DMS とエンタープライズ開発プラットフォームの統合 - Data Management

Data Management (DMS) をエンタープライズ開発プラットフォームと統合することで、データベースのアクセス、変更、権限を一元管理できます。

プロセスの概要

ID 認証
Alibaba Cloud の ID 認証を使用して DMS にログインします。DMS を使用する前に、企業向けの RAM ユーザーを作成します。
DMS の初期化
DMS とエンタープライズ開発プラットフォームの統合
データベースインスタンスの追加
データベースインスタンスを DMS に追加した後、DMS の機能を使用してデータベースを管理できます。

ステップ 1： ID 認証

Alibaba Cloud の ID 認証

企業が Alibaba Cloud 上に RAM ユーザーシステムを既に持っている場合は、このステップをスキップできます。

RAM ユーザーの作成。

セルフマネージド ID システム

企業が Alibaba Cloud に接続されていないセルフマネージド ID システムを使用している場合、IDaaS を使用して Alibaba Cloud RAM ユーザーシステムに接続します。

IDaaS を介して接続する際、企業は ID プロバイダー (IdP) として機能します。IDaaS の統合ワークフローは、以下の図に示すとおりです。

IDaaS EIAM インスタンスの作成
Alibaba Cloud IDaaS コンソールにログインし、インスタンスをアクティベートします。無料でインスタンスをアクティベート。
IDaaS の IdP をバインドします。
IdP をバインドすると、その IdP を介して IDaaS アプリケーションにログインできるようになり (たとえば、DingTalk を介した Alibaba Cloud SSO)、元のアカウントシステムから IDaaS にアカウントを同期できます。詳細については、「ID プロバイダー」をご参照ください。
IDaaS アカウントの作成
手動または OpenAPI を呼び出してアカウントを作成します。アカウントの作成および EIAM アカウントの作成。
説明
ステップ 2 で社内のエンタープライズアカウントを IDaaS に同期済みの場合、このステップはスキップできます。
アプリケーションの作成
IDaaS のアプリケーションは、ビジネスアプリケーション、システム、またはサービスを表します。以下の例は、ロールベースの SSO とユーザーベースの SSO を使用してアプリケーションを追加する方法を示しています。
- Alibaba Cloud ユーザーベースの SSO アプリケーションの作成
  アプリケーションの作成。
  説明
  ユーザーベースの SSO が有効になっている場合、まず既存のメタデータファイルを保存してください。上書きされると、ファイルは復元できなくなります。新しいメタデータファイルをバインドすると、RAM ユーザーの元のユーザーベースの SSO ログイン設定は無効になります。
  アプリケーションを作成した後、アカウントを手動で作成するのではなく、アカウント同期を使用して IDaaS アカウントを RAM に同期してください。詳細については、「アカウントデータの同期」をご参照ください。
- Alibaba Cloud ロールベースの SSO アプリケーションの作成
  ロールベースの SSO を使用すると、ユーザーは個別の RAM ユーザーを作成することなく、RAM ロールを使用して Alibaba Cloud にログインできます。詳細については、「Alibaba Cloud ロールベース SSO」をご参照ください。
IDaaS を介してアプリケーションにログインします。
初めてのシングルサインオン。
管理者がユーザーベースの SSO 設定を完了した後、従業員の田中さんは、次のフローチャートに示す手順で Alibaba Cloud にログインします。詳細については、「ユーザーベースの SSO の概要」をご参照ください。

ステップ 2： DMS の初期化

Alibaba Cloud の ID 認証と統合した後、エンタープライズユーザーは Alibaba Cloud アカウント (ルートアカウント、RAM ユーザー、または RAM ロール) を使用して DMS にログインできます。最初にログインしたユーザーが DMS 管理者になります。それ以降のすべてのユーザーには、一般ユーザーロールが割り当てられます。

システムロール

DMS には、一般ユーザー、セキュリティ管理者、DBA、DMS 管理者、構造読み取り専用ユーザーの 5 つのシステムロールがあります。

各システムロールには異なる権限があります。各ロールに関連付けられた機能とユーザーグループに基づいて、DMS システムロールをユーザーに付与してください。詳細については、「システムロール」をご参照ください。

ユーザーの追加

企業の従業員を DMS に追加するには、次の 2 つの方法があります。

自動追加

Alibaba Cloud アカウント (ルートアカウント) で DMS を初期化すると、DMS はそのアカウント配下のすべての RAM ユーザーを自動的に同期します。
RAM ユーザーで DMS を初期化した場合、自動同期は利用できません。Alibaba Cloud アカウント (ルートアカウント) を DMS に手動で追加して、そのアカウント配下のすべての RAM ユーザーの自動同期を有効にしてください。

