このトピックでは、データ管理 (DMS) を企業または組織の開発プラットフォームに統合する方法について説明します。
統合プロセス
ID 認証を行います。
Resource Access Management (RAM) ユーザーを使用して、DMS にログインします。 DMS を使用する前に、RAM アカウントが作成されていることを確認してください。
DMS を初期化します。
DMS をエンタープライズ開発プラットフォームに統合します。
インスタンスを登録します。
DMS を使用してインスタンスを管理するには、インスタンスを DMS に登録する必要があります。
ステップ 1: ID 認証を行う
Alibaba Cloud ID 認証
企業または組織が Alibaba Cloud で完全な RAM アカウントシステムを作成済みの場合は、ID 認証ステップをスキップできます。
RAM ユーザーの作成方法の詳細については、「RAM ユーザーを作成する」をご参照ください。
自己管理 ID システム
企業または組織が Alibaba Cloud と統合されていない自己管理 ID 認証システムを使用している場合は、Identity as a Service (IDaaS) を使用して自己管理システムを Alibaba Cloud RAM アカウントシステムと統合することをお勧めします。
IDaaS を使用して Alibaba Cloud RAM アカウントシステムと統合する場合、企業は ID プロバイダー (IdP) として機能します。次の図を参照してください。
IDaaS EIAM インスタンスを作成します。
Alibaba Cloud IDaaS コンソール にログインして、インスタンスを作成します。詳細については、「EIAM SSO を使い始める」をご参照ください。
IdP を IDaaS にバインドします。
IDaaS にバインドされている IdP を使用して、IDaaS アプリケーションにログインできます。たとえば、DingTalk を使用して Alibaba Cloud SSO にログインできます。また、元のアカウントシステムのアカウントを IDaaS に同期することもできます。詳細については、「IdP」をご参照ください。
IDaaS アカウントを作成します。
手動操作を実行するか、CreateUser API を呼び出して IDaaS アカウントを作成できます。詳細については、「2. アカウントを作成する」および「CreateUser」をご参照ください。
説明ステップ 2 を実行して社内エンタープライズアカウントを IDaaS に同期済みの場合は、このステップをスキップできます。
アプリケーションを作成します。
アプリケーションは IDaaS で重要です。このセクションでは、Alibaba Cloud ユーザー SSO アプリケーションまたはロール SSO アプリケーションを作成する方法について説明します。
Alibaba Cloud ユーザー SSO アプリケーションを作成する
詳細については、「3. アプリケーションを追加する」をご参照ください。
説明ユーザーベース SSO を有効にしている場合は、既存のデータが上書きされた後にロールバックが失敗しないように、既存のメタデータドキュメントを事前に保存する必要があります。また、新しいメタデータファイルが関連付けられると、RAM ユーザーの SSO 設定は無効になります。
アプリケーションを作成した後、アカウント同期機能を使用して IDaaS アカウントを RAM に同期できます。これにより、アプリケーションを手動で作成する必要がなくなります。詳細については、「アカウントを同期する」をご参照ください。
Alibaba Cloud ロール SSO アプリケーションを作成する
ロールベース SSO を使用する場合、複数の RAM ユーザーを作成する必要はありません。他のユーザーは RAM ロールを使用して Alibaba Cloud にログインできます。
IDaaS を使用してアプリケーションにログインします。
詳細については、「4. SSO を使用してログインする」をご参照ください。
管理者がユーザーベース SSO を構成した後、従業員 Alice は Alibaba Cloud 管理コンソールにログインできます。次の図は手順を示しています。詳細については、「ユーザーベース SSO の概要」をご参照ください。
手順 2: DMS を初期化する
