セキュリティルールの管理 - Data Management - Alibaba Cloud ドキュメントセンター

セキュリティルールは、ドメイン固有言語 (DSL) を使用して、データベースのきめ細かな管理を実現します。これらのルールにより、データのクエリ、エクスポート、変更などのデータ管理 (DMS) 機能を管理できます。このようにして、DMSでデータベースの運用ガイドラインを策定し、開発プロセスを定義できます。このトピックでは、セキュリティルールを作成、設定、および適用する方法について説明します。

前提条件

DMS管理者またはデータベース管理者 (DBA) です。ユーザーのロールを表示する方法の詳細については、「システムロールの表示」をご参照ください。
データベースインスタンスは [Security Collaboration] モードで管理されます。
説明
Flexible ManagementまたはStable Changeモードで管理されるデータベースインスタンスは、デフォルトのセキュリティルールのみをサポートします。

シナリオ

シナリオ	解決策
電子メールやインスタントメッセージング (IM) サービスなどの外部通信システムを使用して、他のユーザーと通信し、データ変更を適用する必要があります。オンラインプロセス管理システムが必要です。	セキュリティルールは、R&Dプロセス、R&D仕様、および承認プロセスを統合します。セキュリティルールを使用してDMS機能を調整し、複数のオンライン開発者がデータベースを共同で管理できるようにします。セキュリティルールは、さまざまなSQLエンジンをサポートします。セキュリティルールをカスタマイズして、SQL文を確認および管理できます。セキュリティルールは強力な承認機能を提供します。さまざまなユーザーの動作に基づいて承認プロセスをカスタマイズできます。
データベースの開発プロセスを管理して、異なる環境のデータベース間でスキーマの整合性を確保する必要があります。たとえば、開発環境でデータベースを設計および検証し、共同デバッグとテストのためにデータベースを環境にパブリッシュします。共同デバッグとテストの後、データベースをステージング環境にパブリッシュします。ステージング環境でデータベースが検証されたら、データベースを本番環境にパブリッシュします。
データベースのスキーマ設計の標準を管理したい場合。たとえば、テーブルは主キーを使用して作成する必要があり、既存のテーブルに追加されるフィールドは空にすることはできません。
データやテーブルの削除に使用されるSQL文など、リスクの高いSQL文の実行を許可しません。 `SELECT`文のみが許可されます。
データベース操作に対して差別化された承認プロセスが必要です。例えば、データを書き込むための承認は不要であり、10,000以下のデータレコードを変更するためには経営者の承認が必要であり、10,000以上のデータレコードを変更するためには経営者とDBAの承認が必要である。
データベースに対する権限を付与するための差別化された承認プロセスが必要です。たとえば、テスト環境のデータベースに対するアクセス許可を付与する場合には承認は必要ありません。また、運用環境のデータベースに対するアクセス許可を付与する場合には、ビジネスマネージャーの承認が必要です。

セキュリティルールの作成

異なる環境のデータベースに対して複数のセキュリティルールセットを作成できます。

DMSコンソールV5.0 にログインします。
上部のナビゲーションバーで、セキュリティと仕様> 権限センター> 権限テンプレートを選択します。
説明
DMSコンソールをシンプルモードで使用する場合は、左上隅のアイコンの上にポインターを移動し、[すべての機能] > [セキュリティと仕様] > [権限センター] > [権限テンプレート] を選択します。
[セキュリティルール] タブの左上隅にある [ルールセットの作成] をクリックします。

[ルールセットの作成] ダイアログボックスで、パラメーターを設定します。下表に、各パラメーターを説明します。

パラメーター	説明
エンジンタイプ	セキュリティルールセットを作成するデータベースエンジン。
ルールセット名	セキュリティルールセットの名前。
補足	簡単に識別できるように設定されたセキュリティルールに関する情報。たとえば、セキュリティルールセットの適用範囲を入力できます。

[送信] をクリックします。

セキュリティルールを設定する

セキュリティルールセットの [詳細] ページで、デフォルトのセキュリティルールの設定を変更したり、ビジネス要件に基づいてカスタムセキュリティルールを作成したりできます。

