Data Management (DMS) は、データセキュリティの詳細な管理を包括的に行うための機能を提供します。データベースインスタンス、データベース、テーブル、列、行などのリソースに対する権限を管理できます。ユーザーに特定のリソースに対するログイン、クエリ、エクスポート、変更の権限を付与できます。
DMS の権限カテゴリと種類
権限カテゴリ | 権限の種類 | 説明 | セキュリティホスティングが有効かどうか |
操作権限(通常の権限) | データベースインスタンスに対する権限 | データベースインスタンスにログインするための権限。セキュリティホスティングが有効になっていないデータベースインスタンスに対して、ログイン権限を申請できます。データベースインスタンスへのログイン権限を取得すると、対応するデータベースアカウントとパスワードを使用してデータベースインスタンスにログインできます。 説明 データベースアカウントとパスワードは、企業内の関連する所有者によって管理されます。 | いいえ |
データベースインスタンスのパフォーマンスを表示するための権限。セキュリティホスティングが有効になっているデータベースインスタンスに対して、データベースパフォーマンス表示権限を申請できます。詳細については、「データベースインスタンスのパフォーマンス詳細を表示する」をご参照ください。 | はい | ||
アクセスの制御が有効になっている機密列および行のデータを除き、データベースインスタンスのデータをクエリ、エクスポート、および変更するための権限。 | |||
データベースに対する権限 | アクセスの制御が有効になっている機密列および行のデータを除き、データベースのデータをクエリ、エクスポート、および変更するための権限。 | ||
テーブルに対する権限 | アクセスの制御が有効になっている機密列および行のデータを除き、テーブルのデータをクエリ、エクスポート、および変更するための権限。 | ||
機密列に対する権限 | 機密列のデータをクエリ、エクスポート、および変更するための権限。 説明 機密列に対する権限を申請する前に、次の要件が満たされていることを確認してください。
| ||
行に対する権限 | 行のデータをクエリ、エクスポート、および変更するための権限。詳細については、「行レベルのアクセス制御を設定する」をご参照ください。 説明 行に対する権限を申請する前に、行が属するデータベースとテーブルに対する権限を持っていることを確認してください。 | ||
プログラマブルオブジェクトに対する権限 | プログラマブルオブジェクトのデータをクエリ、エクスポート、および変更するための権限。データベースインスタンスに対してセキュリティホスティングが有効になっている場合、プログラマブルオブジェクトのデータをクエリ、エクスポート、または変更するには、プログラマブルオブジェクトに対する権限を取得する必要があります。詳細については、「ストアドルーチンを使用してプログラマブルオブジェクトを変更する」をご参照ください。 | ||
データ権限(リソース所有者権限) | インスタンス所有者 | リソースに対する所有者権限。リソースの所有者は、リソースに対する権限が付与されているユーザーを表示したり、ユーザーにリソース権限を付与したり、ユーザーからリソース権限を取り消したりできます。リソースは、データベースインスタンス、データベース、またはテーブルです。さらに、所有者は、アクセスの制御が有効になっている機密列および行のデータを除き、リソースのデータをクエリできます。 説明 データベースインスタンスに対してセキュリティホスティングが無効になっている場合、DMS 管理者とデータベース管理者(DBA)のみがインスタンス所有者を追加または削除できます。インスタンス所有者を管理するには、次の操作を実行します。DMS コンソールにログインします。左側の [データベースインスタンス] セクションで、管理するデータベースインスタンスを右クリックし、 を選択します。表示されるダイアログボックスで、インスタンス所有者を追加または削除します。 | はい |
データベース所有者 | |||
テーブル所有者 | |||
メタデータアクセス制御 | メタデータアクセス制御 |
説明 データベースインスタンスまたはデータベースに対してデータ権限または操作権限のいずれかの種類が付与されている場合、データベースインスタンスまたはデータベースに対する権限があります。 | はい |
権限:
クエリ:SQL コンソールで SQL 文を実行してデータをクエリする権限。
変更:SQL コンソールで変更文を実行する権限、およびデータ変更チケットとデータベースおよびテーブル同期チケットを送信する権限。
エクスポート:データエクスポートチケットを送信する権限。
説明SQL コンソールで SQL 結果セットをエクスポートする場合、エクスポート権限は必要ありません。
ユーザー権限検証プロセス
Alibaba Cloud アカウントまたは Resource Access Management (RAM) ユーザーとして DMS 内のデータベースに対してクエリや変更などの操作を実行すると、DMS は操作を実行するために必要な権限を持っているかどうかを自動的にチェックします。DMS は最初に詳細な権限をチェックし、次に RAM ユーザー権限をチェックします。
管理者が権限のないユーザーがデータベースインスタンスやデータベースなどのリソースを検索することを禁止する必要がある場合は、データベースインスタンスのアクセス制御を有効にできます。アクセス制御が有効になると、権限のあるユーザーのみがデータベースインスタンスやデータベースなどのリソースを検索できます。詳細については、「メタデータアクセス制御を有効にする」をご参照ください。
RAM 権限検証を無効にします。
を選択します。表示されるダイアログボックスで、[RAM 権限検証] をオフにします。これにより、RAM ユーザーは既存の RAM 権限を使用して DMS 内のデータベースインスタンスに対して操作を実行できなくなります。
データベースインスタンスのアクセス制御を有効にします。
説明セキュアコラボレーションモードで管理されているデータベースインスタンスに対してのみアクセス制御を有効にできます。
を選択します。[インスタンスリスト] タブで、管理するデータベースインスタンスを見つけ、[アクション] 列の を選択し、アクセス制御を有効にします。
次のステップ
リソース権限のカテゴリと種類を学習した後、次の操作を実行できます。
さまざまなロールを使用してリソース権限を管理します。DMS でのさまざまなロールの権限管理方法の詳細については、「権限を管理する」をご参照ください。
付与されている操作権限とデータ権限を表示します。詳細については、「権限を管理する」トピックの「権限を表示する」セクションをご参照ください。
さまざまなシナリオでデータベースとテーブルに対して異なる権限承認プロセスを設定します。次のコンテンツでは、シナリオについて説明します。
本番データ、およびコアビジネスに関連するデータベースとテーブルに対して厳格な承認プロセスを設定します。
非コアビジネスまたはテスト環境に関連するデータに対して簡単な承認プロセスを設定します。または、非コアビジネスまたはテスト環境に関連するデータに承認なしで直接アクセスできるようにすることもできます。
詳細については、「承認プロセスを設定する」をご参照ください。
アカウント管理機能を使用して、データベースアカウントの他の種類の権限を管理します。詳細については、「アカウント権限管理」をご参照ください。
説明DMS は、MySQL、PostgreSQL、MongoDB データベースに対してのみアカウント管理機能を提供します。他のエンジンのデータベースの場合は、対応するコンソールに移動してデータベースアカウントを管理できます。