DMS ユーザーの管理 - Data Management - Alibaba Cloud ドキュメントセンター

本トピックでは、Data Management (DMS) におけるユーザーの管理方法 (ユーザーの追加、編集、管理、およびその権限の管理など) について説明します。

前提条件

システムロールが [管理者] である必要があります。

注意事項

各テナントに [管理者] ロールを持つアカウントが少なくとも 1 つ存在することを確認してください。(これはアプリケーションによって強制されます。)
DMS で管理されている任意のユーザーに [管理者] ロールを割り当てることができます。この操作は、DMS へのログインに使用されるアカウントの種類に関係なく実行できます。たとえば、Alibaba Cloud アカウントと RAM ユーザーの両方がこの操作を実行できます。
DMS サービスをアクティブ化すると、ご利用の Alibaba Cloud アカウントに [管理者] ロールが自動的に割り当てられます。
AdministratorAccess 権限を持つ RAM ユーザーが初めて DMS を使用すると、そのユーザーには自動的に DMS の [管理者] ロールが割り当てられます。詳細については、「RAM ユーザー設定の管理」をご参照ください。
テナントは複数の Alibaba Cloud アカウントを持つことができます。ユーザー管理ページでこれらのアカウントを追加すると、システムは自動的にユーザーをテナントに追加します。テナントに参加したユーザーは、テナント情報を表示できます。
説明
Alibaba Cloud アカウントが初めて DMS にログインすると、システムはそのアカウント用に自動的にテナントを作成します。

DMS コンソールへのログイン

DMS コンソールには、次のいずれかの方法でログインできます。

Alibaba Cloud アカウントを使用して DMS コンソールにログインする。
RAM ユーザーとして DMS コンソールにログインする。
ユーザーベースのシングルサインオン (SSO) またはロールベース SSO を設定して、企業の ID 認証システムを使用して DMS コンソールにログインすることができます。

ユーザーの追加

方法1：手動でのユーザー追加

DMS コンソール V5.0 にログインします。
上部のナビゲーションバーで、O&M > Users を選択します。
説明
DMS コンソールをシンプルモードで使用している場合は、DMS コンソールの左上隅にあるアイコンにポインターを移動し、All Features > O&M > Users を選択します。
[User Management] ページで、New > Add Account を選択します。
[Add User] ダイアログボックスで、Alibaba Cloud account の UID を入力し、1 つ以上のシステム Roles を選択します。
説明
ページの右上隅にあるアイコンにポインターを移動すると、Alibaba Cloud アカウントの UID を表示できます。
[Confirm] をクリックします。

方法2：現在の Alibaba Cloud アカウントの RAM ユーザーの追加

説明

この操作を実行できるのは、現在の Alibaba Cloud アカウントと ListUser 権限が付与された RAM ユーザーのみです。
この方法で追加されたユーザーには、デフォルトで [Regular User] ロールが割り当てられます。ユーザーのシステムロールを変更するには、「ユーザーの変更」をご参照ください。

DMS コンソール V5.0 にログインします。
上部のナビゲーションバーで、O&M > Users を選択します。
説明
DMS コンソールをシンプルモードで使用している場合は、DMS コンソールの左上隅にあるアイコンにポインターを移動し、All Features > O&M > Users を選択します。
[User Management] ページで、New > Sync RAM User を選択します。
[Sync RAM User] ダイアログボックスで、表示名または UID でアカウントを検索できます。
対象の RAM ユーザーを選択し、[Add Selected Users] をクリックします。

ユーザーの編集

ユーザー情報の編集

DMS コンソール V5.0 にログインします。
上部のナビゲーションバーで、O&M > Users を選択します。
説明
DMS コンソールをシンプルモードで使用している場合は、DMS コンソールの左上隅にあるアイコンにポインターを移動し、All Features > O&M > Users を選択します。
[User Management] ページで、対象のユーザーを選択します。
ページ上部の [Edit User] をクリックします。
説明
または、対象ユーザーの [Actions] 列で [Edit] をクリックします。

