すべてのプロダクト
Search

このプロダクト

    Data Management:権限管理

    ドキュメントセンター

    Data Management:権限管理

    最終更新日:Aug 19, 2024

    データ管理 (DMS) は、包括的かつきめ細かい方法でデータセキュリティを管理するために使用できる機能を提供します。 データベースインスタンス、データベース、テーブル、行、機密列などのリソースに対する権限を管理できます。 このトピックでは、DMSで異なるロールを使用して権限を管理する方法について説明します。

    使用上の注意

    • データベースインスタンスのセキュリティホスティングが無効になっている場合、データベースインスタンスへのログイン権限のみを申請または付与できます。

    • データベースインスタンスに対してセキュリティホスティングが有効になっている場合、データベースインスタンス、データベース、テーブル、行、機密列などのリソースに対する権限を管理できます。 安全なホスティングを有効にする方法の詳細については、「セキュリティホスティング」をご参照ください。

    DMSのさまざまなロールの権限管理方法

    ロール

    権限管理方法

    通常のユーザー

    DMSでは、アクセス制御が有効になっているユーザーを除く通常のユーザーは、リソースのアクセス許可を申請するためのチケットを送信できます。 詳細については、このトピックの「チケットを起票して権限を申請する」をご参照ください。

    DMS管理者およびデータベース管理者 (DBA)

    • DMS管理者およびDBAは、インスタンス管理機能を使用して、データベースインスタンスおよびデータベースに対する権限を管理できます。 詳細については、このトピックの「DMS管理者またはDBAとしてのアクセス許可の管理」をご参照ください。

    • DMS管理者およびDBAは、インスタンス管理機能を使用して、データベースインスタンスおよびデータベースのアクセス制御を有効にできます。 詳細については、「メタデータアクセス制御の有効化」をご参照ください。

    • DMS管理者は、ユーザー管理機能を使用して、ユーザーにリソース権限を付与したり、ユーザーからリソース権限を取り消したりできます。 リソースは、データベースインスタンス、データベース、テーブル、行、または機密列です。 詳細については、このトピックの「DMS管理者としての権限の管理」をご参照ください。

    • DMS管理者は、ユーザー管理機能を使用して、ユーザーのアクセス制御を有効にできます。 詳細については、「ユーザーの管理」トピックの「ユーザーのアクセス制御の有効化」をご参照ください。

    説明

    DBAは、インスタンス管理機能を使用してのみ権限を管理できます。 DMS管理者は、前述の4つの方法を使用して権限を管理できます。

    スキーマ読み取り専用

    スキーマ読み取り専用ロールを引き受けるユーザーは、データベースインスタンス、データベース、およびテーブルに対するクエリ、変更、エクスポートのアクセス許可を取得する必要なく、すべてのデータベースインスタンス、データベース、およびテーブルのメタデータをクエリできます。

    説明

    • DMSコンソールの右上隅にあるpersonアイコンをクリックすると、DMSのロールを表示できます。

    • DMSは、メタデータアクセス制御を除くすべての権限変更操作を操作ログに記録します。 たとえば、権限を申請、付与、解放、または取り消すと、DMS操作ログで権限変更レコードを表示できます。 操作ログを表示するには、DMSコンソールの上部ナビゲーションバーで [セキュリティと仕様] > [操作監査] を選択します。 次に、[操作ログ] タブをクリックします。

    チケットを起票して権限を申請

    アクセス制御が有効になっているユーザーを除くDMSユーザーは、リソースのアクセス許可を申請するためのチケットを送信できます。

    1. DMSコンソールV5.0 にログインします。

    2. 上部のナビゲーションバーで、セキュリティと仕様 > 権限センター > 許可チケットを選択します。

      説明

      DMSコンソールをシンプルモードで使用する場合は、左上隅の2023-01-28_15-57-17.pngアイコンの上にポインターを移動し、[すべての機能] > [セキュリティと仕様] > [権限センター] > [権限チケット] を選択します。

