Data Management (DMS) のセキュリティルールは、ご利用のデータベースに対する詳細なアクセスの制御とガバナンスを実施します。ルールセットを作成し、ドメイン固有言語(DSL)を使用してポリシーを定義し、データベースインスタンスに適用することで、クエリ、エクスポート、データ変更、承認ワークフロー、開発プロセスを制御できます。
前提条件
DMS 管理者またはデータベース管理者(DBA)ロールを保有している必要があります。詳細については、「システムロールの確認」をご参照ください。
ご利用のデータベースインスタンスは セキュリティコラボレーション モードで管理されている必要があります。
説明柔軟な管理 モードまたは 安定的な変更 モードで管理されているインスタンスは、デフォルトのセキュリティルールのみをサポートします。
セキュリティルールの機能
目的 | セキュリティルールによる支援内容 |
メールおよび IM を使った変更リクエストをオンラインワークフローに置き換える | R&D プロセス、仕様、承認フローを統合し、複数の開発者がオンラインで共同してデータベースを管理できるようにする |
環境(開発、テスト、ステージング、本番)間でのスキーマの一貫性を維持する | |
スキーマ設計基準を強制する | |
高リスク SQL 文をブロックする | |
データ変更に対して階層的な承認を適用する | |
権限付与に対して階層的な承認を適用する |
セキュリティルールページへの移動
DMS コンソール V5.0 にログインします。
セキュリティルール ページを開きます。
コンパクトモード: 左上隅のアイコンにカーソルを合わせ、すべての機能 > セキュリティと仕様 > セキュリティルール の順に選択します。
ノーマルモード: 上部ナビゲーションバーで、セキュリティと仕様 > セキュリティルール の順に選択します。
ルールセットの作成
データベースエンジンおよび環境ごとに異なるセキュリティポリシーを適用するために、複数のルールセットを作成できます。
- DMS コンソール V5.0 にログインします。
-
左上隅の
アイコンにポインターを合わせ、 の順に選択します。説明DMS コンソールをノーマルモードで使用している場合は、上部ナビゲーションバーで の順に選択します。
セキュリティルール ページで、左上隅の ルールセットの作成 をクリックします。
ルールセットを設定します。
パラメーター
説明
エンジンタイプ
このルールセットを適用するデータベースエンジンです。
ルールセット名
ルールセットの説明的な名前。
備考
セキュリティルールセットの適用範囲(例:対象環境など)を記述します。
送信 をクリックします。
ルールセット内のルールの設定
ルールセットを作成後、その 詳細 ページを開いて、デフォルトルールを変更するか、特定のチェックポイント用のカスタムルールを追加できます。
たとえば、SQL コンソール タブで 結果セットのエクスポートを許可するかどうか ルールを無効化することで、結果セットのエクスポートを防止できます。
DMS でタスクが送信されると、システムは該当するチェックポイントに関連するすべてのルールに対してタスクを検証します。すべての検証に合格した場合にのみ、タスクが実行されます。
事前定義済みルールの編集
- DMS コンソール V5.0 にログインします。
-
左上隅の
アイコンにポインターを合わせ、 の順に選択します。説明DMS コンソールをノーマルモードで使用している場合は、上部ナビゲーションバーで の順に選択します。
セキュリティルール ページで、対象のルールセットを見つけ、操作 列の 編集 をクリックします。
説明新しいルールセットを作成する方法については、「セキュリティルールの作成」をご参照ください。
詳細 ページの左側ナビゲーションウィンドウで、設定するチェックポイントのタブを選択します。
必要に応じて、事前定義済みの構成を変更し、ルールの状態を切り替えます。
カスタムルールの作成
事前定義済みのルールが要件を満たさない場合は、カスタムルールを作成してください。
ルールセットの 詳細 ページで、操作 の横にある ルールの作成 をクリックします。
以下のパラメーターを設定します。
パラメーター
説明
チェックポイント
このルールを適用するチェックポイントです。基本設定項目 チェックポイントにはルールを作成できません。
説明基本設定項目にはルールを追加できません。
テンプレートデータベース
任意です。テンプレートデータベースから読み込む をクリックすると、ルールテンプレートが自動的に入力されます。テンプレートに事前定義された DSL 文を修正できます。
ルール名
ルールのわかりやすい名前を入力します。
ルール DSL
ルールのロジックを定義する DSL 文です。エディター右側に表示されるファクター、アクション、関数、オペレーターを使用してください。構文の詳細については、「セキュリティルールの DSL 構文」をご参照ください。
送信 をクリックします。
チェックポイントリファレンス
ルールセットの 詳細 ページの各タブは、それぞれチェックポイントに対応しています。以下の表に、利用可能なチェックポイントとそのドキュメントを示します。
| チェックポイント | ドキュメント |
|---|---|
| リレーショナルデータベース用 SQL コンソール | リレーショナルデータベース用 SQL コンソール |
| MongoDB 用 SQL コンソール | MongoDB 用 SQL コンソール |
| Redis 用 SQL コンソール | Redis 用 SQL コンソール |
| SQL Correct | SQL Correct |
| 権限申請 | 権限申請 |
| データエクスポート | データエクスポート |
| スキーマ設計 | スキーマ設計 |
| データベースとテーブルの同期 | データベースとテーブルの同期 |
| データトラッキング | データトラッキング |
| 機密カラムの変更 | 機密カラムの変更 |
| テストデータ生成 | テストデータ生成 |
| データベースクローン | データベースクローン |
インスタンスへのルールセットの適用
ルールセットを設定後、1 つまたは複数のデータベースインスタンスに適用できます。以下の 2 つの方法があります。
一括適用(推奨)
この方法では、同じルールセットを複数のインスタンスに一度に適用できます。
- DMS コンソール V5.0 にログインします。
上部ナビゲーションバーで データ資産 をクリックします。左側ナビゲーションウィンドウで インスタンス をクリックします。
インスタンスリスト タブをクリックします。
1 つまたは複数のインスタンスを選択し、一括編集 をクリックします。
説明選択したすべてのインスタンスは、同じデータベースエンジンを使用している必要があります。
インスタンス情報を一括編集 ダイアログで、制御モード を セキュリティコラボレーション に設定します。
セキュリティルール ドロップダウンリストからルールセットを選択し、OK をクリックします。
単一インスタンスへの適用
- DMS コンソール V5.0 にログインします。
左側のインスタンスリストで、対象のインスタンスを右クリックします。
を選択し、セキュリティルールセットを選択します。
制御モードの変更 ダイアログで、OK をクリックします。