DMS ユーザーの管理 - Data Management - Alibaba Cloud ドキュメントセンター

このトピックでは、ユーザーの追加と編集、およびユーザー権限の管理方法など、Data Management (DMS) のユーザー管理機能について説明します。

前提条件

管理者のシステムロールを持っている必要があります。

注意事項

アプリケーションは、各テナントに [管理者] ロールを持つアカウントが少なくとも 1 つ存在することを保証します。
DMS へのログインに使用されるアカウントの種類 (Alibaba Cloud アカウントや RAM ユーザーなど) に関係なく、DMS によって管理されるすべてのユーザーに [管理者] ロールを割り当てることができます。
DMS サービスを有効化すると、ご利用の Alibaba Cloud アカウントに [管理者] ロールが付与されます。
RAM ユーザーが初めて DMS を使用し、AdministratorAccess 権限を持っている場合、そのユーザーは自動的に DMS の [管理者] ロールで初期化されます。詳細については、「RAM ユーザー構成の管理」をご参照ください。
ユーザー管理ページで、テナントに複数の Alibaba Cloud アカウントを追加できます。システムは自動的にユーザーをテナントに追加します。テナントに参加したユーザーは、テナント情報を表示できます。
説明
Alibaba Cloud アカウントが初めて DMS にログインすると、システムはそのアカウントのテナントを自動的に作成します。

DMS コンソールへのログイン

DMS コンソールには、以下のいずれかの方法でログインできます。

Alibaba Cloud アカウントとして DMS コンソールにログイン
RAM ユーザーとして DMS コンソールにログイン
ユーザーベースのシングルサインオン (SSO) またはロールベース SSO を設定して、企業の ID 認証システムを使用して DMS コンソールにログインできます。

ユーザーの追加

方法 1：手動でのユーザー追加

DMS コンソール V5.0 にログインします。
上部のナビゲーションバーで、[O&M] > [ユーザー] を選択します。
説明
DMS コンソールをシンプルモードで使用している場合は、DMS コンソールの左上隅にあるアイコンにポインターを合わせ、[すべての機能] > [O&M] > [ユーザー] を選択します。
[ユーザー管理] ページに移動し、[追加] > [アカウントの追加] を選択します。
[ユーザーの追加] ダイアログボックスで、ユーザーの [Alibaba Cloud アカウント] UID を入力し、システムの [ロール] を選択します (複数のロールを選択できます)。
説明
Alibaba Cloud アカウントの UID を表示するには、ページ右上のアイコンにマウスポインターを合わせます。
[確認] をクリックします。

方法 2：現在の Alibaba Cloud アカウントの RAM ユーザーの追加

説明

この操作を実行できるのは、現在の Alibaba Cloud アカウントと、ListUser 権限が付与されている RAM ユーザーのみです。
デフォルトでは、この方法で追加されたユーザーには [一般ユーザー] システムロールが割り当てられます。システムロールを変更するには、「ユーザーの編集」をご参照ください。

DMS コンソール V5.0 にログインします。
上部のナビゲーションバーで、[O&M] > [ユーザー] を選択します。
説明
DMS コンソールをシンプルモードで使用している場合は、DMS コンソールの左上隅にあるアイコンにポインターを合わせ、[すべての機能] > [O&M] > [ユーザー] を選択します。
[ユーザー管理] ページで、[追加] > [RAM ユーザーの同期] を選択します。
[RAM ユーザーの同期] ダイアログボックスで、表示名または UID で Alibaba Cloud アカウントを検索します。
対象の RAM ユーザーを選択し、[選択したユーザーを追加] をクリックします。

ユーザーの編集

ユーザー情報の編集

DMS コンソール V5.0 にログインします。
上部のナビゲーションバーで、[O&M] > [ユーザー] を選択します。
説明
DMS コンソールをシンプルモードで使用している場合は、DMS コンソールの左上隅にあるアイコンにポインターを合わせ、[すべての機能] > [O&M] > [ユーザー] を選択します。
[ユーザー管理] ページで、対象のユーザーを選択します。
ページ上部の [ユーザーの編集] をクリックします。
説明
[操作] 列の [編集] をクリックしてユーザー情報を変更することもできます。

