブルオブジェクトを変更する」をご参照ください。 | はい |
DMS における「クエリ」「エクスポート」「変更」の意味:
クエリ:SQL コンソールでクエリ文を実行します。
変更:SQL コンソールで変更文を実行し、データ変更チケットおよびデータベース・テーブル同期チケットを送信します。これは承認なしでのデータ変更を意味しません。DMS 管理者は、SQL コンソールで許可される文の種類を制限できます。
エクスポート:データエクスポートチケットを送信します。これは承認なしでのデータエクスポートを意味しません。
データ権限(リソース所有者権限)
データ権限は、リソースの所有権を付与します。所有者は、アクセス権限を持つユーザーを確認し、ユーザーへの権限付与および取り消しを行い、リソースデータ(アクセス制御が有効化された機密カラムおよび機密行を除く)をクエリできます。
所有者ロールには、インスタンス所有者、データベース所有者、およびテーブル所有者の 3 種類があります。
データベースインスタンスのセキュリティホスティングが無効化されている場合、インスタンス所有者の追加または削除は、DMS 管理者およびデータベース管理者(DBA)のみが実行できます。インスタンス所有者を管理するには、DMS コンソール左側の データベースインスタンス セクションで該当のデータベースインスタンスを右クリックし、インスタンス所有者 > 所有者の設定 を選択します。
メタデータアクセス制御
メタデータアクセス制御は、リソースの可視性を制限します:
インスタンスアクセス制御:許可されたユーザーのみがデータベースインスタンスをクエリまたはアクセスできます。許可されていないユーザーはアクセス申請できません。
データベースアクセス制御:許可されたユーザーのみがデータベースをクエリまたはアクセスできます。許可されていないユーザーはアクセス申請できません。
ユーザーアクセス制御:ユーザーは、既に権限を付与されているリソースのみをクエリまたはアクセスできます。他のデータベースインスタンスやデータベースに対する権限申請はできません。
データベースインスタンスまたはデータベースに対する任意の操作権限またはデータ権限を所持することは、そのリソースに対する権限を所持することとみなされます。
権限を管理できるユーザー
以下の表は、各ロールが実行可能な操作を示しています:
| 操作 | 一般ユーザー | DBA | DMS 管理者 |
|---|---|---|---|
| チケットを用いた権限申請 | はい | ||
| インスタンス管理を介した権限管理 | はい | はい | |
| インスタンスおよびデータベースに対するメタデータアクセス制御の有効化 | はい | はい | |
| ユーザー管理を介した任意のリソースに対する権限の付与および取り消し | はい | ||
| ユーザーに対するアクセス制御の有効化 | はい |
各ロールの管理経路の詳細については、以下をご参照ください:
DBA および DMS 管理者:「DMS 管理者または DBA としての権限管理」
DMS 管理者(ユーザー管理):「DMS 管理者としての権限管理」
メタデータアクセス制御の有効化:「メタデータアクセス制御の有効化」
ユーザーに対するアクセス制御の有効化:「ユーザーに対するアクセス制御の有効化」
ご自身のロールを確認するには、「システムロールの表示」をご参照ください。
DMS は、メタデータアクセス制御の変更を除くすべての権限変更操作を操作ログに記録します。記録対象の操作には、権限申請、権限付与、権限解放、および権限取り消しが含まれます。操作ログを表示するには、上部ナビゲーションバーから セキュリティおよびディザスタリカバリ(DBS) > 操作監査 を選択し、操作ログ タブをクリックします。
チケットを用いた権限申請
アクセス制御が有効化されていない DMS ユーザーは、リソースに対する権限を申請するためにチケットを送信できます。
権限チケットの送信
DMS コンソール V5.0 にログインします。
左上隅の
アイコンにポインターを合わせ、すべての機能 > セキュリティおよびディザスタリカバリ(DBS) > 権限センター > 権限チケット を選択します。DMS コンソールを通常モードで使用している場合は、上部ナビゲーションバーから セキュリティおよびディザスタリカバリ(DBS) > 権限センター > 権限チケット を選択します。
アクセス申請チケット ページで、アクセス申請 をクリックし、ドロップダウンリストから権限タイプを選択します。
アクセス申請チケットページで、リソースを選択し、権限を構成します:
データベースインスタンスのセキュリティホスティング状態に基づいてリソースを選択します:
カテゴリ サポートされる権限タイプ 選択方法 セキュア管理:無効 インスタンス-ログイン 検索ボックスにデータベースインスタンスのエンドポイントまたは名前を入力し、検索 をクリックします。検索結果から該当のインスタンスを選択し、 
アイコンをクリックして 選択済みインスタンスの確認 セクションに追加します。セキュア管理:有効 インスタンス-OWNER、データベース-OWNER、テーブル-OWNER、インスタンス-権限、インスタンス-パフォーマンス、データベース-権限、テーブル-権限、プログラム可能オブジェクト、行-権限、機密カラム-権限 検索ボックスにデータベース名を入力し、検索 をクリックします。 %をワイルドカードとしてあいまい一致検索に使用できます(例:dms%test)。検索結果から該当のデータベースを選択し、 アイコンをクリックして 選択済みデータベース/テーブル/カラム セクションに追加します。権限を選択します。ログイン、クエリ、エクスポート、変更の各権限から選択し、有効期間を設定し、申請理由を入力します。
送信 をクリックします。チケットは承認ステップに進みます。
チケットが承認されると、システムが自動的に申請された権限を付与します。
承認ワークフロー
承認者は、データベースインスタンスの管理方法によって異なります:
セキュリティコラボレーションモード:承認プロセスはカスタマイズ可能です。
セキュリティコラボレーションモードでない場合:
セキュリティホスティングが無効の場合:ログイン権限のみ申請できます。デフォルトの承認者は、該当データベースインスタンスの DBA です。
セキュリティホスティングが有効の場合:承認者はリソース所有者です。リソース所有者が設定されていない場合は、該当データベースインスタンスの DBA が承認者となります。