    3. [Access applyTickets] ページで、[Access apply] をクリックし、ドロップダウンリストから権限タイプを選択します。

    4. [チケットの適用へのアクセス] ページで、データベースインスタンス、データベース、テーブルなどのリソースに適用する権限を設定します。

      1. リソースを選択します。

        カテゴリ

        サポートされる権限タイプ

        説明

        安全な管理-無効

        インスタンス-ログイン

        データベースインスタンスのセキュリティホスティングが無効になっている場合、データベースインスタンスへのログイン権限のみを申請できます。

        1. 検索ボックスにデータベースインスタンスのエンドポイントまたは名前を入力し、[検索] をクリックします。

        2. 検索結果で、権限を申請するデータベースインスタンスを選択します。

        3. 5添加2アイコンをクリックして、選択したデータベースインスタンスを [選択したインスタンスの確認] セクションに追加します。

        セキュアな管理が可能

        • インスタンス-OWNER

        • データベース-OWNER

        • テーブル-OWNER

        • インスタンス-権限

        • インスタンス-パフォーマンス

        • データベース権限

        • テーブル権限

        • プログラム可能なオブジェクト

        • 行権限

        • 機密コラム-権限

        この例では、データベース権限が選択されています。

        1. 検索ボックスにデータベースの名前を入力し、[検索] をクリックします。 パーセント記号 (%) をプレースホルダーとして使用して、ファジー一致モードでデータベースを検索できます。 例: dms % test

        2. 検索結果で、権限を申請するデータベースを選択します。

        3. 5添加2アイコンをクリックして、選択したデータベースを [選択したデータベース /テーブル /列] セクションに追加します。

      2. 権限を選択します。

        ログオン、クエリ、エクスポート、およびアクセス許可の変更から適用するアクセス許可を選択し、アクセス許可の有効期間を設定してから、アクセス許可を適用する理由を入力します。

    5. [送信] をクリックします。 チケットは承認ステップに入ります。

    6. チケットを承認します。 チケットが承認されると、システムは自動的に申請する権限を付与します。

      • セキュリティコラボレーションモードで管理されるデータベースインスタンスの場合、承認プロセスをカスタマイズできます。

      • セキュリティコラボレーションモードで管理されていないデータベースインスタンスの場合、セキュリティホスティングが無効になっている場合、データベースインスタンスにログインするためのアクセス許可のみを申請できます。 デフォルトの承認者は、データベースインスタンスのDBAです。 データベースインスタンスのセキュリティホスティングが有効になっている場合、承認者はリソース所有者です。 リソース所有者が指定されていない場合、承認者はデータベースインスタンスのDBAです。

    権限の表示

    1. DMSコンソールV5.0 にログインします。

    2. 上部のナビゲーションバーで、セキュリティと仕様 > 権限センター > 権限を選択します。

      説明

      DMSコンソールをシンプルモードで使用する場合は、左上隅の2023-01-28_15-57-17.pngアイコンの上にポインターを移動し、[すべての機能] > [セキュリティと仕様] > [権限センター] > [権限] を選択します。

    3. 通常の権限を表示します。

      [通常の権限] タブで、最初のドロップダウンリストから権限タイプを選択します。 権限リストで、自分が持っている通常の権限を表示します。

    4. リソース所有者の権限を表示します。

      [マイリソース] タブで、最初のドロップダウンリストから所有者のインスタンス、マイデータベース、またはマイテーブルを選択します。 リソースリストで、所有者権限を持つリソースを表示します。

      説明

      • データベースインスタンスのアクセス許可には、データベースインスタンスへのログイン、データベースインスタンスのパフォーマンスの表示、データベースインスタンスのデータのクエリ、エクスポート、および変更のアクセス許可が含まれます。

      • プログラマブルオブジェクトのアクセス許可を照会または解放することはできません。

    リソースに対する権限の解放

    データベースインスタンス、データベース、テーブル、機密の列、行などのリソースに対する権限を解放すると、リソースのデータのクエリ、エクスポート、または変更ができなくなります。

    1. DMSコンソールV5.0 にログインします。

    2. 上部のナビゲーションバーで、セキュリティと仕様 > 権限センター > 権限を選択します。

      説明

      DMSコンソールをシンプルモードで使用する場合は、左上隅の2023-01-28_15-57-17.pngアイコンの上にポインターを移動し、[すべての機能] > [セキュリティと仕様] > [権限センター] > [権限] を選択します。