[ユーザーの変更] ダイアログボックスでは、以下の情報を変更できます。

説明

プロフィール写真をクリックすると、携帯電話番号とメールボックスを変更できます。詳細については、「個人情報と通知方法の設定」をご参照ください。

カテゴリ	構成	説明
基本情報	表示名	[ユーザー管理] ページに表示される名前です。ユーザーを識別するのに役立ちます。
	ロール	DMS は、一般ユーザー、DBA、管理者、セキュリティ管理者、構造読み取り専用の 5 つのシステムロールを提供します。
	クエリ数上限	ユーザーが 1 日にクエリできる結果セットの最大数です。上限に達すると、ユーザーはそれ以上クエリを実行できません。値は整数である必要があります。事前定義された有効期間を選択するか、カスタムの有効期間を指定できます。説明発行、追跡、またはその他の理由でユーザーが 1 日のクエリ数または行数の上限を超えた場合は、そのユーザーを見つけて上限を増やすことができます。
	最大クエリ行数	ユーザーが 1 日にクエリできる最大行数です。上限に達すると、ユーザーはそれ以上クエリを実行できません。値は整数である必要があります。事前定義された有効期間を選択するか、カスタムの有効期間を指定できます。
	DingTalk ロボット	DingTalk ロボットの Webhook URL を入力します。
	Webhook	カスタム Webhook URL を入力します。既存の O&M システムまたはメッセージ通知システムと統合できます。
	署名方法	NONE と HMAC_SHA1 の 2 つの方法がサポートされています。 NONE (デフォルト)：署名は使用されません。 HMAC_SHA1：HMAC_SHA1 暗号化アルゴリズム (Hashed Message Authentication Code, Secure Hash Algorithm) を使用します。
	署名キー	署名キーを入力します。この構成は、[署名方法] を [HMAC_SHA1] に設定した場合にのみ表示されます。
	通知方法	ショートメッセージ、DingTalk、メールボックス、DingTalk ロボット、Webhook の 5 つの方法がサポートされています。複数の方法を選択できます。

[変更を確定] をクリックします。

承認されたユーザー

説明

このトピックでは、[インスタンスの権限付与] 操作を例として使用します。他にサポートされている操作には、[権限テンプレートの付与]、[データベースの権限付与]、[テーブルの権限付与]、[行の権限付与]、[機密列の権限付与] があります。権限の詳細については、「権限管理」をご参照ください。

DMS コンソール V5.0 にログインします。
上部のナビゲーションバーで、[O&M] > [ユーザー] を選択します。
説明
DMS コンソールをシンプルモードで使用している場合は、DMS コンソールの左上隅にあるアイコンにポインターを合わせ、[すべての機能] > [O&M] > [ユーザー] を選択します。
対象のユーザーを選択し、ページ上部の [ユーザーに権限を付与] > [インスタンスの権限付与] を選択します。
説明
対象ユーザーの [操作] 列で、[権限付与] > [インスタンスの権限付与] を選択することもできます。

[インスタンスの権限付与] ダイアログボックスで、以下のパラメーターを設定します。

カテゴリ	構成	必須	説明
権限を付与するインスタンス	N/A	はい	権限を付与するデータベースインスタンスを 1 つ以上選択します。
権限設定	権限タイプ	はい	非セキュリティコラボレーションモードのインスタンスは [インスタンスログイン] をサポートします。セキュリティコラボレーションモードのインスタンスは [パフォーマンスの表示] をサポートします。
権限設定	有効期限	はい	権限の有効期限を選択します。

ユーザーの無効化

ユーザーが無効化されると、そのユーザーは DMS にログインできなくなります。ただし、既存の権限と構成データは取り消されたり解放されたりしません。ユーザーを有効化すると、元の権限とデータを再び使用できるようになります。

