このトピックでは、Data Management (DMS) を企業または組織の開発プラットフォームに統合する方法について説明します。
統合プロセス
ID認証を行います。
Resource Access Management (RAM) ユーザーを使用してDMSにログインします。 DMSを使用する前に、RAMアカウントが作成されていることを確認してください。
DMSを初期化します。
DMSをエンタープライズ開発プラットフォームに統合します。
インスタンスを登録します。
DMSを使用してインスタンスを管理できるのは、DMSにインスタンスを登録した後だけです。
ステップ1: ID認証
Alibaba Cloud ID認証
企業または組織がAlibaba Cloudで完全なRAMアカウントシステムを作成している場合は、ID認証ステップをスキップできます。
RAMユーザーの作成方法の詳細については、「RAMユーザーの作成」をご参照ください。
自己管理IDシステム
企業または組織にAlibaba Cloudと統合されていない自己管理型ID認証システムがある場合、IDaaS (identity as a Service) を使用して自己管理型システムをAlibaba Cloud RAMアカウントシステムと統合することを推奨します。
次の図に示すように、IDaaSを使用してAlibaba Cloud RAMアカウントシステムと統合する場合、エンタープライズはIDプロバイダー (IdP) として機能します。
IDaaS EIAMインスタンスを作成します。
最初に Alibaba Cloud IDaaSコンソールに移動してインスタンスを作成します。 詳細については、「1 インスタンスを無料で作成する」をご参照ください。
IDaaSにidPをバインドします。
IDaaSにバインドされているidPを使用して、IDaaSアプリケーションにログオンできます。 たとえば、DingTalkを使用してAlibaba Cloud SSOにログインできます。 元のアカウントシステムのアカウントをIDaaSに同期することもできます。 詳細は、「IdP」をご参照ください。
IDaaSアカウントを作成します。
手動操作を実行するか、CreateUser APIを呼び出してIDaaSアカウントを作成できます。 詳細については、「アカウントの作成」および「CreateUser」をご参照ください。
手順2を実行して、内部エンタープライズアカウントをIDaaSに同期した場合は、この手順をスキップできます。
アプリケーションを作成します。
IDaaSではアプリケーションが重要です。 このセクションでは、Alibaba CloudユーザーまたはロールSSOアプリケーションを作成する方法について説明します。
Alibaba CloudユーザーSSOアプリケーションの作成
詳細については、「3アプリケーションの作成」をご参照ください。
ユーザーベースのSSOを有効にしている場合は、既存のデータが上書きされた後にロールバックが失敗しないように、事前に既存のメタデータドキュメントを保存する必要があります。 また, 新しいメタデータファイルを関連付けた後, RAMユーザーのSSO設定が無効になります。
アプリケーションを作成した後、アカウント同期機能を使用してIDaaSアカウントをRAMに同期できます。これにより、アプリケーションを手動で作成する必要がなくなります。 詳細については、「アカウントの同期」をご参照ください。
Alibaba CloudロールSSOアプリケーションの作成
ロールベースSSOを使用する場合、複数のRAMユーザーを作成する必要はありません。 他のユーザーはRAMロールを使用してAlibaba Cloudにログインできます。
IDaaSを使用してアプリケーションにログインします。
詳細については、「4 SSOでログインする」をご参照ください。
管理者がユーザーベースSSOを設定すると、従業員アリスはAlibaba Cloud管理コンソールにログインできます。 下図にプロセスを示します。 詳細については、「ユーザーベースSSOの概要」をご参照ください。
ステップ2: DMSの初期化
管理者がAlibaba Cloud ID認証システムとの統合を完了すると、エンタープライズユーザーはAlibaba Cloudアカウント (Alibaba Cloudアカウント、RAMユーザー、RAMロールなど) を使用してデータ管理 (DMS) にログインできます。 ユーザーが初めてDMSにログオンすると、DMSはそのユーザーをDMS管理者として設定します。 他のログオンユーザーは通常ユーザーとして初期化されます。
DMSでのユーザーのシステム役割
DMSには、通常ユーザー、セキュリティ管理者、データベース管理者 (DBA) 、DMS管理者、スキーマ読み取り専用ユーザーの5つのシステムロールがあります。
システム権限は、ロールの種類によって異なります。 各役割タイプが適用されるグループと、各役割タイプでサポートされている機能に基づいて、適切なシステム役割をユーザーに割り当てることができます。 詳細については、「システムロール」をご参照ください。
ユーザー登録
次のセクションでは、企業の従業員をDMSに追加する方法について説明します。
自動登録
Alibaba Cloudアカウントを使用してDMSにログインして初期化すると、システムはアカウント内のすべてのRAMユーザーをDMSに自動的に同期します。
Alibaba Cloud RAMユーザーを使用してDMSにログインして初期化する場合、システムは他のアカウントをDMSに自動的に同期することはできません。 自動同期機能を使用するには、Alibaba CloudアカウントをDMSに手動で追加する必要があります。 その後、システムは自動的にアカウント内のすべてのRAMユーザーをDMSに追加します.
