Data Management (DMS) のポリシー機能を使用すると、DMS の機能および DMS で管理されるデータリソースに対する権限を詳細に管理できます。ポリシーを定義して、データベースインスタンスやデータベースなど、さまざまな粒度のデータリソースに対するクエリ権限や変更権限などの権限を正確に設定できます。また、DMS 機能に対する操作権限も設定できます。
特徴
データリソースに対する権限の管理
ポリシーと元の権限管理システムを使用して、データベースインスタンス、データベース、論理データベース、テーブルなど、さまざまな粒度のデータリソースに対するクエリ権限や変更権限などのアクセス権限を設定できます。
DMS 機能に対する権限の管理
ポリシーを使用して、DMS ユーザーが DMS 機能を使用する際にリソースを作成および表示できるかどうかなど、DMS 機能に対する操作権限を設定できます。
使用上の注意
この機能はカナリアリリースモードで展開されます。
ポリシーと権限テンプレートの違い
項目 | ポリシー | 権限テンプレート |
管理対象オブジェクト | データリソースと DMS 機能 | データリソース |
権限を管理できるデータリソースの範囲 | データベースインスタンス、物理データベース、論理データベース、テーブルなどのデータリソース | データベースインスタンス、データベース、テーブルのみ |
権限を付与できるオブジェクトの範囲 | DMS ユーザーとロール | DMS ユーザー |
認証
DMS ポリシーと元の権限管理システムは相互に補完的です。
たとえば、ユーザー A にはポリシーを使用して dmstest_db データベースに対するクエリ権限が付与され、権限管理システムを使用して dmstest_db データベースに対する変更権限が付与されます。この場合、ユーザー A は dmstest_db データベースに対するクエリ権限と変更権限を持ちます。
データリソースの認証プロセス
前提条件
ポリシーを管理する権限が必要です。必要な権限がない場合は、DMS 管理者に連絡して、お使いのアカウントに DMS 管理者ロールを割り当ててもらってください。詳細については、「ユーザーの管理」トピックの「ユーザーの変更」セクションをご参照ください。
デフォルトでは、DMS 管理者はポリシーを管理する権限を持っています。
ステップ 1: ポリシーの作成
- DMS コンソール V5.0 にログインします。
左上隅の
アイコンにポインターを合わせ、 を選択します。説明DMS コンソールを通常モードで使用する場合は、上部のナビゲーションバーで を選択します。
[ポリシー] ページで、[ポリシーの作成] をクリックします。[ポリシーの作成] ページで、[基本情報] セクションの [名前] と [備考] パラメーターを設定します。
ポリシーの内容を設定します。
説明ポリシーを設定した後、ページの下部にある [ポリシーの追加] をクリックして、データリソースと DMS 機能に対して複数のポリシーを設定できます。
データリソース
[効果] パラメーターを設定します。
[効果] として [はい] を選択した場合、権限が付与された DMS ユーザーは、ポリシーで定義されたデータリソースと関連機能にアクセスして使用できます。[拒否] を効果として選択した場合、権限が付与された DMS ユーザーは、ポリシーで定義されたデータリソースと関連機能へのアクセスと使用が禁止されます。
セクションの [データ] タブで、管理するデータリソースのタイプ ( [インスタンス]、[データベース]、[論理データベース] など) を選択します。
説明コンソールに表示されるサポートされているデータリソースのタイプが優先されます。
[操作] セクションで、[読み取り] や [書き込み] を含む 1 つ以上の操作タイプを選択します。
[すべてのアクション] を選択すると、[読み取り] と [書き込み] の両方の操作が選択されます。[指定された操作] を選択した場合は、ビジネス要件に基づいて読み取りと書き込みの一方または両方の操作を選択できます。
アイコンをクリックして、選択した操作のタイプを [選択されたアクション] セクションに追加します。[リソース] セクションで、[すべてのリソース] や [指定されたリソース] など、管理するリソースを選択します。
[指定されたリソース] を選択した場合は、セクションの右下隅にある [リソースの追加] をクリックしてリソースを追加します。
任意。ポリシーの条件を設定します。
[条件] セクションで、[条件の追加] をクリックします。[条件の追加] ダイアログボックスで、[条件キー]、[演算子]、および [条件値] パラメーターを設定します。