説明

無効化されたユーザーは、引き続きユーザー数クォータを消費します。
データベースインスタンスの DBA であるユーザーを無効にすることはできません。ユーザーを無効にするには、まずデータベースインスタンスの DBA を別のユーザーに変更する必要があります。データベースインスタンスの DBA を変更する方法の詳細については、「インスタンスの編集」をご参照ください。

DMS コンソール V5.0 にログインします。
上部のナビゲーションバーで、[O&M] > [ユーザー] を選択します。
説明
DMS コンソールをシンプルモードで使用している場合は、DMS コンソールの左上隅にあるアイコンにポインターを合わせ、[すべての機能] > [O&M] > [ユーザー] を選択します。
対象のユーザーを選択し、ページ上部の [ユーザー操作] > [ユーザーを無効にする] を選択します。
[確認] ダイアログボックスで、[確認] をクリックします。

ユーザーの削除

ユーザーが削除されると、そのユーザーは DMS にログインできなくなります。すべてのデータ所有者の構成と権限データは DMS からパージされます。

説明

削除するユーザーは、システムインスタンス管理の DBA やセキュリティルールの承認者など、いかなるリソース情報にも紐付けられていてはなりません。
ユーザーが削除されると、そのデータはクリアされますが、レコードと操作ログはパージされません。ユーザーの [アカウント情報] には [削除済み] タグが表示されます。
削除されたユーザーはユーザー数クォータを消費しません。

DMS コンソール V5.0 にログインします。
上部のナビゲーションバーで、[O&M] > [ユーザー] を選択します。
説明
DMS コンソールをシンプルモードで使用している場合は、DMS コンソールの左上隅にあるアイコンにポインターを合わせ、[すべての機能] > [O&M] > [ユーザー] を選択します。
対象のユーザーを選択し、ページ上部の [ユーザー操作] > [ユーザーを削除] を選択します。
[確認] ダイアログボックスで、[確認] をクリックします。

ユーザーの有効化

ユーザーを有効化して、無効化されたユーザーの元の権限とデータ構成を復元できます。また、削除されたユーザーを有効化して、再度 DMS にログインできるようにすることもできます。ただし、削除された状態から有効化されたユーザーは新しいユーザーとして扱われます。元の権限とデータ構成はクリアされ、再度権限をリクエストする必要があります。

DMS コンソール V5.0 にログインします。
上部のナビゲーションバーで、[O&M] > [ユーザー] を選択します。
説明
DMS コンソールをシンプルモードで使用している場合は、DMS コンソールの左上隅にあるアイコンにポインターを合わせ、[すべての機能] > [O&M] > [ユーザー] を選択します。
対象のユーザーを選択し、ページ上部の [ユーザー操作] > [ユーザーを有効にする] を選択します。
[確認] ダイアログボックスで、[確認] をクリックします。

ユーザーアクセスの制御の有効化

ユーザーに対してメタデータアクセスの制御機能を有効にすると、以下の制限が適用されます。

ユーザーは DMS で権限が付与されたデータベースのみをクエリおよびアクセスできます。コンソールの上部ナビゲーションバーで、ユーザーは [セキュリティと仕様] > [権限センター] > [マイ権限] を選択して、付与された権限をクエリできます。
ユーザーは、インスタンス内の他のデータベースや他のインスタンスを表示できません。また、他のインスタンスやデータベースの権限をリクエストすることもできません。

DMS コンソール V5.0 にログインします。
上部のナビゲーションバーで、[O&M] > [ユーザー] を選択します。
説明
DMS コンソールをシンプルモードで使用している場合は、DMS コンソールの左上隅にあるアイコンにポインターを合わせ、[すべての機能] > [O&M] > [ユーザー] を選択します。
対象ユーザーの [操作] 列で、[その他] > [アクセスの制御] を選択します。
説明
ページ上部の [リソースアクセス管理] ボタンをクリックして、複数のユーザーを選択し、一括でスイッチを有効にすることもできます。
[ユーザーアクセスの制御] ダイアログボックスで、[メタデータアクセスの制御] を有効にし、[確認] をクリックします。

