リソース権限の管理 - Data Management - Alibaba Cloud ドキュメントセンター

Data Management (DMS) は、データベースインスタンス、データベース、テーブル、行、および機密カラムに対して詳細な権限制御を提供します。権限はロールベースであり、DMS 内でのご利用のロールによって、アクセス管理に使用できる方法が異なります。

セキュリティホスティングが権限に与える影響

セキュリティホスティング は、データベースインスタンス上で管理可能な権限の範囲を制御します。

無効：インスタンスへのログイン権限のみを申請または付与できます。
有効：インスタンス、データベース、テーブル、行、および機密カラムを対象とした完全な権限管理が利用可能です。

セキュリティホスティングを有効化する手順については、「セキュリティホスティング」をご参照ください。

ロール別の権限管理

ロール	利用可能な方法	範囲
一般ユーザ	チケットを送信して権限を申請	インスタンス、データベース、テーブル、行、機密カラム
データベース管理者 (DBA)	インスタンス管理機能、データベースインスタンスおよびデータベースに対するアクセス制御の有効化	インスタンスおよびデータベース権限のみ
DMS 管理者	インスタンス管理、ユーザ管理、インスタンスおよびユーザに対するアクセス制御	インスタンス、データベース、テーブル、行、機密カラム
スキーマ読み取り専用	操作不要	クエリ、変更、エクスポートの権限を申請することなく、すべてのインスタンス、データベース、およびテーブルのメタデータを照会可能

DMS コンソールの右上隅にあるアイコンをクリックすると、ご利用のロールを確認できます。DMS は、メタデータアクセス制御の変更を除き、権限の申請、付与、リリース、取り消しを含むすべての権限変更操作を操作ログに記録します。操作ログを表示するには、上部ナビゲーションバーで Security and Specifications > Operation Audit を選択し、Operation Logs タブをクリックします。

権限の申請（一般ユーザ）

一般ユーザは、リソースに対する権限を申請するためにチケットを送信できます。アクセス制御が有効になっているユーザは、この方法を使用できません。

DMS コンソール V5.0 にログインします。
左上隅のアイコンにポインターを合わせ、All Features > Security and disaster recovery (DBS) > Permission Center > Permissions を選択します。

説明
DMS コンソールを通常モードで使用している場合は、上部ナビゲーションバーで Security and disaster recovery (DBS) > Permission Center > Permissions を選択します。
左上隅のアイコンにポインターを合わせ、All Features > Security and disaster recovery (DBS) > Permission Center > Permissions を選択します。

説明
DMS コンソールを通常モードで使用している場合は、上部ナビゲーションバーで Security and disaster recovery (DBS) > Permission Center > Permissions を選択します。
左上隅のアイコンにポインターを合わせ、All Features > Security and disaster recovery (DBS) > Permission Center > Permission Tickets を選択します。

説明
DMS コンソールを通常モードで使用している場合は、上部ナビゲーションバーで Security and disaster recovery (DBS) > Permission Center > Permission Tickets を選択します。
左上隅のアイコンにポインターを合わせ、All Features > Security and Specifications (DBS) > Permission Center > Permission Tickets を選択します。
通常モードでは、上部ナビゲーションバーで Security and Specifications (DBS) > Permission Center > Permission Tickets を選択します。
Access apply Tickets ページで、Access apply をクリックし、ドロップダウンリストから権限タイプを選択します。

権限を申請するリソースを選択します。

セキュリティホスティングのステータス	利用可能な権限タイプ	選択方法
無効	Instances-Login	エンドポイントまたはインスタンス名で検索し、をクリックしてインスタンスを Confirm selected instance セクションに追加します。
有効	Instances-OWNER、Database-OWNER、Table-OWNER、Instances-Permission、Instances-Performance、Database-Permission、Table-Permission、Programmable Object、Row-Permission、Sensitive Column-Permission	リソースを検索します（ワイルドカードとして `%` を使用可能。例：`dms%test`）。検索結果から該当リソースを選択し、をクリックして Selected Databases/Tables/Columns セクションに追加します。

権限（ログイン、クエリ、エクスポート、変更）を選択し、有効期間を設定して、申請理由を入力します。
Tip: 必要な期間のみアクセスを許可するよう、有効期間を設定してください。特定のタスクのために一時的なアクセスが必要な場合に便利です。
Submit をクリックします。チケットは承認ステップに入ります。チケットが承認されると、DMS が自動的に権限を付与します。
承認フロー：
- セキュリティコラボレーションモード：承認プロセスをカスタマイズできます。
- 非セキュリティコラボレーションモード、セキュリティホスティング無効：デフォルトの承認者はインスタンスの DBA です。
- 非セキュリティコラボレーションモード、セキュリティホスティング有効：承認者はリソース所有者です。所有者が指定されていない場合は、DBA が承認者となります。