管理者が Alibaba Cloud ID 認証システムとの統合を完了すると、企業ユーザーは Alibaba Cloud アカウント、RAM ユーザー、RAM ロールなどの Alibaba Cloud アカウントを使用してデータ管理 (DMS) にログインできます。ユーザーが初めて DMS にログインすると、DMS はユーザーを DMS 管理者として設定します。他のログインユーザーは一般ユーザーとして初期化されます。
DMS におけるユーザーのシステムロール
DMS は、一般ユーザー、セキュリティ管理者、データベース管理者 (DBA)、DMS 管理者、スキーマ読み取り専用ユーザーの 5 つのシステムロールを提供します。
システム権限はロールタイプによって異なります。各ロールタイプが適用されるグループと各ロールタイプでサポートされる機能に基づいて、適切なシステムロールをユーザーに割り当てることができます。詳細については、「システムロール」をご参照ください。
ユーザー登録
次のセクションでは、企業の従業員を DMS に追加する方法について説明します。
自動登録
Alibaba Cloud アカウントを使用して DMS にログインして初期化する場合、システムはアカウント内のすべての RAM ユーザーを DMS に自動的に同期します。
Alibaba Cloud RAM ユーザーを使用して DMS にログインして初期化する場合、システムは他のアカウントを DMS に自動的に同期できません。自動同期機能を使用するには、Alibaba Cloud アカウントを DMS に手動で追加する必要があります。その後、システムはアカウント内のすべての RAM ユーザーを DMS に自動的に追加します。
同期操作の実行は、DMS のグローバル設定項目の設定によって異なります。デフォルトでは、設定項目は有効になっています。詳細については、「構成管理」をご参照ください。
手動登録
- DMS コンソール V5.0 にログインします。
左上隅の
アイコンにポインターを移動し、 を選択します。説明DMS コンソールを通常モードで使用している場合は、上部のナビゲーションバーで を選択します。
DMS にユーザーを追加します。
任意のユーザーを手動で追加する
[新規] をクリックし、Alibaba Cloud アカウント フィールドに追加するユーザーの Alibaba Cloud アカウント UID を入力し、ユーザーの [ロール] を指定して、[OK] をクリックします。
現在の Alibaba Cloud アカウント内の RAM ユーザーを手動で追加する
[RAM ユーザーの同期] をクリックし、同期するユーザーを選択して、[選択したユーザーを追加] をクリックします。選択したユーザーを追加した後、ユーザーのシステムロールを指定できます。システムロールに関連する操作の詳細については、「ユーザーの管理」トピックの「ユーザーに関する情報を変更する」セクションをご参照ください。
ステップ 3: DMS をエンタープライズ開発プラットフォームに統合する
Alibaba Cloud ID 認証システムとの統合を完了すると、エンタープライズ IdP を使用して DMS にログインできます。DMS をエンタープライズ開発プラットフォームに統合するには、次のいずれかの方法を使用できます。
ページベースの統合
DMS ページへのリンクを作成します。
リンクを作成するときに、特定の機能ページへのジャンプを指定できます。作成するリンクは次の形式です。
https://dms.aliyun.com/new#to={MENU_NAME}たとえば、データ変更ページへのリンクは
https://dms.aliyun.com/new#to=DC_COMMONです。上記の記述に加えて、次の特別なリンクを使用できます。
チケット詳細ページへのリンク:
https://dms.aliyun.com/?pid={ORDER_ID}。 ORDER_ID はチケット番号を示し、関連 API を呼び出すか、DMS コンソールにログインすることで取得できます。SQL コンソールページへのリンク:
https://dms.aliyun.com/websql/index?dbId={DB_ID}&logic={IS_LOGIC}&dbType={DB_TYPE}&instanceId={INSTANCE_ID}&insertSql={INSERT_SQL}。パラメーター:DB_ID: データベース ID。 ID は整数である必要があります。
IS_LOGIC: データベースが論理データベースであるかどうかを指定します。有効な値は true と false です。