よくある質問

Q：RAM ユーザーに DMS の管理者または DBA ロールを割り当てることはできますか？
A：はい、できます。ロールの構成はアカウントタイプに依存しません。
Q：ユーザーのデータベース操作に疑いがある場合はどうすればよいですか？
A：以下の 2 つの方法のいずれかで調査できます。
- ユーザーの権限を保持したい場合は、ユーザーを無効化できます。ユーザーが無効化されると、そのユーザーは DMS サービスにログインできなくなります。その後、DMS の ActionTrail 機能を使用して、ユーザーがデータベースに対して直接実行したすべての操作を表示できます。調査で問題が見つからなかった場合は、再度ユーザーを有効化できます。ユーザーが有効化されると、元の権限と構成が復元され、すぐに作業を再開できます。
- ユーザーの権限を保持する必要がない場合は、ユーザーを削除できます。ユーザーが削除されると、そのユーザーは DMS サービスにログインできなくなり、アカウントのすべての権限、データ所有者の構成、およびその他の設定がパージされます。
Q：管理者として、他のアカウントをすばやく見つけるにはどうすればよいですか？
A：コンソールの上部メニューバーで、[運用管理] > [ユーザー管理] を選択します。 [ユーザー管理] ページで、キーワードで対象のアカウントを検索します。アカウント、メールボックス、表示名、Alibaba Cloud UID のディメンション内で検索できます。アカウントのステータスで素早くフィルターすることもできます。
Q：無効化された後、ユーザーは DMS にログインできますか？
A：いいえ、できません。
Q：ユーザーを無効にしようとすると、そのユーザーはインスタンスの DBA であり、無効にできないというプロンプトが表示されます。どうすればよいですか？
A：インスタンスを編集して DBA を変更できます。
説明
DMS で DBA システムロールを持つユーザーのみがインスタンスの DBA として設定できます。 DBA として設定したいユーザーが DBA ロールを持っていない場合は、[ユーザー管理] ページに移動してユーザーのロールを編集してください。
Q：DMS で削除したユーザーがユーザーリストから完全に削除されないのはなぜですか？
A：現在、削除されたユーザーはリスト上で削除済みとしてマークされるだけで、DMS から完全にパージすることはできません。
Q：[ユーザー管理] で、インスタンスやデータベースの権限など、ユーザーの既存のリソース権限を取り消すにはどうすればよいですか？
A：管理者または DBA は、[ユーザー管理] に移動して対象のユーザーを見つけます。 [操作] 列で、[その他] > [権限詳細] を選択します。取り消すリソース権限を選択し、[権限の取り消し] をクリックします。
Q: RAM ユーザーの名前が更新された後、DMS の [ユーザー管理] での RAM ユーザーの表示名が更新されません。どうすればよいですか？
A: RAM ユーザーの表示名は、RAM ユーザーが初めて同期されるときにのみ RAM から DMS に同期されます。その後の RAM での表示名の変更は、自動的に DMS には同期されません。 DMS で表示名を更新するには、[運用管理] > [ユーザー管理] に移動し、[編集] ボタンをクリックし、[基本情報] セクションの [表示名] を変更して、変更を保存します。
Q：一部のデータベースのみに権限を持つ一般ユーザーが DMS にログインすると、すべてのデータベースが表示されます。なぜこうなるのですか？
A：この動作は想定どおりです。 DMS コンソールの左側のナビゲーションウィンドウに表示されるデータベースはインスタンスレベルで表示され、インスタンス配下のすべてのデータベースが表示されます。一般ユーザーは、権限を持つデータベースに対してのみ読み書きができます。ユーザーに権限のあるインスタンスとデータベースのみを表示するように制限したい場合は、メタデータアクセスの制御を設定する必要があります。
Q：RAM ユーザーを同期する際に、一部のアカウントがグレーアウトされて選択できないのはなぜですか？
A：これは、これらの RAM ユーザーに AliyunDMSLoginConsoleAccess 権限がないためです。選択して同期する前に、この権限を付与する必要があります。

Data Management:ユーザー管理