データ管理 (DMS) は、包括的かつきめ細かい方法でデータセキュリティを管理するために使用できる機能を提供します。 データベースインスタンス、データベース、テーブル、列、行などのリソースに対する権限を管理できます。 特定のリソースに対するログイン、クエリ、エクスポート、および変更の権限をユーザーに付与できます。
権限のカテゴリとタイプ
権限カテゴリ | 権限タイプ | 説明 | セキュリティホスティングが有効かどうか |
操作権限 (通常の権限) | データベースインスタンスの権限 | データベースインスタンスにログインするための権限。 データベースインスタンスへのログイン権限を取得したら、対応するデータベースアカウントとパスワードを使用してデータベースインスタンスにログインできます。 説明 データベースアカウントとパスワードは、企業内の関連する所有者によって管理されます。 | 任意 |
データベースインスタンスのパフォーマンスを表示する権限。 データベースインスタンスのセキュリティホスティングが有効になっている場合、パフォーマンスの詳細を表示する前に、データベースインスタンスのパフォーマンスを表示する権限を取得する必要があります。 詳細については、「データベースインスタンスのパフォーマンスの詳細の表示」をご参照ください。 | 必須 | ||
アクセス制御が有効になっている機密の列と行のデータを除く、データベースインスタンスのデータを照会、エクスポート、および変更するための権限。 | |||
データベースの権限 | アクセス制御が有効になっている機密の列と行のデータを除く、データベースのデータを照会、エクスポート、および変更するための権限。 | ||
テーブルの権限 | テーブルのデータを照会、エクスポート、および変更するためのアクセス許可。アクセス制御が有効になっている機密の列と行のデータは除きます。 | ||
機密列の権限 | 機密列のデータを照会、エクスポート、および変更するための権限。 説明 機密列の権限を申請する前に、次の要件が満たされていることを確認してください。
| ||
行の権限 | 行のデータを照会、エクスポート、および変更するための権限。 詳細については、「行レベルのアクセス制御の設定」をご参照ください。 説明 行のアクセス許可を申請する前に、行が属するデータベースとテーブルに対するアクセス許可があることを確認してください。 | ||
プログラマブルオブジェクトの権限 | プログラマブルオブジェクトのデータを照会、エクスポート、および変更するための権限。 データベースインスタンスのセキュリティホスティングが有効になっている場合、プログラマブルオブジェクトのデータを照会、エクスポート、または変更する前に、プログラマブルオブジェクトに対する権限を取得する必要があります。 詳細については、「ストアドルーチンを使用したプログラマブルオブジェクトの変更」をご参照ください。 | ||
データ権限 (リソース所有者権限) | インスタンス所有者 | リソースに対する所有者の権限。 リソースの所有者は、リソースに対するアクセス許可が付与されているユーザーを表示し、ユーザーにリソースアクセス許可を付与し、ユーザーからリソースアクセス許可を取り消すことができます。 リソースは、データベースインスタンス、データベース、またはテーブルです。 さらに、所有者は、アクセス制御が有効になっている機密の列と行のデータを除いて、リソースのデータを照会できます。 説明 データベースインスタンスのセキュリティホスティングが無効になっている場合、DMS管理者とデータベース管理者 (DBA) のみがインスタンス所有者を追加または削除できます。 インスタンス所有者を管理するには、次の操作を実行します。DMSコンソールにログインします。 左側の [データベースインスタンス] セクションで、管理するデータベースインスタンスを右クリックし、 を選択します。 表示されるダイアログボックスで、インスタンス所有者を追加または削除します。 | 必須 |
データベース所有者 | |||
テーブルの所有者 | |||
メタデータアクセス制御 | メタデータアクセス制御 |
説明 データベースインスタンスまたはデータベースに対して1種類のデータ権限または操作権限が付与されている場合は、そのデータベースインスタンスまたはデータベースに対する権限が付与されます。 | 必須 |
権限の説明:
Query: SQLコンソールでクエリ文を実行するための権限。
Change permissions: SQLコンソールで変更文を実行するための権限、および承認なしにデータを変更するための権限ではなく、データ変更チケットとデータベースおよびテーブルの同期チケットを送信するための権限。 DMS管理者は、SQLコンソールで実行できるSQL文の種類に制約を設定できます。
エクスポート権限: 承認なしでデータをエクスポートする権限の代わりに、データエクスポートチケットを送信する権限。
次のステップ
リソース権限のカテゴリとタイプを確認したら、次の操作を実行できます。
異なるロールを使用してリソース権限を管理します。 詳細については、「権限の管理」をご参照ください。
付与された操作権限とデータ権限を表示します。 詳細については、「権限の管理」トピックの「権限の表示」セクションをご参照ください。
異なるシナリオで、データベースとテーブルに対して異なる権限承認プロセスを設定します。 次の内容は、シナリオを説明しています。
本番データと、コアビジネスに関連するデータベースおよびテーブルの厳格な承認プロセスを設定します。
非中核ビジネスまたはテスト環境に関連するデータの単純な承認プロセスを設定します。 または、非中核ビジネスまたはテスト環境に関係するデータに、承認なしに直接アクセスできるようにすることもできます。
詳細については、「承認プロセスの設定」をご参照ください。
アカウント管理機能を使用して、データベースアカウントの他の種類の権限を管理します。 詳細については、「アカウント権限管理」をご参照ください。
説明DMSは、MySQL、PostgreSQL、およびMongoDBデータベースに対してのみアカウント管理機能を提供します。 他のエンジンのデータベースの場合は、対応するコンソールに移動してデータベースアカウントを管理できます。