このトピックでは、Data Management (DMS) のユーザー管理機能について説明します。これには、ユーザーの追加、編集、およびユーザー権限の制御方法が含まれます。
前提条件
システムロールが管理者であること。
注意事項
各テナントに、[管理者] ロールを持つアクティブなアカウントが少なくとも 1 つ存在することを確認してください。このルールはアプリケーションによって強制されます。
DMS で管理されるすべてのユーザーに [管理者] ロールを割り当てることができます。これは、DMS へのログインに使用されるアカウントの種類とは無関係です。たとえば、Alibaba Cloud アカウントと RAM ユーザーの両方に適用されます。
DMS サービスをアクティブ化すると、DMS はご利用の Alibaba Cloud アカウントに [管理者] ロールを自動的に割り当てます。
RAM ユーザーが初めて DMS を使用し、AdministratorAccess 権限を持っている場合、そのユーザーは自動的に DMS の [管理者] として初期化されます。詳細については、「RAM ユーザー設定の管理」をご参照ください。
ユーザー管理ページから、テナントに複数の Alibaba Cloud アカウントを追加できます。システムは、新しいユーザーを現在のテナントに自動的に追加します。テナントに参加したユーザーは、テナント情報を表示できます。
説明Alibaba Cloud アカウントで初めて DMS にログインすると、DMS はそのアカウントのテナントを自動的に作成します。
DMS コンソールへのログイン
DMS コンソールには、次のいずれかの方法でログインできます。
ユーザーまたはロールベースのシングルサインオン (SSO)、別名 ID フェデレーションを設定して、企業の ID プロバイダー (IdP) を使用して DMS コンソールにログインする。
ユーザーの追加
方法 1:手動でのユーザー追加
DMS 5.0 にログインします。
-
上部のナビゲーションバーで、 を選択します。
説明シンプルモードで DMS コンソールを使用する場合は、DMS コンソールの左上隅にある
アイコンにポインターを合わせ、 を選択します。 [ユーザー管理] ページで、 を選択します。
[ユーザーの追加] ダイアログボックスで、追加する [Alibaba Cloud アカウント] の UID を入力し、1 つ以上のシステム [ロール] を選択します。
説明ご利用の Alibaba Cloud アカウントの UID を確認するには、ページの右上隅にある
アイコンにポインターを合わせます。[確認] をクリックします。
方法 2:RAM ユーザーの追加
この操作を実行できるのは、現在の Alibaba Cloud アカウントまたは `ListUser` 権限を持つ RAM ユーザーのみです。
この方法で追加されたユーザーには、デフォルトで [一般ユーザー] ロールが割り当てられます。システムロールを変更するには、「ユーザーの編集」をご参照ください。
DMS 5.0 にログインします。
-
上部のナビゲーションバーで、 を選択します。
説明シンプルモードで DMS コンソールを使用する場合は、DMS コンソールの左上隅にある
アイコンにポインターを合わせ、 を選択します。 [ユーザー管理] ページで、 を選択します。
[RAM ユーザーの同期] ダイアログボックスで、表示名または UID でアカウントを検索します。
対象の RAM ユーザーを選択し、[選択したユーザーを追加] をクリックします。
ユーザーの編集
ユーザー情報の編集
DMS 5.0 にログインします。
-
上部のナビゲーションバーで、 を選択します。
説明シンプルモードで DMS コンソールを使用する場合は、DMS コンソールの左上隅にある
アイコンにポインターを合わせ、 を選択します。 [ユーザー管理] ページで、対象のユーザーを選択します。
ページ上部の [ユーザーの編集] をクリックします。
説明対象ユーザーの [操作] 列にある [編集] をクリックすることもできます。
[ユーザーの編集] ダイアログボックスで、次の情報を変更できます:
説明プロファイルで携帯電話番号とメールアドレスを変更できます。詳細については、「個人情報と通知方法を設定する」をご参照ください。
カテゴリ
設定項目
説明
基本情報
表示名
[ユーザー管理] ページに表示される名前で、ユーザーの識別に使われます。
ロール
DMS は、一般ユーザー、DBA、管理者、セキュリティ管理者、スキーマ読み取り専用の 5 つのシステムロールを提供します。
1 日あたりの最大クエリ数
ユーザーが 1 日に実行できるクエリの合計数の上限を設定します。この上限に達すると、ユーザーはクエリを実行できなくなります。値は整数である必要があります。事前定義された有効期間を選択するか、カスタム期間を指定できます。
説明システムのリリースや追跡により、ユーザーが 1 日のクエリ数または行数の上限を超えた場合は、該当ユーザーを見つけて上限を引き上げることができます。
1 日あたりの最大クエリ行数
ユーザーが 1 日にクエリできる行の合計数の上限を設定します。この上限に達すると、ユーザーはデータをクエリできなくなります。値は整数である必要があります。事前定義された有効期間を選択するか、カスタム期間を指定できます。
DingTalk Chatbot
DingTalk Chatbot の Webhook URL を入力します。
Webhook
カスタム Webhook URL を入力します。既存の O&M または通知システムと統合できます。
署名メソッド
有効な値:NONE および HMAC_SHA1。
NONE (デフォルト):署名は使用されません。
HMAC_SHA1:ハッシュ化メッセージ認証コード、セキュアハッシュアルゴリズム (HMAC-SHA1) 暗号化アルゴリズムが使用されます。
署名キー
