Alibaba GroupのData Management (DMS) のベストプラクティスとして、セキュリティホスティングは、データベース権限管理ソリューションのコレクションを企業に提供し、企業がクラウド全体のデータベースに対する権限を管理するのに役立ちます。
紹介ビデオ
セキュリティホスティングの有効化前後の比較
項目 | セキュリティホスティングを有効にする前 | セキュリティホスティングの有効化後 |
データベースアカウントとパスワード | データベースにログインするには、データベースアカウントとパスワードを使用する必要があります。 データベースアカウントまたはパスワードが漏洩する可能性があります。 | データベースへのログインにデータベースアカウントとパスワードを使用する必要はありません。 |
インスタンスのログイン状況 | データベースにログインした後、ログインセッションには有効期間があります。 ログインセッションは最大24時間有効です。 | データベースに対する権限がある場合は、データベースにログインする必要なしにデータベースを使用できます。 |
複数のアカウントと複数のデータベース | データベースごとにアカウントを個別に管理する必要があります。 | Alibaba Cloudアカウントまたはシングルサインオン (SSO) を使用してデータベースにアクセスできます。 |
データベースの権限 | インスタンスのログイン権限のみを管理できます。 | DMSを使用すると、データベースインスタンス、データベース、テーブル、行、および列レベルで権限を管理できます。 リソース権限のライフサイクルを管理し、権限の有効期限を指定して権限を自動的に取り消すこともできます。 |
インスタンスのログイン権限 | インスタンスのログイン権限を個別に申請する必要があります。 | データベースにログインする必要なく、データベースを使用できます。 通常のユーザーの場合は、ビジネス要件に基づいて、リソースに対するクエリ、エクスポート、およびアクセス許可の変更を申請できます。 |
課金
セキュリティホスティング機能は無料です。
使用上の注意
データベースインスタンスが安定した変更または柔軟な管理モードで管理されている場合は、セキュリティホスティングを手動で有効にする必要があります。 詳細については、このトピックのセキュリティホスティングの有効化セクションを参照してください。
説明データベースインスタンスがSecurity Collaborationモードで管理されている場合、セキュリティホスティングはデフォルトで有効になっています。
DMSが提供する機能を使用してデータベースを管理できるようにするには、DMSでデータベースインスタンスのセキュリティホスティングを有効にするときに、より高いアクセス許可を持つデータベースアカウントを指定することをお勧めします。
フローチャート
データベースインスタンスのセキュリティホスティングが有効になっているかどうかの確認
DMS コンソールにログインします。 ホームページの左側にある [データベースインスタンス] セクションで、管理するデータベースインスタンスを見つけ、インスタンス上にポインターを移動して、データベースインスタンスのセキュリティホスティングが有効になっているかどうかを確認します。
セキュリティホスティングの有効化
DMSに登録されていないデータベースインスタンスのセキュリティホスティングを有効にする
DMS管理者またはデータベース管理者 (DBA) の場合、データベースインスタンスをDMSに登録するときに、セキュリティホスティングを有効にすることができます。 詳細については、「Alibaba Cloudデータベースインスタンスの登録」および「サードパーティのクラウドサービスまたは自己管理データベースでホストされているデータベースの登録」をご参照ください。
DMSに登録されているデータベースインスタンスのセキュリティホスティングを有効にする
DMS管理者またはDBAの場合、DMSでデータベースインスタンスを変更するときにセキュリティホスティングを有効にできます。 詳細は、「データベースインスタンスの変更」をご参照ください。
安全なホスティングの無効化
DMS管理者またはDBAの場合、DMSでデータベースインスタンスを変更するときにセキュリティホスティングを無効にできます。
データベースインスタンスのセキュアホスティングを無効にすると、データベースインスタンスの権限設定が無効になります。
次に何をすべきか
データベースインスタンスのセキュリティホスティングを有効にした後、次の操作を実行する必要があります。
権限を取得します。
通常のユーザーとして権限を申請します。
チケットを起票してアクセス許可を申請する: データベース内のデータを照会、エクスポート、または変更すると、DMSは必要なアクセス許可があるかどうかを確認します。 必要な権限がある場合は、操作を直接実行できます。 必要な権限がない場合は、チケットを起票して権限を申請する必要があります。 詳細については、「権限の管理」トピックの「チケットを起票して権限を申請する」セクションをご参照ください。
DMS管理者、DBA、またはインスタンス所有者として権限を付与します。 詳細については、「権限の管理」をご参照ください。
説明企業に多数の従業員またはデータベースがある場合、同じビジネス属性を持つデータベースインスタンス、データベース、テーブルなどのリソースをアクセス許可テンプレートに追加し、1人以上のユーザーにアクセス許可テンプレートのリソースを管理する権限を付与できます。 詳細については、「権限テンプレートの作成」をご参照ください。
所有しているリソース権限を表示します。 詳細については、「所有権限の表示」をご参照ください。
他のユーザーのリソース権限をDMS管理者として表示し、データベースインスタンスおよびデータベースに対する権限を持つユーザーをDMS管理者またはDBAとして表示します。 詳細については、「権限の管理」トピックの「DMS管理者としての権限の管理」セクションをご参照ください。
DMS管理者またはDBAとして権限変更操作の詳細を追跡します。 詳細については、「オペレーション監査機能の使用」をご参照ください。
よくある質問
セキュリティホスティング機能の詳細については、「セキュリティホスティングに関するFAQ」をご参照ください。