同期操作の実行は、DMSのグローバル構成項目の設定に依存します。 デフォルトでは、設定項目は有効になっています。 詳細については、「構成管理」をご参照ください。
手動登録
DMSコンソールV5.0 にログインします。
左上隅のアイコンの上に
ポインタを移動し、 を選択します。 DMSコンソールを通常モードで使用する場合は、上部のナビゲーションバーで を選択します。
DMSにユーザーを追加します。
任意のユーザーを手動で追加する
[新規] をクリックし、[Alibaba Cloudアカウント] フィールドに追加するユーザーのAlibaba CloudアカウントUIDを入力し、ユーザーの [ロール] を指定して、[OK] をクリックします。
現在のAlibaba Cloudアカウント内にRAMユーザーを手動で追加する
[RAMユーザーの同期] をクリックし、同期するユーザーを選択し、[選択したユーザーの追加] をクリックします。 選択したユーザーを追加した後、ユーザーのシステムロールを指定できます。 システムロールに関連する操作の詳細については、「ユーザーの管理」トピックの「ユーザーに関する情報の変更」セクションをご参照ください。
ステップ3: DMSをエンタープライズ開発プラットフォームに統合する
Alibaba Cloud ID認証システムとの統合が完了したら、エンタープライズIdPを使用してDMSにログインできます。 DMSをエンタープライズ開発プラットフォームに統合するには、次のいずれかの方法を使用できます。
ページベースの統合
DMSページへのリンクを作成します。
リンクを作成するときに、特定の機能ページへのジャンプを指定できます。 ビルドするリンクの形式は次のとおりです。
https://dms.aliyun.com/new#to={MENU_NAME}例えば、データ変更ページへのリンクを
https://dms.aliyun.com/new#to=DC_COMMONする。上記の説明に加えて、次の特別なリンクが利用可能です。
チケット詳細ページへのリンク:
https://dms.aliyun.com/?pid={ORDER_ID}ORDER_IDはチケット番号を示し、関連するAPIを呼び出すか、DMSコンソールにログオンすることで取得できます。SQLコンソールページへのリンク:
https://dms.aliyun.com/websql/index?dbId={DB_ID}&logic={IS_LOGIC}&dbType={DB_TYPE}&instanceId={INSTANCE_ID}パラメーター:DB_ID: データベースID。 IDは整数でなければなりません。
IS_LOGIC: データベースが論理データベースかどうかを指定します。 有効な値はtrueとfalseです。
DB_TYPE: データベースタイプ。 GetPhysicalDatabase APIを呼び出して、データベースIDとデータベースタイプを照会できます。
INSTANCE_ID: インスタンスID。 GetPhysicalDatabase APIを呼び出して、データベース情報とインスタンスIDを照会できます。
DMS機能ページへのログオン不要のリンクを構築し、そのリンクを内部システムに埋め込みます。
DMSコンソール
https://dms.aliyun.comへのログオンなしのURLをログオンなしのリンクに置き換えます。 詳細については、「DMSコンソールへのログオン不要アクセス」をご参照ください。
APIベースの統合
Alibaba Cloud ID認証システムと自己管理型IDシステム認証は、関連するAPIを呼び出すことで統合できます。
コードを記述するか、DMS APIを呼び出して、ユーザーやリソースの登録などの操作を実行できます。 DMSでサポートされているAPIの詳細については、「関数別の操作のリスト」をご参照ください。