署名キー。このパラメーターは、[署名メソッド] が `HMAC_SHA1` に設定されている場合にのみ表示されます。
通知方法
サポートされているメソッドには、SMS、DingTalk、メール、DingTalk Chatbot、Webhook があります。複数のメソッドを選択できます。
[変更の確認] をクリックします。
権限の付与
以下の手順では、[インスタンスの承認] を例に説明しますが、[権限テンプレート]、[データベース]、[テーブル]、[行]、[機密性の高い列] に対しても権限を付与できます。権限の詳細については、「権限管理」をご参照ください。
DMS 5.0 にログインします。
-
上部のナビゲーションバーで、 を選択します。
説明シンプルモードで DMS コンソールを使用する場合は、DMS コンソールの左上隅にある
アイコンにポインターを合わせ、 を選択します。 対象のユーザーを選択し、ページ上部の をクリックします。
説明対象ユーザーの [操作] 列で を選択することもできます。
[インスタンスの承認] ダイアログボックスで、次のパラメーターを設定します:
カテゴリ
設定項目
必須
説明
承認するインスタンス
N/A
はい
権限を付与する 1 つ以上のデータベースインスタンスを選択します。
権限設定
権限タイプ
はい
セキュリティコラボレーションモードではないインスタンスには、[インスタンスログオン] 権限を付与できます。セキュリティコラボレーションモードのインスタンスには、[パフォーマンスビュー] 権限を付与できます。
有効期限
はい
権限の有効期限を選択します。
ユーザーの無効化
ユーザーを無効にすると、そのユーザーは DMS にログインできなくなります。ただし、既存の権限と設定は保持されます。ユーザーを有効化すると、以前のすべての権限と設定が復元されます。
無効化されたユーザーもユーザー数クォータにカウントされます。
データベースインスタンスの DBA であるユーザーを無効にすることはできません。まず、そのインスタンスの DBA ロールを別のユーザーに割り当てる必要があります。データベースインスタンスの DBA を変更する方法の詳細については、「インスタンス情報の編集」をご参照ください。
DMS 5.0 にログインします。
-
上部のナビゲーションバーで、 を選択します。
説明シンプルモードで DMS コンソールを使用する場合は、DMS コンソールの左上隅にある
アイコンにポインターを合わせ、 を選択します。 対象のユーザーを選択し、ページ上部の を選択します。
[確認] ダイアログボックスで、[確認] をクリックします。
ユーザーの削除
ユーザーが削除されると、そのユーザーは DMS にログインできなくなり、すべてのデータ所有者設定と権限データも DMS からクリアされます。
リソースに関連付けられているユーザーは削除できません。たとえば、インスタンスの DBA やセキュリティルールの承認者であるユーザーは削除できません。
ユーザーが削除されると、その権限と所有権の設定はクリアされます。ただし、ユーザーレコードと [操作ログ] は保持され、アカウントには [削除済み] タグが付けられます。
削除されたユーザーはユーザー数クォータにカウントされません。
DMS 5.0 にログインします。
-
上部のナビゲーションバーで、 を選択します。
説明シンプルモードで DMS コンソールを使用する場合は、DMS コンソールの左上隅にある
アイコンにポインターを合わせ、 を選択します。 対象のユーザーを選択し、ページ上部の を選択します。
[確認] ダイアログボックスで、[確認] をクリックします。
ユーザーの有効化
ユーザーを有効化して、DMS へのアクセスを復元できます。ユーザーが以前に無効化されていた場合、元の権限と設定が復元されます。ただし、ユーザーが削除されていた場合、有効化されると新しいユーザーとして扱われます。そのユーザーは DMS にログインできますが、以前の権限と設定はクリアされており、再度権限を申請する必要があります。
DMS 5.0 にログインします。
-
上部のナビゲーションバーで、 を選択します。
説明シンプルモードで DMS コンソールを使用する場合は、DMS コンソールの左上隅にある
アイコンにポインターを合わせ、 を選択します。 対象のユーザーを選択し、ページ上部でを選択します。
[確認] ダイアログボックスで、[確認] をクリックします。
ユーザーアクセスコントロールの有効化
ユーザーに対してメタデータアクセスコントロールが有効になっている場合、次の制限が適用されます:
DMS では、ユーザーは権限を持つデータベースのみをクエリおよびアクセスできます。権限を表示するには、ユーザーは上部のナビゲーションバーで を選択して、付与された権限を照会できます。
ユーザーは、権限のない他のデータベースやインスタンスを見ることはできず、それらに対する権限を申請することもできません。
DMS 5.0 にログインします。
-
上部のナビゲーションバーで、 を選択します。
説明シンプルモードで DMS コンソールを使用する場合は、DMS コンソールの左上隅にある
アイコンにポインターを合わせ、 を選択します。 対象ユーザーの [操作] 列で、 を選択します。
説明複数のユーザーを選択し、ページ上部の [アクセスコントロール] ボタンをクリックして、一括でアクセスコントロールを有効にすることもできます。
[ユーザーアクセスコントロール] ダイアログボックスで、[メタデータアクセスコントロール] スイッチをオンにし、[確認] をクリックします。
関連ドキュメント
ユーザーを管理した後、次の操作が必要になる場合があります:
チケットの承認プロセスにユーザーを追加する。
ユーザーのデータベースインスタンスを管理する権限を付与または取り消す。
API オペレーションを使用して DMS のユーザーを管理することもできます。
よくある質問
Q:DMS の管理者または DBA ロールを RAM ユーザーに割り当てることはできますか?