説明

この同期は、DMS のグローバル構成項目によって制御され、デフォルトで有効になっています。詳細については、「構成管理」をご参照ください。

手動追加

DMSコンソールV5.0 にログインします。
左上隅にあるアイコンにポインターを移動し、[すべての機能] > [O&M] > [ユーザー] を選択します。
説明
DMS コンソールを通常モードで使用している場合は、上部のナビゲーションバーで [O&M] > [ユーザー] を選択します。
ユーザーを追加します。
- 任意のユーザーを手動で追加
  [Add] をクリックし、[Alibaba Cloud Account UID] を入力してユーザーのシステム [Role] を設定し、[Confirm] をクリックします。
- 現在の Alibaba Cloud アカウント配下の RAM ユーザーを手動で追加
  [Sync Sub-accounts] をクリックし、同期するユーザーを選択して、[Add Selected Users] をクリックします。ユーザーの追加後、システムロールを設定します。詳細については、「ユーザー情報の編集」をご参照ください。

ステップ 3： DMS とエンタープライズ開発プラットフォームの統合

Alibaba Cloud の ID 認証と統合した後、企業の IdP を使用して DMS にログインできます。次のいずれかの方法を選択して、DMS をエンタープライズ開発プラットフォームに統合してください。

ページ統合

DMS ページへのリンクを構築します。
特定の機能ページへのリダイレクトを指定します。リンクの形式は次のとおりです。
```
https://dms.aliyun.com/new#to={MENU_NAME}
```
たとえば、データ変更ページへのリンクは https://dms.aliyun.com/new#to=DC_COMMON です。
MENU_NAME は機能のキー値です。各機能の MENU_NAME は次のとおりです。
- データ変更：DC_COMMON
- データインポート：DC_BIG_FILE
- ロックレス変更：DC_CHUNK
- プログラマブルオブジェクト：DC_PROC
- 履歴データクリーンアップ：DC_CRON_CLEAR
- テストデータ生成：menus_order_data_generate
- SQL 結果セットエクスポート：DATA_EXPORT
- データベースエクスポート：DB_EXPORT
- マイパーミッション：menus_order_my_auth
前述の項目に加えて、次の特殊なケースもあります。
- チケット詳細ページへのリンク： https://dms.aliyun.com/?pid={ORDER_ID}。ORDER_ID はチケット番号で、DMS コンソールまたは OpenAPI を呼び出して取得できます。
- SQL コンソールページへのリンク： https://dms.aliyun.com/websql/index?dbId={DB_ID}&logic={IS_LOGIC}&dbType={DB_TYPE}&instanceId={INSTANCE_ID}&insertSql={INSERT_SQL}。
  - DB_ID：データベース ID。整数です。
  - IS_LOGIC：データベースが論理データベースであるかどうかを指定します。有効な値は true と false です。
  - DB_TYPE：データベースのタイプ。GetPhysicalDatabase API を呼び出して、対応するデータベースとその DbType を取得できます。
  - INSTANCE_ID：インスタンス ID。GetPhysicalDatabase API を呼び出して、対応するデータベースとその InstanceId を取得できます。
  - INSERT_SQL：URL エンコードされたクエリ SQL 文。SQL コンソールにリダイレクトされると、クエリ SQL が実行エリアに自動的に入力されます。クエリを入力する必要がない場合は、insertSql フィールドを渡さないでください。
DMS へのパスワードなしアクセスのためのリンクを構築し、社内システムに埋め込んでください。
パスワードなしアクセスアドレス https://dms.aliyun.com を、構築した DMS 機能ページリンクに置き換えてください。詳細については、「パスワードなしで DMS コンソールにアクセスする」をご参照ください。

OpenAPI 統合

Alibaba Cloud の ID 認証システムとセルフマネージド ID システムの両方が OpenAPI 統合をサポートしています。

DMS OpenAPI を呼び出して、ユーザーとリソースを追加してください。詳細については、「API の概要」をご参照ください。

ステップ 4：データベースインスタンスの追加

コントロールモード

DMS に登録された各インスタンスにコントロールモードを設定してください。コントロールモードには、柔軟な管理、安定的な変更、セキュリティコラボレーションがあり、それぞれ異なるシナリオに適しており、サポートする機能も異なります。詳細については、「コントロールモード」をご参照ください。

インスタンスの追加

サポートされるデータベース

DMS がサポートするデータベース。

ホワイトリストへの IP アドレスの追加

お使いのリージョンの DMS の IP アドレスを、データベースインスタンスのセキュリティ設定 (ファイアウォール、ホワイトリスト、またはセキュリティグループ) に追加してください。詳細については、「DMS の IP アドレス CIDR ブロックの追加」をご参照ください。

インスタンスの登録

データベースインスタンスを DMS に追加するには： ApsaraDB データベースインスタンスの追加または他のクラウドまたはセルフマネージドデータベースからのデータベースインスタンスの追加。