手順4: インスタンスの登録
制御モード
DMSに登録されているインスタンスごとに制御モードを設定する必要があります。 制御モードには、自由な操作、安定した変更、セキュリティコラボレーションが含まれます。 各制御モードは異なるシナリオに適用され、異なる機能をサポートします。 制御モードの詳細については、「制御モード」をご参照ください。
インスタンス登録
DMSでサポートされるデータベース
DMSでサポートされているデータベースの詳細については、「DMSでサポートされているデータベース」をご参照ください。
IPアドレスのホワイトリスト
DMSがインスタンスにアクセスできるようにするには、対応するリージョンのDMSのIPアドレスとCIDRブロックを、インスタンスのセキュリティ設定 (ファイアウォール、ホワイトリスト、セキュリティグループ設定など) に追加する必要があります。 詳細については、「DMS IPアドレスとCIDRブロックのセキュリティ設定への追加」をご参照ください。
手順
DMSにインスタンスを登録します。 詳細については、「Alibaba Cloudデータベースインスタンスの登録」および「サードパーティのクラウドサービスまたは自己管理データベースでホストされているデータベースの登録」をご参照ください。
関連する API
DMSを企業または組織の開発プラットフォームに統合できます。 DMSでインスタンスリソースを登録した後、DMSでアクセス制御、承認プロセス、通知方法を設定できます。
アクセス制御
アクセス制御は、インスタンス、データベース、テーブルなど、DMSでホストされているリソースのアクセス許可を管理するために参照されます。 アクセス制御を使用すると、必要に応じて、承認済みオブジェクトにログイン、クエリ、インポート、変更などの権限を付与できます。 これにより、エンタープライズデータのセキュリティが確保されます。 詳細については、「概要」をご参照ください。
権限
DMSは、次のデータ権限を提供します。
クエリ権限: SQLコンソールページでクエリ文を実行するための権限。
変更権限: SQLコンソールで変更文を実行するための権限、および承認なしにデータを変更するための権限ではなく、データ変更チケットとデータベースおよびテーブル同期チケットを送信するための権限。 DMS管理者は、[SQLコンソール] ページで実行できるSQL文の種類に制約を設定できます。
エクスポート権限: 承認なしにデータをエクスポートする権限の代わりに、データエクスポートチケットを送信する権限。
さまざまなリソースレベルの権限を継承できます。 たとえば、ユーザーにインスタンスのクエリ権限が付与されている場合、そのユーザーはインスタンス内のすべてのデータベースとテーブルに対するクエリ権限を持ちます。
システムのセキュリティ上の理由から、DMSでは、SQLコンソールページで大量のデータを照会することはできません。 照会するデータの量が一定の制限を超えると、データを照会することはできません。 たとえば、フレキシブル管理モードのインスタンスに対して、一度に最大3,000個のエントリをクエリできます。 完全なデータを照会するには、エクスポート権限を申請し、データエクスポートチケットを送信してデータを照会します。
インスタンスの機密データ保護機能を有効にし、一部のフィールドに機密レベルを指定している場合は、機密フィールドの権限を管理することもできます。 詳細については、「概要」および「権限の管理」をご参照ください。
リソースロール
DMSには、インスタンスDBA、インスタンス所有者、データベース所有者、テーブル所有者の4つのリソースロールがあります。 各ロールは異なる機能と権限をサポートしています。 詳細については、「リソースロール」をご参照ください。
権限付与方法