たとえば、[SQLコンソール] タブで [結果セットがエクスポートをサポートしているかどうか] ルールを無効にして、データベースのSQLConsoleタブでクエリ結果セットのエクスポートを禁止できます。

DMSコンソールV5.0 にログインします。
上部のナビゲーションバーで、セキュリティと仕様> 権限センター> 権限テンプレート を選択します。
説明
DMSコンソールをシンプルモードで使用する場合は、左上隅のアイコンの上にポインターを移動し、[すべての機能] > [セキュリティと仕様] > [権限センター] > [権限テンプレート] を選択します。
[セキュリティルール] タブで、作成したセキュリティルールセットを見つけ、[操作] 列の [編集] をクリックします。
説明
セキュリティルールセットの作成方法の詳細については、「セキュリティルールの作成」をご参照ください。
[詳細] ページの左側のナビゲーションウィンドウで、セキュリティルールを設定するタブをクリックします。
セキュリティルールを設定します。 DMSは、チェックポイントに多数の定義済みの設定とルールを提供します。ビジネス要件に基づいて、設定を変更したり、ルールの状態を変更したりできます。
説明
DMSでタスクが送信されると、DMSは、対応するチェックポイントに設定された関連ルールに対してタスクを自動的にチェックします。タスクは、関連するすべてのセキュリティルールによって検証された場合にのみ実行が許可されます。

オプション: 定義済みの設定とルールが要件を満たさない場合は、次の操作を実行してカスタムセキュリティルールを作成します。

[操作] の横にある [ルールの作成] をクリックします。

[ルールの作成] ダイアログボックスでパラメーターを設定し、[送信] をクリックします。下表に、各パラメーターを説明します。

パラメーター	説明
チェックポイント	セキュリティルールを作成するチェックポイント。説明基本構成項目チェックポイントのセキュリティルールは作成できません。
テンプレートデータベース	オプションです。セキュリティルールを作成するルールテンプレート。 [テンプレートデータベースからロード] をクリックして、必要に応じてテンプレートをロードできます。
ルール名	セキュリティルールの名前。
ルールDSL	セキュリティルールのDSLステートメント。 DSL構文の詳細については、「セキュリティルールのDSL構文」をご参照ください。 DSLステートメントを作成するときは、右側に表示されている要素、アクション、関数、および演算子を使用できます。ルールテンプレートを読み込む場合は、テンプレートに定義されているDSLステートメントを変更できます。

作成したセキュリティルールに対して指定したチェックポイントをクリックします。表示されるリストで、作成したセキュリティルールを見つけ、[操作] 列の [有効化] をクリックします。 [プロンプト] メッセージで、[OK] をクリックします。
説明
デフォルトでは、ルールの作成後は [無効] 状態になります。

セキュリティルールセットの [詳細] ページの異なるタブには、異なるチェックポイントが表示されます。詳細については、以下のトピックをご参照ください。

セキュリティルールの適用

次のいずれかの方法を使用して、必要に応じて1つ以上のデータベースインスタンスにセキュリティルールを適用できます。

方法 1

DMSコンソールV5.0 にログインします。
[インスタンスリスト] タブをクリックします。
1つ以上のインスタンスを選択し、[一括編集] をクリックします。
説明
インスタンスは同じデータベースエンジンを実行する必要があります。
[バッチでインスタンス情報を編集] ダイアログボックスで、[制御モード] パラメーターを [セキュリティコラボレーション] に設定します。
インスタンスに適用するセキュリティルールを [セキュリティルール] ドロップダウンリストから選択し、[OK] をクリックします。

方法 2

DMSコンソールV5.0 にログインします。
左側のインスタンスリストで、セキュリティルールを適用するインスタンスを右クリックします。
[制御モード] > [セキュリティコラボレーション] を選択し、必要に応じてセキュリティルールを選択します。
[制御モードの変更] メッセージで、[OK] をクリックします。