DB_TYPE: データベースタイプ。 GetPhysicalDatabase API を呼び出して、データベース ID とデータベースタイプをクエリできます。
INSTANCE_ID: インスタンス ID。 GetPhysicalDatabase API を呼び出して、データベース情報とインスタンス ID をクエリできます。
INSERT_SQL: URL エンコードされた SQL 文。 SQL コンソールにリダイレクトされると、システムは実行エリアに SQL 文を自動的に入力します。自動入力が不要な場合は、
insertSqlフィールドを省略します。
DMS 機能ページへのログイン不要リンクを作成し、内部システムに埋め込みます。
DMS コンソールへのログイン不要 URL
https://dms.aliyun.comをログイン不要リンクに置き換えます。詳細については、「DMS コンソールへのログイン不要アクセス」をご参照ください。
API ベースの統合
Alibaba Cloud ID 認証システムと自己管理 ID システム認証は、関連 API を呼び出すことによって統合できます。
コードを記述するか、DMS API を呼び出して、ユーザーまたはリソースの登録などの操作を実行できます。 DMS でサポートされている API については、「機能別の操作リスト」をご参照ください。
ステップ 4: インスタンスを登録する
制御モード
DMS に登録されている各インスタンスの制御モードを構成する必要があります。制御モードには、自由操作、安定変更、セキュリティコラボレーションがあります。各制御モードは異なるシナリオに適用され、異なる機能をサポートします。制御モードの詳細については、「制御モード」をご参照ください。
インスタンス登録
DMS でサポートされているデータベース
DMS でサポートされているデータベースの詳細については、「DMS でサポートされているデータベース」をご参照ください。
IP アドレスホワイトリスト
DMS がインスタンスにアクセスできるようにするには、対応するリージョンの DMS の IP アドレスと CIDR ブロックを、インスタンスのファイアウォール、ホワイトリスト、セキュリティグループ設定などのセキュリティ設定に追加する必要があります。詳細については、「DMS の IP アドレスと CIDR ブロックをセキュリティ設定に追加する」をご参照ください。
手順
DMS にインスタンスを登録します。詳細については、「Alibaba Cloud データベースインスタンスを登録する」および「サードパーティクラウドサービスまたは自己管理データベースでホストされているデータベースを登録する」をご参照ください。
関連操作
DMS を企業または組織の開発プラットフォームに統合できます。 DMS にインスタンスリソースを登録した後、DMS でアクセス制御、承認プロセス、および通知方法を構成できます。
アクセス制御
アクセス制御とは、インスタンス、データベース、テーブルなど、DMS でホストされているリソースに対する権限を管理することです。アクセス制御を使用すると、ログイン、クエリ、インポート、変更などの権限を、必要に応じて承認済みオブジェクトに付与できます。これにより、企業データのセキュリティが確保されます。詳細については、「概要」をご参照ください。
権限
DMS は、次のデータ権限を提供します。
クエリ権限: SQL コンソールページでクエリ文を実行するための権限。
変更権限: SQL コンソールで変更文を実行するための権限、および承認なしでデータを変更するための権限ではなく、データ変更チケットとデータベースおよびテーブル同期チケットを送信するための権限。 DMS 管理者は、SQL コンソールページで実行できる SQL 文のタイプに制約を構成できます。
エクスポート権限: 承認なしでデータをエクスポートするための権限ではなく、データエクスポートチケットを送信するための権限。
異なるリソースレベルの権限は継承できます。たとえば、ユーザーにインスタンスに対するクエリ権限が付与されている場合、そのユーザーはインスタンス内のすべてのデータベースとテーブルに対するクエリ権限を持ちます。
システムセキュリティ上の理由から、DMS ではユーザーが SQL コンソールページで大量のデータをクエリすることはできません。クエリ対象のデータ量が一定の制限を超えると、データをクエリできません。たとえば、柔軟な管理モードのインスタンスでは、一度に最大 3,000 エントリをクエリできます。完全なデータをクエリするには、エクスポート権限を申請し、データエクスポートチケットを送信してデータをクエリします。