説明選択したリソースと操作のタイプに基づいて条件を設定できます。
例:
[条件キー] として [データベースタイプ] を選択します。
[演算子] パラメーターを StringEqualsIgnoreCase に設定し、[条件値] パラメーターを MySQL に設定した場合、ポリシーは MySQL データベースに対して有効になります。
[条件キー] として [時刻] を選択します。
[演算子] パラメーターを DateGreaterThan に設定し、[条件値] パラメーターを 2024-09-19 05:00 に設定した場合、ポリシーは 2024-09-19 05:00 以降に有効になります。
DMS 機能
[効果] パラメーターを設定します。
[効果] として [はい] を選択した場合、権限が付与された DMS ユーザーは、ポリシーで定義されたデータリソースと関連機能にアクセスして使用できます。[拒否] を効果として選択した場合、権限が付与された DMS ユーザーは、ポリシーで定義されたデータリソースと関連機能へのアクセスと使用が禁止されます。
セクションの [機能] タブで、[データエクスポートチケット]、[ユーザー管理]、[ロール管理]、[機密データ保護] など、管理する DMS 機能を選択します。
[操作] セクションで、1 つ以上の操作タイプを選択します。
[指定された操作] を選択した場合は、ビジネス要件に基づいて読み取りと書き込みの一方または両方の操作を選択できます。
アイコンをクリックして、選択した操作のタイプを [選択されたアクション] セクションに追加します。[リソース] セクションで、[すべてのリソース] や [指定されたリソース] など、管理するリソースを選択します。
[指定されたリソース] を選択した場合は、セクションの右下隅にある [リソースの追加] をクリックしてリソースを追加します。
任意。ポリシーの条件を設定します。
[条件] セクションで、[条件の追加] をクリックします。[条件の追加] ダイアログボックスで、[条件キー]、[演算子]、および [条件値] パラメーターを設定します。
説明選択したリソースと操作のタイプに基づいて条件を設定できます。
たとえば、[リソースタイプ] として [データエクスポートチケット] を選択し、[条件キー] として [インスタンス環境タイプ] を選択します。
[演算子] パラメーターを StringEqualsIgnoreCase に設定し、[条件値] パラメーターを dev に設定した場合、ポリシーは開発環境のデータベースに対して有効になります。
ページの左下隅にある [確認] をクリックします。
ステップ 2: ポリシーを DMS ユーザーまたはロールにアタッチする
[ポリシー] ページで、作成したポリシーを見つけ、[操作] 列の [承認] をクリックします。
[承認] ダイアログボックスで、[サブジェクトタイプ] として [ユーザー] または [ロール] を選択し、1 つ以上の DMS ユーザーまたはロールを選択します。
ロールとは、カスタムロールを指します。ポリシーをロールにアタッチすると、このロールを偽装する DMS ユーザーはポリシーによって制限されます。
[OK] をクリックします。
ポリシーの管理
[ポリシー] ページでは、ポリシーの変更や削除、または類似のポリシーの作成ができます。
権限診断機能の使用
DMS では、データリソースの権限診断結果のみを表示できます。
[操作ログ] タブでは、過去 3 か月以内の操作ログに対してのみ権限診断を実行できます。
DMS では、権限診断機能を使用して、DMS ユーザーがアクセスするデータリソースに対する権限を追跡できます。権限診断機能は、次のいずれかの方法で使用できます。
[操作ログ] タブでの操作
左上隅の
アイコンにポインターを合わせ、 を選択します。説明DMS コンソールを通常モードで使用する場合は、上部のナビゲーションバーで を選択します。
[操作ログ] タブで、[機能] ドロップダウンリストから [SQL コンソール] を選択し、[検索] をクリックします。
表示したい操作ログを見つけ、[アクション] 列の [権限診断] をクリックして、権限診断結果を表示します。
[SQL コンソール] ページでの操作
ホームページの左側のナビゲーションウィンドウで、管理するデータベースをダブルクリックして、SQL コンソールページに移動します。
[アクセス] セクションで、権限タイプにポインターを合わせ、[権限診断] をクリックします。
[権限診断] メッセージで、権限診断結果を表示します。