ご利用の権限の確認

DMS コンソール V5.0 にログインします。
左上隅のアイコンにポインターを合わせ、All Features > Security and Specifications (DBS) > Permission Center > Permissions を選択します。
通常モードでは、上部ナビゲーションバーで Security and Specifications (DBS) > Permission Center > Permissions を選択します。
Ordinary Permissions タブで通常の権限を確認します。ドロップダウンリストから権限タイプを選択してリストをフィルターできます。
My Resources タブでリソース所有者権限を確認します。ドロップダウンリストから Owner's instance、My Databases、または My Tables を選択します。

データベースインスタンスに対する権限には、ログイン、パフォーマンスの表示、クエリ、エクスポート、変更が含まれます。プログラム可能オブジェクトに対する権限は、照会またはリリースできません。

ご利用の権限のリリース

リソースに対する権限をリリースすると、そのデータをクエリ、エクスポート、または変更できなくなります。

DMS コンソール V5.0 にログインします。
左上隅のアイコンにポインターを合わせ、All Features > Security and Specifications (DBS) > Permission Center > Permissions を選択します。
通常モードでは、上部ナビゲーションバーで Security and Specifications (DBS) > Permission Center > Permissions を選択します。
通常の権限をリリースするには、Ordinary Permissions タブでリリースする権限を選択し、Release Permission をクリックします。
リソース所有者権限をリリースするには、My Resources タブでリリースする所有者権限を選択し、Release Owner をクリックします。

DMS 管理者または DBA としての権限管理

インスタンス管理機能を使用した権限管理

DMS 管理者および DBA は、インスタンスまたはデータベースの一覧から直接権限を管理できます。

DMS コンソール V5.0 にログインします。
左上隅のアイコンにポインターを合わせ、All Features > Data Assets > Instances を選択します。
通常モードでは、上部ナビゲーションバーで Data Assets > Instances を選択します。
インスタンスレベルの権限を管理します。
1. Instance List タブで該当インスタンスを見つけ、Actions 列の More > Manage Permissions を選択します。
2. ダイアログボックスでユーザを見つけ、アクションボタンをクリックして権限を表示、取り消し、またはログイン権限・パフォーマンス表示権限を付与します。
  - セキュリティホスティング無効：ログイン権限のみを付与できます。
  - セキュリティホスティング有効：パフォーマンス表示、クエリ、エクスポート、変更の各権限を付与できます。
データベースおよびテーブルレベルの権限を管理します（セキュリティホスティングが有効である必要があります）。
1. Database List タブで該当データベースを見つけ、Actions 列の More > Permission Management を選択します。
2. ダイアログボックスで権限タイプを選択し、ユーザを見つけます。アクションボタンをクリックして権限を表示または取り消すか、Grant Permissions on Database または Grant Permissions on Table をクリックして権限を付与します。

権限テンプレートを使用した権限管理

バッチ処理または再利用可能な権限構成については、「権限テンプレートの作成」をご参照ください。

DMS 管理者としての権限管理

DMS 管理者は、ユーザ管理機能を使用して、任意のユーザに対してインスタンス、データベース、テーブル、行、および機密カラムの権限を付与または取り消すことができます。

DMS コンソール V5.0 にログインします。
左上隅のアイコンにポインターを合わせ、All Features > O &M > Users を選択します。
通常モードでは、上部ナビゲーションバーで O &M > Users を選択します。
ユーザに権限を付与します。
1. 該当ユーザを見つけ、Actions 列の Authorize にポインターを合わせ、権限タイプを選択します。
2. ダイアログボックスでパラメーターを設定し、OK をクリックします。
ユーザから権限を取り消します。
1. 該当ユーザを見つけ、Actions 列の More にポインターを合わせ、Permission Details を選択します。
2. User Permissions ダイアログボックスで、Ordinary Permissions タブをクリックし、権限タイプを選択します。
3. 管理するリソースを選択し、Release Permission をクリックします。
4. Permission Operation ダイアログボックスで、取り消す権限を選択し、OK をクリックします。

よくある質問

ApsaraDB RDS インスタンスに対して DMS 上でログイン権限を持つ RAM ユーザーが、ログイン時に「権限がありません」というエラーになります。原因は何ですか？

ApsaraDB RDS インスタンスは、RAM ユーザーアカウントではなく Alibaba Cloud アカウントを使用して DMS に登録する必要があります。Alibaba Cloud アカウントでインスタンスを登録すれば、RAM ユーザーは DMS 経由でそのインスタンスにログインできます。詳細については、「Alibaba Cloud データベースインスタンスの登録」をご参照ください。