データ管理 (DMS) では、[SQLコンソール] タブでリレーショナルデータベースと非リレーショナルデータベースのセキュリティルールを管理できます。 このタブのセキュリティルールの定義と分類は、リレーショナルデータベースと非リレーショナルデータベースで異なります。 このトピックでは、[SQLコンソール] タブでMongoDBデータベースのセキュリティルールを設定する方法について説明します。
[SQLコンソール] タブのチェックポイント
| チェックポイント | 説明 |
| 基本設定アイテム | クエリごとに返される最大数や結果セットを編集できるかどうかなど、ルールセットの基本的な設定を指定できます。 |
| ユーザー権限の検証 | 特定のユーザーがコマンドを送信するときに、そのユーザーの権限を確認するかどうかを指定できます。 たとえば、このチェックポイントを設定して、通常のユーザーがコマンドを送信するときにDMSがその権限をチェックするようにできます。 |
| 収集ステートメントの基準 | コレクションコマンドに制約を設定できます。 |
| DBステートメント基準 | データベースコマンドに制約を設定できます。 |
| キャッシュクエリ文の基準 | クエリプランキャッシュに関連するコマンドに制約を設定できます。 |
| ユーザー管理ステートメントの基準 | ユーザー管理コマンドに制約を設定できます。 |
| 役割管理ステートメントの基準 | ロール管理コマンドに制約を設定できます。 |
| レプリケーションセットステートメントの基準 | レプリカセットコマンドに制約を設定できます。 |
| シャーディング声明の基準 | シャーディングコマンドに制約を設定できます。 |
説明 DMSが提供するデフォルトのルールを使用するか、必要に応じてカスタムルールを設定できます。 詳細については、「セキュリティルールの設定」をご参照ください。
次のフローチャートは、チェックポイントの仕組みを示しています。
要因とアクション
- ファクター: ファクターは、コマンドのサブカテゴリやデータが影響を受ける行数など、セキュリティルールによって検証されるコンテキストを取得するために使用されるシステム組み込み変数です。
- 因子名は、プレフィックス
@ facで構成されます。と要素の表示名を指定します。 - セキュリティルールセットの [詳細] ページの各タブには、チェックポイントごとに異なる要素が表示されます。
表 1. [SQLコンソール] タブで提供される要因を 要素 説明 @ fac.sql_sub_type コマンドのサブカテゴリ。 有効な値の詳細については、「サポートされるMongoDBコマンド」をご参照ください。 @ fac.env_type 環境のタイプ。 値は、 DEVやPRODUCTなどの環境タイプの表示名です。 詳細については、「インスタンスの環境タイプの変更」をご参照ください。@ fac.current_sql 現在のコマンド。 @ fac.us er_is_admin 現在のユーザーがDMS管理者であるかどうかを示します。 有効な値: - true
- false
@ fac.us er_is_dba 現在のユーザーがデータベース管理者 (DBA) かどうかを示します。 有効な値: - true
- false
@ fac.us er_is_inst_dba 現在のユーザーが現在のデータベースインスタンスのDBAであるかどうかを示します。 有効な値: - true
- false
@ fac.us er_is_sec_admin 現在のユーザーがセキュリティ管理者であるかどうかを示します。 有効な値: - true
- false
- 因子名は、プレフィックス
- アクション: アクションは、
ifステートメントで指定された条件が満たされた場合にシステムが実行する操作です。 セキュリティルールに指定したアクションは、セキュリティルールの目的を示しています。 たとえば、チケットの送信を禁止したり、承認プロセスを選択したり、SQL文の実行を許可したり、SQL文の実行を拒否したりできます。- アクション名は、プレフィックス
@ actで構成されます。とアクションの表示名を指定します。 - セキュリティルールセットの [詳細] ページの各タブには、チェックポイントごとに異なるアクションが表示されます。
表2. [SQLコンソール] タブで提供されるアクション Action 説明 @ act.reject_execute 現在のコマンドを実行する要求を拒否します。 @ act.allow_execute 現在のコマンドの実行を許可します。 @ act.reject_sql_type_execute 特定のサブカテゴリのコマンドを実行する要求を拒否します。 アクション名の後にサブカテゴリを指定する必要があります。 例: @ act.reject_sql_type_execute 'UPDATE'@ act.allow_sql_type_execute コマンドの特定のサブカテゴリを実行できます。 アクション名の後にサブカテゴリを指定する必要があります。 - アクション名は、プレフィックス
サポートされるMongoDBコマンド
DMSでサポートされているMongoDBコマンドの詳細については、「サポートされているMongoDBコマンド」をご参照ください。