API オペレーション：データベースインスタンスの登録。

その他の操作

DMS をエンタープライズ開発プラットフォームと統合し、インスタンスを追加した後、アクセス制御、承認フロー、通知方法を管理できます。詳細については、

アクセス制御

アクセス制御は、DMS リソース (インスタンス、データベース、テーブル) の権限を管理します。必要に応じて、ログイン、クエリ、エクスポート、変更の権限をユーザーに付与してください。詳細については、「アクセス制御の概要」をご参照ください。

権限タイプ

DMS は 3 種類のデータアクセス権限を提供します。

クエリ権限：SQL コンソールでクエリ SQL 文を実行します。
変更権限：SQL コンソールで変更文を実行し (セキュリティルールによる制約あり)、データ変更およびスキーマ同期チケットを申請します (間接的な変更)。
エクスポート権限：データエクスポートチケットを申請します (間接的なエクスポート)。

説明

権限はリソースレベル間で継承されます。たとえば、インスタンスレベルで付与されたクエリ権限は、そのインスタンス内のすべてのデータベースとテーブルに適用されます。
DMS はセキュリティのため、SQL コンソールでのクエリ結果を制限します。たとえば、柔軟な管理モードのインスタンスでは、クエリは最大 3,000 行に制限されます。完全なデータセットを取得するには、エクスポート権限を要求して、データエクスポートチケットを申請する必要があります。
データ保護を有効にし、フィールドに機密度レベルを設定した場合、機密フィールドの権限も管理できます。詳細については、「データ保護の概要」および「アクセス制御権限の管理」をご参照ください。

リソースロール

DMS は、インスタンス DBA、インスタンス所有者、データベース所有者、テーブル所有者の 4 つのリソースロールを提供します。各ロールには異なる権限があります。詳細については、「リソースロール」をご参照ください。

権限付与方法

DMS は、管理者がユーザーに権限を付与する方法と、ユーザーが権限を申請する方法の 2 つをサポートしています。

アクティブな権限付与
管理者と DBA は、リソース管理またはユーザー管理ページでユーザーに権限を付与できます。詳細については、「アクセス制御権限の管理」をご参照ください。
1 つのリソースに対する権限を一度に複数のユーザーに付与するには、権限テンプレートを使用して、同じビジネス属性を持つリソースを管理します。詳細については、「権限テンプレートの作成」をご参照ください。
権限の申請
ユーザーはチケットを申請することで権限を申請できます。詳細については、「アクセス制御権限の管理」をご参照ください。

承認フロー

DMS チケットシステムでは、データベース操作を実行する前に承認が必要です。

カスタム承認フロー

承認フローは承認テンプレートによって定義されます。各テンプレートには複数の承認ノードを含めることができ、各ノードには複数の承認者を設定できます。

承認
フロー内のすべての承認ノードが承認されると、承認フローが完了し、チケットは次のステージに進みます。
却下または取り消し
承認ノードの承認者がリクエストを却下するか、チケット作成者がチケットを取り消すと、承認フローは終了し、チケットは承認されません。

説明

カスタム承認フローは、セキュリティコラボレーションモードのインスタンスでのみ利用可能です。他のモードでは、DMS の組み込み承認フローが使用されます。詳細については、「チケット承認フローのカスタマイズ」をご参照ください。

承認操作

DMS は、次の承認操作をサポートしています。

承認：リクエストは次の承認ノードに進みます。
却下：承認フローは終了します。再試行するには、新しいチケットを申請してください。
取り消し：申請者が承認フローを終了させます。
所有者の変更：承認責任を別のユーザーに委譲します。
署名の追加：現在のノードの前または後に承認ノードを追加します (事前署名または事後署名)。

その他の設定

エスカレーション承認により、承認権限のないユーザーも、指定された、またはすべてのチケットタイプの承認に参加できます。この設定は [Configuration Management] ページで行ってください。詳細については、「構成管理」をご参照ください。

エスカレーション承認の条件を満たすユーザーまたはロールは、[承認]、[却下]、[署名の追加]、または [取り消し] の操作を実行できます。それ以外の場合、プロセスは変更されません。

メッセージ通知

DMS は、さまざまなチケットタイプやタスクフローに対して、デフォルトでメッセージ通知を有効にしています。効果的な配信を確実にするために、カスタム受信者を設定してください。サポートされている方法は、テキストメッセージ、メール、DingTalk、Lark、専用 DingTalk、DingTalk ロボット、および Webhook です。

必要な情報 (携帯電話番号や認証コードなど) を入力して、個人の通知方法を設定してください。詳細については、「個人情報と通知方法の設定」をご参照ください。
通知の対象となるチケットタイプとトリガー条件 (承認合格やチケット実行完了など) を設定してください。詳細については、「メッセージ通知の管理」をご参照ください。