PolarDB-X の 3 ロールモードでは、従来特権アカウントが保持していた高度な権限を、データベース管理者(DBA)、セキュリティ管理者(DSA)、監査管理者(DAA)という 3 つの異なるロールに分散します。このアプローチは、高度に集中化された権限に関連するリスクを軽減し、データベース全体のセキュリティを強化するのに役立ちます。
サポートされているバージョン
3 ロールモードは、Enterprise Edition インスタンスでのみサポートされています。
背景情報
リスク
従来のデータベース O&M モードでは、DBA の高度で集中化された権限が、特定のシナリオにおいてビジネス運用に以下のリスクをもたらす可能性があります。
エラーまたは誤判断によって引き起こされるセキュリティ侵害またはインシデント。
個人的な理由で実行される不正操作。
DBA、サードパーティの外部委託担当者、またはアプリケーション開発者による機密情報への不正アクセス。
ソリューション
PolarDB-X は、DBA、DSA、DAA という 3 つの異なるロール間で責任と権限を分割することにより、これらのリスクに対処するために 3 ロールモードを導入しています。このモードは、DBA が排他的な制御権を持つ従来のシステムを打破します。
DBA:DDL 権限のみを保有します。
DSA:ロールとユーザーを管理し、他のアカウントに権限を付与します。
DAA:監査ログを表示する権限のみを保有します。
異なるロールの権限
次の表は、デフォルトモードと 3 ロールモードで各システムアカウントに付与される権限を示しています。
デフォルトモードでは、DBA アカウントが特権アカウントです。特権アカウントの詳細については、「アカウントの種類」をご参照ください。
3 ロールモードは、システムアカウントに付与される権限にのみ影響します。システムアカウントには、特権アカウント、DBA アカウント、DSA アカウント、DAA アカウントが含まれます。標準アカウントに付与される権限は影響を受けません。
3 ロールモードが有効になると、システムアカウントは DML、データクエリ言語(DQL)、またはデータ管理言語(DAL)文を実行する権限がなくなります。 DSA アカウントを使用して、これらの文を実行するための権限を標準アカウントに付与できます。
権限 | デフォルトモード | 3 ロールモード | |||
操作タイプ | SQL | 特権アカウント | DBA アカウント | DSA アカウント | DAA アカウント |
DDL |
| サポート | サポート | 非サポート | 非サポート |
DML |
| サポート | 非サポート | 非サポート | 非サポート |
DQL |
| ||||
DAL |
| ||||
ロールとアカウントに対する操作 | サポート | 非サポート | サポート | 非サポート | |
監査ログに対する操作 | 次の種類のテーブルで監査ログを表示します。
| サポート | 非サポート | 非サポート | サポート |