[Edit User] ダイアログボックスで、次の情報を更新します。

説明

テナントのプロファイル画像をクリックして、携帯電話番号とメールアドレスを変更できます。詳細については、「個人情報と通知方法の設定」をご参照ください。

カテゴリ	設定	説明
基本情報	表示名	[User Management] ページに表示される名前です。ユーザーを識別するのに役立ちます。
	ロール	DMS は、一般ユーザー、DBA、管理者、セキュリティ管理者、構造読み取り専用の 5 つのシステムロールを提供します。
	最大クエリ数	ユーザーが 1 日にクエリできる結果セットの最大回数です。上限に達した場合、ユーザーはそれ以上のクエリを実行できません。値は整数である必要があります。事前に定義された有効期間を選択するか、カスタムで指定できます。説明公開やシステム追跡などの操作により、ユーザーが 1 日のクエリ行数または回数の上限を超えた場合は、そのユーザーを見つけて対応する上限を引き上げてください。
	最大クエリ行数	ユーザーが 1 日にクエリできる結果セットの最大行数です。上限に達した場合、ユーザーはそれ以上のクエリを実行できません。値は整数である必要があります。事前に定義された有効期間を選択するか、カスタムで指定できます。
	DingTalk ロボット	DingTalk ロボットの Webhook URL を入力します。
	Webhook	カスタム Webhook URL を入力します。既存の O&M またはメッセージ通知システムに統合できます。
	署名方法	有効な値は NONE と HMAC_SHA1 です。 NONE (デフォルト)：署名は使用されません。 HMAC_SHA1：HMAC_SHA1 (Hashed Message Authentication Code, Secure Hash Algorithm) 暗号化アルゴリズムを使用します。
	署名キー	署名キーを入力します。このパラメーターは、署名方法が HMAC_SHA1 に設定されている場合にのみ表示されます。
	通知方法	ショートメッセージ、DingTalk、メール、DingTalk ロボット、Webhook など、複数の方法を選択できます。

[Confirm Change] をクリックします。

承認済みユーザー

説明

以下の手順では、[Grant Instance] 操作を例として使用します。[Grant Permission Template]、[Grant Database]、[Grant Table]、[Grant Row]、[Grant Sensitive Column] などの他の権限付与操作も実行できます。権限の詳細については、「権限管理」をご参照ください。

DMS コンソール V5.0 にログインします。
上部のナビゲーションバーで、O&M > Users を選択します。
説明
DMS コンソールをシンプルモードで使用している場合は、DMS コンソールの左上隅にあるアイコンにポインターを移動し、All Features > O&M > Users を選択します。
対象のユーザーを選択し、ページ上部の Authorize User > Grant Instance をクリックします。
説明
または、対象ユーザーの [Actions] 列から Authorize > Grant Instance を選択します。

[Grant Instance] ダイアログボックスで、次のパラメーターを設定します。

カテゴリ	設定	必須	説明
承認済みインスタンス	N/A	はい	権限を付与するデータベースインスタンスを 1 つ以上選択します。
権限設定	権限タイプ	はい	非セキュリティコラボレーションモードのインスタンスは [Instance Logon] をサポートします。セキュリティコラボレーションモードのインスタンスは [Performance View] をサポートします。
権限設定	有効期限	はい	権限の有効期限を選択します。

ユーザーの無効化

ユーザーを無効化すると、そのユーザーは DMS にログインできなくなります。ただし、既存の権限と設定データは取り消されたり解放されたりしません。ユーザーを有効化すると、元の権限と設定データが復元され、再び使用できるようになります。

説明

無効化されたユーザーは、引き続きユーザーのクォータを消費します。
データベースインスタンスの DBA であるユーザーを無効化することはできません。元のユーザーを無効化する前に、データベースインスタンスの DBA を別のユーザーに変更する必要があります。データベースインスタンスの DBA を変更する方法の詳細については、「インスタンスの編集」をご参照ください。

DMS コンソール V5.0 にログインします。
上部のナビゲーションバーで、O&M > Users を選択します。
説明
DMS コンソールをシンプルモードで使用している場合は、DMS コンソールの左上隅にあるアイコンにポインターを移動し、All Features > O&M > Users を選択します。
対象のユーザーを選択し、ページ上部から Operate User > Disable User を選択します。
[Confirm] ダイアログボックスで、[Confirm] をクリックします。

ユーザーの削除

ユーザーを削除すると、そのユーザーは DMS にログインできなくなり、すべてのデータ所有者設定と権限データが DMS から消去されます。

説明

削除するユーザーは、どのリソースにも関連付けられていてはなりません。たとえば、ユーザーはインスタンスの DBA やセキュリティルールの承認者であってはなりません。
ユーザーを削除すると、そのすべてのデータが削除されますが、ユーザーレコードや操作ログには影響しません。代わりに、ユーザーの [Account Information] に [Deleted] タグが表示されます。
削除されたユーザーは、ユーザーのクォータを消費しません。

DMS コンソール V5.0 にログインします。
上部のナビゲーションバーで、O&M > Users を選択します。
説明
DMS コンソールをシンプルモードで使用している場合は、DMS コンソールの左上隅にあるアイコンにポインターを移動し、All Features > O&M > Users を選択します。
対象のユーザーを選択し、ページ上部から Operate User > Delete User を選択します。
[Confirm] ダイアログボックスで、[Confirm] をクリックします。

ユーザーの有効化

ユーザーを有効化すると、無効化されたユーザーの元の権限とデータ設定が復元されます。また、以前に削除されたユーザーが再び DMS にログインできるようになります。ただし、削除されたユーザーは新しいユーザーとして扱われます。元の権限とデータ設定は消去され、再度権限をリクエストする必要があります。