    3. 通常の権限を解放します。

      [通常の権限] タブで、リリースする通常の権限を選択し、[権限のリリース] をクリックします。

    4. リソース所有者の権限を解放します。

      [マイリソース] タブで、リリースするリソース所有者の権限を選択し、[オーナーのリリース] をクリックします。

    DMS管理者またはDBAとしての権限の管理

    インスタンス管理機能を使用した権限の管理

    1. DMSコンソールV5.0 にログインします。

    2. 上部のナビゲーションバーで、データ資産 > インスタンスを選択します。

      説明

      DMSコンソールをシンプルモードで使用する場合は、コンソールの左上隅にある2023-01-28_15-57-17.pngアイコンの上にポインターを移動し、[すべての機能] > [データアセット] > [インスタンス] を選択します。

    3. データベースインスタンスの権限を管理します。

      1. [インスタンスリスト] タブをクリックします。 管理するデータベースインスタンスを見つけ、[操作] 列の [詳細] > [権限の管理] を選択します。

      2. 表示されるダイアログボックスで、管理するユーザーを見つけ、[操作] 列のボタンをクリックして権限を管理します。 ユーザーの権限を表示したり、ユーザーから権限を取り消したり、データベースインスタンスにログインしたり、データベースインスタンスのパフォーマンスを表示したりする権限をユーザーに付与したりできます。

        • データベースインスタンスのセキュリティホスティングが無効になっている場合、データベースインスタンスにログインする権限のみをユーザーに付与できます。

        • データベースインスタンスのセキュリティホスティングが有効になっている場合、データベースインスタンスのパフォーマンスを表示し、データベースインスタンスのデータを照会、エクスポート、および変更する権限をユーザーに付与できます。

    4. データベースとテーブルの権限を管理します。

      データベースインスタンスに対してセキュリティホスティングが有効になっている場合、DMS管理者およびDBAは、データベースまたはテーブルに対する権限をユーザーに付与できます。 データベースインスタンスのセキュリティホスティングが無効になっている場合、データベースまたはテーブルに対する権限は付与できません。

      1. [データベースリスト] タブをクリックします。 管理するデータベースを見つけて、[操作] 列の [詳細] > [権限管理] を選択します。

      2. 表示されるダイアログボックスで、権限タイプを選択します。 管理するユーザーを見つけ、[操作] 列のボタンをクリックして権限を管理します。 ユーザーの権限を表示し、ユーザーから権限を取り消すことができます。 [データベースへの権限の付与] または [テーブルへの権限の付与] をクリックして、データベースまたはテーブルへの権限をユーザーに付与することもできます。

    権限テンプレートを使用した権限の管理

    詳細については、「権限テンプレートの作成」をご参照ください。

    DMS管理者としての権限の管理

    DMS管理者は、ユーザー管理機能を使用して、ユーザーに権限を付与したり、ユーザーから権限を取り消したりできます。 付与または取り消すことができる権限には、データベースインスタンス、データベース、テーブル、行、および機密列に対する権限が含まれます。

    1. DMSコンソールV5.0 にログインします。

    2. 上部のナビゲーションバーで、O&M > ユーザーを選択します。

      説明

      DMSコンソールをシンプルモードで使用する場合は、左上隅の2023-01-28_15-57-17.pngアイコンの上にポインタを移動し、[すべての機能] > [O&M] > [ユーザー] を選択します。

    3. ユーザーに権限を付与します。

      1. 管理するユーザーを検索し、[操作] 列の [権限付与] にポインターを移動して、権限の種類を選択します

      2. 表示されるダイアログボックスで、パラメーターを設定し、OK.

    4. ユーザーから権限を取り消します。

      1. 管理するユーザーを見つけ、ポインターを上に移動しますもっとで、アクション列を選択し、権限の詳細を選択します。

      2. ユーザー権限ダイアログボックスで、通常の権限タブで権限タイプを選択します。

      3. 管理するリソースを選択し、リリース権限 をクリックします。

      4. では、権限操作ダイアログボックスで、取り消しまたは解放する権限を選択し、OK をクリックします。

    よくある質問

    Q: RAM (Resource Access Management) ユーザーには、DMSコンソールでApsaraDB RDSインスタンスにログインする権限があります。 DMSコンソールでRAMユーザーとしてインスタンスにログインすると、RAMユーザーにインスタンスへのログイン権限がないことを示すメッセージが表示されます。 どうすればよいですか。

    A: Alibaba Cloudアカウントを使用して、ApsaraDB RDSインスタンスをDMSに追加してください。 その後、DMSコンソールでRAMユーザーとしてApsaraDB RDSインスタンスにログインできます。 詳細については、「Alibaba Cloudデータベースインスタンスの登録」をご参照ください。