すべてのプロダクト
Search

このプロダクト

    Data Management:権限管理

    ドキュメントセンター

    Data Management:権限管理

    最終更新日:Aug 13, 2024

    データ管理 (DMS) は、あらゆる方法でデータセキュリティを細かく管理する機能を提供します。 データベースインスタンス、データベース、テーブル、列、行、メタデータなどのリソースに対する権限を管理できます。 このトピックでは、DMSが提供する権限について説明し、権限を管理する方法を示します。

    権限のカテゴリとタイプ

    権限カテゴリ

    権限タイプ

    説明

    セキュリティホスティングが有効かどうか

    操作権限 (通常の権限)

    データベースインスタンスの権限

    データベースインスタンスにログインするための権限。

    データベースインスタンスへのログイン権限を取得したら、対応するデータベースアカウントとパスワードを使用してデータベースインスタンスにログインできます。

    説明

    データベースアカウントとパスワードは、企業内の関連する所有者によって管理されます。

    任意

    データベースインスタンスのパフォーマンスを表示する権限。

    データベースインスタンスのセキュリティホスティングが有効になっている場合、パフォーマンスの詳細を表示する前に、データベースインスタンスのパフォーマンスを表示する権限を取得する必要があります。 詳細については、「データベースインスタンスのパフォーマンスの詳細の表示」をご参照ください。

    必須

    アクセス制御が有効になっている機密の列と行のデータを除く、データベースインスタンスのデータを照会、エクスポート、および変更するための権限。

    データベースの権限

    アクセス制御が有効になっている機密の列と行のデータを除く、データベースのデータを照会、エクスポート、および変更するための権限。

    テーブルの権限

    テーブルのデータを照会、エクスポート、および変更するためのアクセス許可。アクセス制御が有効になっている機密の列と行のデータは除きます。

    機密列の権限

    機密列のデータを照会、エクスポート、および変更するための権限。

    説明

    機密列の権限を申請する前に、次の要件が満たされていることを確認してください。

    • 機密データ保護機能が有効になっています。 詳細については、「機密データ保護機能の有効化」をご参照ください。

    • 機密列が属するデータベースとテーブルに対する権限があること。 詳細については、「権限の管理」をご参照ください。

    行の権限

    行のデータを照会、エクスポート、および変更するための権限。 詳細については、「行レベルのアクセス制御の設定」をご参照ください。

    説明

    行のアクセス許可を申請する前に、行が属するデータベースとテーブルに対するアクセス許可があることを確認してください。

    プログラマブルオブジェクトの権限

    プログラマブルオブジェクトのデータを照会、エクスポート、および変更するための権限。 データベースインスタンスのセキュリティホスティングが有効になっている場合、プログラマブルオブジェクトのデータを照会、エクスポート、または変更する前に、プログラマブルオブジェクトに対する権限を取得する必要があります。 詳細については、「ストアドルーチンを使用したプログラマブルオブジェクトの変更」をご参照ください。

    データ権限 (リソース所有者権限)

    インスタンス所有者

    リソースに対する所有者の権限。 リソースの所有者は、リソースに対するアクセス許可が付与されているユーザーを表示し、ユーザーにリソースアクセス許可を付与し、ユーザーからリソースアクセス許可を取り消すことができます。 リソースは、データベースインスタンス、データベース、またはテーブルです。 さらに、所有者は、アクセス制御が有効になっている機密の列と行のデータを除いて、リソースのデータを照会できます。

    説明

    データベースインスタンスのセキュリティホスティングが無効になっている場合、DMS管理者とデータベース管理者 (DBA) のみがインスタンス所有者を追加または削除できます。 インスタンス所有者を管理するには、次の操作を実行します。DMSコンソールにログインします。 左側の [データベースインスタンス] セクションで、管理するデータベースインスタンスを右クリックし、[インスタンス所有者] > [所有者の設定] を選択します。 表示されるダイアログボックスで、インスタンス所有者を追加または削除します。

    必須

    データベース所有者

    テーブルの所有者

    メタデータアクセス制御

    メタデータアクセス制御

    • インスタンスアクセス制御: アクセス制御が有効になっているデータベースインスタンスは、データベースインスタンスのアクセス許可が付与されているユーザーのみが照会およびアクセスできます。 権限のないユーザーは、データベースインスタンスの権限を申請できません。

    • データベースアクセス制御: アクセス制御が有効になっているデータベースは、データベースに対するアクセス許可が付与されているユーザーのみが照会およびアクセスできます。 権限のないユーザーは、データベースの権限を申請できません。

    • ユーザーアクセス制御: アクセス制御が有効になっているユーザーは、そのユーザーが権限を持つデータベースインスタンスとデータベースのみを照会してアクセスできます。 ユーザーは、他のデータベースインスタンスまたはデータベースの権限を申請できません。

    説明

    データベースインスタンスまたはデータベースに対して1種類のデータ権限または操作権限が付与されている場合は、そのデータベースインスタンスまたはデータベースに対する権限が付与されます。

    必須

    権限の説明:

    • Query: SQLコンソールでクエリ文を実行するための権限。

    • Change permissions: SQLコンソールで変更文を実行するための権限、および承認なしにデータを変更するための権限ではなく、データ変更チケットとデータベースおよびテーブルの同期チケットを送信するための権限。 DMS管理者は、SQLコンソールで実行できるSQL文の種類に制約を設定できます。