DMSは、アクセス許可とアクセス許可アプリケーションを含む2つの方法でアクセス許可を取得できます。 前者は、権限管理者が要求者に権限を付与することを示し、後者は、要求者が権限を申請することを示す。
権限付与
管理者およびDBAは、DMSコンソールのリソース管理またはユーザー管理ページでユーザーに権限を付与できます。 たとえば、同じリソースに対する権限を複数のユーザーに付与できます。 複数のリソースに対する権限を複数のユーザーに付与することもできます。 詳細については、「権限の管理」トピックの「DMS管理者またはDBAとしての権限の管理」セクションをご参照ください。
管理者が複数のユーザーにリソースに対する権限を同時に付与する必要がある場合は、権限テンプレートを使用して、同じビジネス属性を持つリソースを管理できます。 詳細については、「権限テンプレートの作成」をご参照ください。
権限申請
DMSユーザーは、チケットを起票して権限を申請できます。 詳細については、「権限の管理」トピックの「チケットを起票して権限を申請する」セクションをご参照ください。
承認プロセス
DMSチケットシステムは承認機能を提供します。 関連するデータベース操作は、チケットが承認された後にのみ実行できます。
カスタム承認プロセス
DMSは承認テンプレートを使用して承認プロセスを定義します。 承認テンプレートには、それぞれが複数の承認者を含む複数の承認ノードを含めることができます。
申請承認
承認プロセスのすべての承認ノードが合格すると、プロセス全体が終了し、送信したチケットは次のフェーズに進みます。
アプリケーションの拒否または取り消し
承認ノードの承認者が送信したチケットを拒否するか、チケット作成者がチケットを取り消すと、承認プロセス全体が終了し、チケットは承認されません。
インスタンス制御モードがセキュリティアソシエーションに設定されている場合にのみ、カスタム承認プロセスを指定できます。 DMSの組み込み承認プロセスは、他のモードのインスタンスにのみ使用できます。 詳細については、「チケット承認プロセスのカスタマイズ」をご参照ください。
承認操作
DMSは次の承認操作をサポートしています。
承認: 承認者は申請に同意し、承認は次の承認ノードに入ります。
拒否: 承認者は申請を拒否し、チケット承認プロセスは終了します。 この場合、チケットを再度送信する必要があります。
取り消し: 承認プロセスの開始者は承認プロセスを終了します。
転送: 現在の承認者はチケットを他の人に転送します。
署名: 承認ノード (承認者) が現在の承認ノードの前または後に追加されます。 事前署名と事後署名が含まれています。
その他の設定
指定したチケットまたはすべての種類のチケットを承認する権限を持たないユーザーにチケット承認権限を付与する場合は、DMSコンソールの [構成管理] ページに移動します。 詳細については、「構成管理」をご参照ください。
上記の設定を完了すると、未承認の承認条件を満たすユーザーまたはロールは、承認、拒否、署名、または取り消し操作を実行できます。
通知
デフォルトでは、DMSの通知機能は有効になっています。 この機能は、チケットまたはタスクフローのステータス更新に関する通知を送信するために使用されます。 この機能では、ビジネス要件に基づいて通知受信者を指定できます。 このようにして、受信者は最も早い機会に通知を受け取ることができます。 サポートされている通知方法には、テキストメッセージ、電子メール、DingTalk、Lark、Dedicated DingTalk、Webhookなどがあります。
個人メッセージの通知方法を設定し、ビジネス要件に基づいて携帯電話番号や確認コードなどの必要な情報を入力します。 詳細については、「個人情報と通知方法の設定」をご参照ください。
通知するチケットの種類と、アプリケーションの承認やチケットの実行成功などのトリガー条件を設定します。 詳細については、「通知ルールの管理」をご参照ください。