A:はい。ロール設定はアカウントの種類とは無関係です。
Q:ユーザーがデータベースで不審な操作を行った場合、どうすればよいですか?
A:次のいずれかの方法を選択できます:
ユーザーの権限を保持したい場合は、ユーザーを無効化できます。無効化された後、ユーザーは DMS サービスにログインできなくなります。その後、DMS の操作監査機能を使用して、ユーザーが実行したすべてのデータベース操作を表示できます。調査の結果、ユーザーに問題がないことが判明した場合は、ユーザーを再度有効化できます。ユーザーの元の権限と設定が復元され、作業を迅速に再開できます。
ユーザーの権限を保持する必要がない場合は、ユーザーを削除できます。削除されたユーザーは DMS サービスにログインできなくなり、その権限とデータ所有者の設定はクリアされます。
Q:管理者として、他のアカウントをすばやく見つけるにはどうすればよいですか?
A:コンソールの上部ナビゲーションバーで、 を選択します。[ユーザー管理] ページでは、アカウント名、メールアドレス、表示名、または Alibaba Cloud UID で対象のアカウントを検索し、アカウントのステータスでフィルターできます。
Q:無効化された後、ユーザーは DMS にログインできますか?
A:いいえ、できません。
Q:ユーザーを無効にしようとすると、「ユーザーはインスタンスの DBA であり、無効にできません」というメッセージが表示されます。どうすればよいですか?
A:インスタンスを編集して DBA を変更できます。
説明DMS で DBA システムロールを持つユーザーのみが、インスタンスの DBA として割り当てられます。割り当てたいユーザーが DBA ロールを持っていない場合は、[ユーザー管理] ページに移動してロールを編集してください。
Q:DMS で削除されたユーザーがユーザーリストから完全に削除されないのはなぜですか?
A:現在、削除されたユーザーはリスト内で削除済みとしてマークされるだけで、DMS から完全に消去することはできません。
Q:ユーザー管理で、インスタンスやデータベースなどのリソースに対するユーザーの既存の権限を取り消すにはどうすればよいですか?
A:管理者または DBA として、ユーザー管理に移動し、対象のユーザーを見つけます。[操作] 列で、 を選択します。取り消したいリソース権限を選択し、[権限の取り消し] をクリックします。
Q:RAM ユーザーの名前を更新した後、DMS のユーザー管理の RAM 表示名が更新されません。
A:RAM ユーザーの表示名は、RAM ユーザーが最初に同期されたときにのみ RAM から DMS に同期されます。その後の RAM での表示名の変更は、DMS に自動的に同期されません。DMS で表示名を更新するには、 に移動し、[編集] をクリックして [基本情報] の [表示名] を変更し、変更を保存します。
Q: DMS にログインした後、一部のデータベースの権限しか持たない一般ユーザーにすべてのデータベースが表示されます。
A: この動作は仕様です。DMS コンソールの左側にあるデータベースはインスタンスレベルで表示されるため、インスタンス内のすべてのデータベースがリストされます。一般ユーザーは、権限を持つデータベースに対してのみ読み取りおよび書き込み操作を実行できます。ユーザーに権限のあるインスタンスとデータベースのみが表示されるように制限したい場合は、メタデータアクセスコントロールを使用してこれを設定する必要があります。
Q:RAM ユーザーを同期する際に、一部のアカウントがグレー表示されて選択できないのはなぜですか?
A:これらの RAM ユーザーには
AliyunDMSLoginConsoleAccess権限がありません。選択して同期する前に、この権限を付与する必要があります。