インスタンスの機密データ保護機能を有効にし、一部のフィールドに感度レベルを指定した場合、機密フィールドの権限も管理できます。詳細については、「概要」および「権限を管理する」をご参照ください。
リソースロール
DMS は、インスタンス DBA、インスタンス所有者、データベース所有者、テーブル所有者の 4 つのリソースロールを提供します。各ロールは異なる機能と権限をサポートします。詳細については、「リソースロール」をご参照ください。
権限付与方法
DMS は、権限の取得方法として、権限付与と権限申請の 2 つの方法をサポートしています。前者は権限管理者が要求者に権限を付与することを示し、後者は要求者が権限を申請することを示します。
権限付与
管理者と DBA は、DMS コンソールのリソース管理ページまたはユーザー管理ページでユーザーに権限を付与できます。たとえば、同じリソースに対する権限を複数のユーザーに付与できます。また、複数のリソースに対する権限を複数のユーザーに付与することもできます。詳細については、「権限の管理」トピックの「DMS 管理者または DBA として権限を管理する」セクションをご参照ください。
管理者がリソースに対する権限を複数のユーザーに同時に付与する必要がある場合は、権限テンプレートを使用して同じビジネス属性を持つリソースを管理できます。詳細については、「権限テンプレートを作成する」をご参照ください。
権限申請
DMS ユーザーは、チケットを送信して権限を申請できます。詳細については、「権限の管理」トピックの「チケットを送信して権限を申請する」セクションをご参照ください。
承認プロセス
DMS チケットシステムは承認機能を提供します。チケットが承認された後にのみ、関連データベース操作を実行できます。
カスタム承認プロセス
DMS は承認テンプレートを使用して承認プロセスを定義します。承認テンプレートには、それぞれ複数の承認者を含む複数の承認ノードを含めることができます。
申請の承認
承認プロセス内のすべての承認ノードが通過すると、プロセス全体が終了し、送信したチケットは次のフェーズに進みます。
申請の拒否または取り消し
承認ノードの承認者が送信したチケットを拒否するか、チケット作成者がチケットを取り消すと、承認プロセス全体が終了し、チケットは承認されません。
カスタム承認プロセスを指定できるのは、インスタンス制御モードがセキュリティアソシエーションに設定されている場合のみです。他のモードのインスタンスには、DMS の組み込み承認プロセスのみを使用できます。詳細については、「チケット承認プロセスをカスタマイズする」をご参照ください。
承認操作
DMS は、次の承認操作をサポートしています。
承認: 承認者が申請に同意し、承認は次の承認ノードに進みます。
拒否: 承認者が申請を拒否し、チケット承認プロセスは終了します。この場合、チケットを再送信する必要があります。
取り消し: 承認プロセスの開始者が承認プロセスを終了します。
転送: 現在の承認者がチケットを他の人に転送します。
署名: 現在の承認ノードの前または後に承認ノード (承認者) が追加されます。事前署名と事後署名が含まれます。
その他の設定
指定された、またはすべてのタイプのチケットを承認する権限を持っていないユーザーにチケット承認権限を付与する場合は、DMS コンソールの [構成管理] ページに移動できます。詳細については、「構成管理」をご参照ください。
上記の構成を完了すると、未承認の承認条件を満たすユーザーまたはロールは、承認、拒否、署名、または取り消し操作を実行できます。
通知
デフォルトでは、DMS の通知機能は有効になっています。この機能は、チケットまたはタスクフローのステータス更新に関する通知を送信するために使用されます。この機能を使用すると、ビジネス要件に基づいて通知受信者を指定できます。これにより、受信者はできるだけ早く通知を受け取ることができます。サポートされている通知方法には、ショートメッセージ、メール、DingTalk、Lark、専用 DingTalk、Webhook があります。
個人メッセージの通知方法を構成します。ビジネス要件に基づいて、携帯電話番号や確認コードなどの必要な情報を入力します。詳細については、「個人情報と通知方法を構成する」をご参照ください。
通知するチケットタイプと、申請の承認やチケットの実行の成功などのトリガー条件を構成します。詳細については、「通知ルールを管理する」をご参照ください。