データベース管理 - Data Management - Alibaba Cloud ドキュメントセンター

Data Management (DMS) のセキュリティホスティング機能は、従来のデータベース管理ソリューションにおける問題に対処できます。たとえば、データベースアカウントとパスワードの漏洩、複数のデータベースとアカウントの管理の複雑さ、不明確な権限管理によるリソースへの不正アクセスなどが挙げられます。セキュリティホスティング機能をインスタンスで有効にすると、インスタンスはログオン不要の状態になり、DMS はきめ細かい権限管理のためのアクセス制御機能を提供します。データベースアカウントとパスワードを入力しなくても、インスタンスやデータベースなどの承認されたリソースにアクセスできます。

背景情報

従来のデータベース管理	DMS のセキュリティホスティング
複数のデータベースとアカウントの管理は難しく、権限付与操作は複雑です。権限が時間内に取り消されない場合、データ侵害が発生する可能性があります。さらに、データベースを操作する担当者を追跡することは困難です。	Alibaba グループにおける DMS のベストプラクティスとして、セキュリティホスティングは企業にデータベース権限管理ソリューションを提供し、クラウド全体でデータベースの権限を管理するのに役立ちます。

セキュリティホスティング有効化前後の比較

項目	セキュリティホスティング有効化前	セキュリティホスティング有効化後
データベースアカウントとパスワード	データベースにログインするには、データベースアカウントとパスワードを使用する必要があります。データベースアカウントまたはパスワードが漏洩する可能性があります。	データベースにログインするためにデータベースアカウントとパスワードを使用する必要はありません。
インスタンスログインステータス	ログインステータスが無効になる可能性があり、24 時間後にデータベースが切断されます。その後、再度データベースにログインする必要があります。	データベースにログインする必要はなく、インスタンスに対するクエリ権限と変更権限があります。
複数アカウントと複数データベース	データベースごとにアカウントを個別に管理する必要があります。	Alibaba Cloud アカウントまたはシングルサインオン (SSO) を使用してデータベースにアクセスできます。
データベース権限	インスタンスログイン権限のみ管理できます。	DMS では、データベースインスタンス、データベース、テーブル、行、列レベルで権限を管理できます。 DMS では、リソース権限のライフサイクルを管理し、権限の有効期限を指定して権限を自動的に取り消すこともできます。
インスタンスログイン権限	インスタンスログイン権限を個別に申請する必要があります。	データベースにログインすることなく、データベースを使用できます。一般ユーザーの場合は、ビジネス要件に基づいて、リソースに対するクエリ、エクスポート、変更の権限を申請できます。

課金

セキュリティホスティング機能は無料です。

使用上の注意

データベースインスタンスが安定的な変更モードまたは柔軟な管理モードで管理されている場合は、セキュリティホスティングを手動で有効にする必要があります。詳細については、このトピックのセキュリティホスティングを有効にするセクションをご参照ください。
説明
データベースインスタンスがセキュリティコラボレーションモードで管理されている場合、セキュリティホスティングはデフォルトで有効になっています。
DMS が提供する機能を使用してデータベースを管理できるように、DMS でデータベースインスタンスのセキュリティホスティングを有効にする場合は、権限の高いデータベースアカウントを指定することをお勧めします。
インスタンスのセキュリティホスティングを有効にしても、データベースとデータベースへの接続は影響を受けません。

フローチャート

セキュリティホスティングを有効にする

DMS 管理者またはデータベース管理者 (DBA) の場合は、DMS コンソール 5.0 にログインし、インスタンスのセキュリティホスティングを有効にすることができます。

DMS に登録されていないデータベースインスタンスのセキュリティホスティングを有効にする
DMS 管理者または DBA の場合は、データベースインスタンスを DMS に登録するときに、セキュリティホスティングを有効にすることができます。詳細については、「Alibaba Cloud データベースインスタンスを登録する」および「サードパーティクラウドサービスまたは自己管理データベースでホストされているデータベースを登録する」をご参照ください。
DMS に登録されているデータベースインスタンスのセキュリティホスティングを有効にする
DMS 管理者または DBA の場合は、DMS コンソールにログインできます。ホームページの左側の [データベースインスタンス] セクションで、管理するデータベースインスタンスを右クリックし、[編集] を選択します。表示されるダイアログボックスで、[セキュリティホスティング] を有効にします。詳細については、「データベースインスタンスを変更する」をご参照ください。

セキュリティホスティングを無効にする

ログオン不要のインスタンスリストからインスタンスを削除する場合は、セキュリティホスティングを無効にします。

DMS 管理者または DBA の場合は、DMS コンソールにログインできます。ホームページの左側の [データベースインスタンス] セクションで、管理するデータベースインスタンスを見つけ、[編集] を選択します。表示されるダイアログボックスで、[アクセスモード] パラメーターを [セキュリティホスティングを無効にする (推奨しません)] に設定します。

重要

セキュリティホスティングが無効になると、インスタンスの権限構成が無効になり、データベースにログインするときにデータベースアカウントとパスワードを使用する必要があります。

FAQ

Q: セキュリティホスティングが有効になった後、権限のないユーザーがインスタンス情報を表示できないようにするにはどうすればよいですか?
A: 次の操作を実行します。
1. RAM 権限検証を無効にします。
  [O&M] > [構成管理] を選択します。[構成管理] ページで、[RAM 権限検証を有効にするかどうか] を無効にします。これにより、RAM ユーザーは既存の RAM 権限を使用して DMS のインスタンスで操作を実行できなくなります。
2. インスタンスのアクセス制御を有効にします。
  説明
  セキュリティコラボレーションモードで管理されているインスタンスに対してのみアクセス制御を有効にできます。
  [データ資産] > [インスタンス] を選択します。[インスタンス] ページで、管理するインスタンスを見つけ、[アクション] 列の [詳細] > [アクセス制御] を選択し、アクセス制御を有効にします。アクセス制御が有効になると、承認されたユーザーのみがインスタンスを検索できます。詳細については、「アクセス制御」をご参照ください。
Q: セキュリティホスティングが有効になった後、ユーザーが権限のないインスタンス情報を表示できないようにするにはどうすればよいですか?
A: 次の操作を実行します。
1. RAM 権限検証を無効にします。
  [O&M] > [構成管理] を選択します。[構成管理] ページで、[RAM 権限検証を有効にするかどうか] を無効にします。これにより、RAM ユーザーは既存の RAM 権限を使用して DMS のインスタンスで操作を実行できなくなります。
2. ユーザーのアクセス制御を有効にします。
  [O&M] > [ユーザー] を選択します。[ユーザー] ページで、管理するユーザーを見つけ、[アクション] 列の [詳細] > [アクセス制御] を選択し、アクセス制御を有効にします。アクセス制御が有効になると、ユーザーは承認されたインスタンスまたはデータベースのみを検索できます。詳細については、「アクセス制御」をご参照ください。

セキュリティホスティング機能の詳細については、「セキュリティホスティングに関する FAQ」をご参照ください。

Data Management:セキュリティホスティング