RAM (Resource Access Management) コンソールで権限ポリシーを設定して、データベース管理者 (DBA) または開発者による悪意のある変更から暗号化ルールを保護できます。 このトピックでは、権限ポリシーを作成し、権限ポリシーをユーザーまたはユーザーグループに割り当てる方法について説明します。
背景情報
PolarDB Always-confidentialを有効にした場合、PolarDBコンソールで暗号化ルールを設定できます。 暗号化ルールは、ユーザーが照会できるコンテンツがDBAまたは開発者によって盗まれるのを防ぎ、ユーザーの機密データがユーザーのみにアクセスできるようにします。 詳細については、「暗号化ルールの管理」をご参照ください。 ほとんどの場合、DBAと開発者はPolarDBコンソールにアクセスする権限も持っています。 DBAと開発者がPolarDBコンソールで悪意を持って暗号化ルールを変更しないようにし、機密データルールの安全性と信頼性を確保するためのソリューションが必要です。
この問題を解決するには、RAMコンソールでRAMユーザーの権限を管理します。 Alibaba Cloudアカウント内に複数のRAMユーザーを作成し、開発者とDBAにRAMユーザーを割り当てることができます。 次に、RAMユーザーの権限を管理します。 このように、RAMユーザーにはPolarDBコンソールでルールを変更する権限がありません。
手順
RAMユーザーの作成
RAM コンソールにログインして、RAM ユーザーを作成します。 RAM ユーザーの作成
権限ポリシーの作成
RAM コンソールにログインします。
左側のナビゲーションウィンドウで、[権限] > [ポリシー] を選択します。 [ポリシー] ページで、[ポリシーの作成] をクリックします。
[Visual editor] タブで、次の設定を行います。
[効果] セクションで、[拒否] を選択します。
[サービス] セクションで、[ApsaraDB for POLARDB] を選択します。
[アクション] セクションで、[アクションの書き込み] パラメーターを展開し、
[polardb:ModifyMaskingRules]および[polardb:DeleteMaskingRules]を選択します。 MaskingRulesキーワードをフィルターとして使用すると、2つのアクションのみを表示できます。
[次へ] をクリックしてポリシー情報を編集します。
ポリシー名を設定し、[OK] をクリックします。 この例では、ポリシーの名前は [機密ルールの変更を許可しません] に設定されています。 ビジネス要件に基づいてポリシー名の名前を設定できます。
RAMユーザーへの権限ポリシーの割り当て
RAM コンソールにログインします。
左側のナビゲーションウィンドウで、[ID] > [ユーザー] を選択します。
管理するRAMユーザーを見つけて、[操作] 列の [権限の追加] をクリックします。
[権限の追加] ページで、[カスタムポリシー] をクリックし、[機密ルールの変更を許可しません] ポリシーを選択します。
次に、[OK] をクリックします。
ポリシーをRAMユーザーに割り当てた後、RAMユーザーがPolarDBクラスターに対する管理権限を持っていても、暗号化ルールを変更または削除できません。 RAMユーザーが暗号化ルールを変更しようとすると、次のエラーメッセージが表示されます。