DMS コンソール V5.0 にログインします。
上部のナビゲーションバーで、O&M > Users を選択します。
説明
DMS コンソールをシンプルモードで使用している場合は、DMS コンソールの左上隅にあるアイコンにポインターを移動し、All Features > O&M > Users を選択します。
対象のユーザーを選択し、ページ上部から Operate User > Enable User を選択します。
[Confirm] ダイアログボックスで、[Confirm] をクリックします。

ユーザーアクセスの制御の有効化

ユーザーに対してメタデータアクセスの制御を有効にすると、次の制限が適用されます。

DMS で承認されたデータベースのみをクエリおよびアクセスできます。コンソールの上部ナビゲーションバーで、Security and Specifications > Permission Center > My Permissions を選択して、付与された権限をクエリします。
ユーザーは、インスタンス内の他のデータベースや他のインスタンスを表示できません。また、他のインスタンスやデータベースに対する権限をリクエストすることもできません。

DMS コンソール V5.0 にログインします。
上部のナビゲーションバーで、O&M > Users を選択します。
説明
DMS コンソールをシンプルモードで使用している場合は、DMS コンソールの左上隅にあるアイコンにポインターを移動し、All Features > O&M > Users を選択します。
対象ユーザーの [Actions] 列で、More > Access Control を選択します。
説明
複数のユーザーを選択し、ページ上部の [Access Control] ボタンをクリックして、アクセス制御をバッチで有効にすることもできます。
[User Access Control] ダイアログボックスで、[Metadata Access Control] を有効にし、[Confirm] をクリックします。

よくある質問

Q：RAM ユーザーに DMS の管理者または DBA ロールを割り当てることはできますか。
A：はい、できます。ロールの設定はアカウントの種類に依存しません。
Q：ユーザーのデータベース操作に疑わしい点がある場合、どうすればよいですか。
A：2 つの方法で調査できます。
- ユーザーの権限を保持したい場合は、ユーザーを無効化できます。ユーザーが無効化されると、DMS サービスにログインできなくなります。その後、DMS の ActionTrail 機能を使用して、ユーザーが実行したすべてのデータベース操作を表示できます。調査の結果、問題がなければ、ユーザーを再度有効化できます。ユーザーの元の権限と設定が復元され、すぐに作業を再開できます。
- ユーザーの権限を保持する必要がない場合は、ユーザーを削除できます。ユーザーが削除されると、DMS サービスにログインできなくなり、すべての権限、データ所有者の設定、その他の設定が消去されます。
Q：管理者として、他のアカウントをすばやく見つけるにはどうすればよいですか。
A：コンソールの上部ナビゲーションバーで、O&M > User Management を選択します。[User Management] ページで、対象のアカウントを検索します。アカウント、メール、表示名、Alibaba Cloud UID の各フィールドでキーワード検索ができます。また、アカウントのステータスでフィルタリングすることもできます。
Q: 無効化されたユーザーでも DMS にログインできますか？
A：いいえ、できません。
Q：ユーザーを無効化しようとすると、そのユーザーはインスタンスの DBA であり無効化できないというプロンプトが表示されます。どうすればよいですか。
A：インスタンスを編集して DBA を変更できます。
説明
DMS で DBA システムロールを持つユーザーのみが、インスタンスの DBA として割り当てられます。インスタンスの DBA として割り当てたいユーザーが DBA ロールを持っていない場合は、ユーザー管理ページに移動してユーザーのロールを編集してください。
Q：DMS で削除したユーザーがユーザーリストから完全に削除されないのはなぜですか。
A：現在、削除されたユーザーはリスト上で削除済みとしてマークされるだけで、DMS から完全に消去することはできません。
Q：インスタンスやデータベースなどのリソースに対するユーザーの既存の権限を解放するにはどうすればよいですか。
A：管理者または DBA として、[User Management] に移動し、対象のユーザーを見つけます。[Actions] 列で、More > Permission Details を選択します。次に、解放したいリソース権限を選択し、[Release Permission] をクリックします。
Q：RAM で名前が更新された後、DMS のユーザー管理で RAM ユーザーの表示名が更新されないのはなぜですか。
A：RAM ユーザーの表示名は、最初の同期時にのみ RAM から DMS に同期されます。その後の RAM での表示名の変更は、自動的に DMS には同期されません。DMS で表示名を更新するには、Operations Management > User Management に移動し、[Edit] をクリックし、[Basic Information] セクションの [Display Name] を変更して、変更を保存します。
Q：一部のデータベースにのみ権限を持つ一般ユーザーが、DMS にログインするとすべてのデータベースが表示されます。なぜですか。
A：これは想定される動作です。DMS コンソールでは、左側のナビゲーションウィンドウのデータベースはインスタンスごとに表示されるため、インスタンス内のすべてのデータベースが表示されます。一般ユーザーは、権限を持つデータベースに対してのみ読み取りおよび書き込み操作を実行できます。ユーザーの表示を、権限を持つインスタンスとデータベースのみに制限したい場合は、メタデータアクセスの制御を設定する必要があります。

Data Management:ユーザーの管理