    • エクスポート権限: 承認なしでデータをエクスポートする権限の代わりに、データエクスポートチケットを送信する権限。

    異なるロールの権限管理方法

    • 通常のユーザー:

      アクセス制御が有効になっているユーザー以外のDMSユーザーは、特定のリソースに対する操作権限とデータ権限を申請するためのチケットを送信できます。 詳細については、このトピックの「チケットを使用したアクセス許可の申請」をご参照ください。

    • DMS管理者およびデータベース管理者 (DBA):

      • DMS管理者およびDBAは、インスタンス管理機能を使用して、データベースインスタンスおよびデータベースに対する権限を管理できます。 詳細については、「DMS管理者またはDBAとしての権限の管理」をご参照ください。

      • DMS管理者とDBAは、データベースインスタンスとデータベースのアクセス制御を有効にできます。 詳細については、「メタデータアクセス制御の有効化」をご参照ください。

    • DMS管理者:

      • DMS管理者は、ユーザー管理機能を使用して、特定のユーザーにリソース権限を付与したり、特定のユーザーからリソース権限を取り消したりできます。 リソースは、データベースインスタンス、データベース、テーブル、行、または列です。 詳細については、「DMS管理者としての権限の管理」をご参照ください。

      • DMS管理者は、ユーザーのアクセス制御を有効にできます。 詳細については、「ユーザーのアクセス制御の有効化」をご参照ください。

    説明

    • ユーザーのロールを表示する方法の詳細については、「システムロールの表示」をご参照ください。

    • DMSは、メタデータアクセス制御に関する操作を除くすべての権限変更操作を操作ログに記録します。 たとえば、権限を申請、付与、解放、または取り消しした場合、これらの権限変更レコードをDMS操作ログに表示できます。 操作ログを表示するには、上部のナビゲーションバーで [セキュリティと仕様] > [操作監査] を選択します。 次に、[操作ログ] タブをクリックします。

    チケットを起票して権限を申請

    アクセス制御が有効になっているユーザーを除くDMSユーザーは、リソースのアクセス許可を申請するためのチケットを送信できます。

    1. DMSコンソールV5.0 にログインします。

    2. 上部のナビゲーションバーで、セキュリティと仕様 > 権限センター > 許可チケットを選択します。

      説明

      DMSコンソールをシンプルモードで使用する場合は、左上隅の2023-01-28_15-57-17.pngアイコンの上にポインターを移動し、[すべての機能] > [セキュリティと仕様] > [権限センター] > [権限チケット] を選択します。

    3. [Access applyTickets] ページで、[Access apply] をクリックし、ドロップダウンリストから権限タイプを選択します。

    4. [チケットの適用へのアクセス] ページで、データベースインスタンス、データベース、テーブルなどのリソースに適用する権限を設定します。

      1. リソースを選択します。

        カテゴリ

        サポートされる権限タイプ

        説明

        安全な管理-無効

        インスタンス-ログイン

        データベースインスタンスのセキュリティホスティングが無効になっている場合、データベースインスタンスへのログイン権限のみを申請できます。

        1. 検索ボックスにデータベースインスタンスのエンドポイントまたは名前を入力し、[検索] をクリックします。

        2. 検索結果で、権限を申請するデータベースインスタンスを選択します。

        3. 5添加2アイコンをクリックして、選択したデータベースインスタンスを [選択したインスタンスの確認] セクションに追加します。

        セキュアな管理が可能

        • インスタンス-OWNER

        • データベース-OWNER

        • テーブル-OWNER

        • インスタンス-権限

        • インスタンス-パフォーマンス

        • データベース権限

        • テーブル権限

        • プログラム可能なオブジェクト

        • 行権限

        • 機密コラム-権限

        この例では、データベース権限が選択されています。

        1. 検索ボックスにデータベースの名前を入力し、[検索] をクリックします。 パーセント記号 (%) をプレースホルダーとして使用して、ファジー一致モードでデータベースを検索できます。 例: dms % test

        2. 検索結果で、権限を申請するデータベースを選択します。

        3. 5添加2アイコンをクリックして、選択したデータベースを [選択したデータベース /テーブル /列] セクションに追加します。

      2. 権限を選択します。

        ログオン、クエリ、エクスポート、およびアクセス許可の変更から適用するアクセス許可を選択し、アクセス許可の有効期間を設定してから、アクセス許可を適用する理由を入力します。

    5. [送信] をクリックします。 チケットは承認ステップに入ります。

    6. チケットを承認します。 チケットが承認されると、システムは自動的に申請する権限を付与します。

      • セキュリティコラボレーションモードで管理されるデータベースインスタンスの場合、承認プロセスをカスタマイズできます。

      • セキュリティコラボレーションモードで管理されていないデータベースインスタンスの場合、セキュリティホスティングが無効になっている場合、データベースインスタンスにログインするためのアクセス許可のみを申請できます。 デフォルトの承認者は、データベースインスタンスのDBAです。 データベースインスタンスのセキュリティホスティングが有効になっている場合、承認者はリソース所有者です。 リソース所有者が指定されていない場合、承認者はデータベースインスタンスのDBAです。

    関連ドキュメント