このトピックでは、インスタンス、データベース、およびテーブルに対する権限をユーザーに付与する方法と、ユーザーから権限を取り消す方法について説明します。
前提条件
インスタンスのセキュリティホスティングが有効になっています。 詳細については、「セキュリティホスティング」トピックのセキュリティホスティングの有効化セクションを参照してください。
権限を付与するユーザーがデータベース管理 (DMS) に追加されます。 ユーザーを追加する方法の詳細については、「ユーザーの管理」をご参照ください。
使用上の注意
インスタンスのセキュリティホスティングを有効にした後にのみ、インスタンス内のデータベース、テーブル、行、および機密列に対して詳細な権限管理を実行できます。 インスタンスの機密列に対する権限を管理するには、インスタンスの機密データ保護機能を有効にする必要があります。
管理者およびデータベース管理者 (DBA) は、現在のDMSテナントに属するユーザーにリソースに対する権限を付与し、権限を取り消すことができます。
データ所有者は、所有するデータベースおよびテーブルに対するユーザー権限を付与および取り消すことができます。
権限管理方法
ユーザーロール | 権限管理方法 | 管理できるリソースの種類 |
管理者 | インスタンス、データベース、テーブル、機密の列と行、およびリソースの所有権に対する権限 | |
インスタンス、データベース、およびテーブルの権限 | ||
DBA | インスタンス、データベース、テーブル、機密の列と行、およびリソースの所有権に対する権限 | |
インスタンス、データベース、およびテーブルの権限 | ||
リソースの所有権 | インスタンス、データベース、テーブル、機密の列と行、およびリソースの所有権に対する権限 | |
現在のテナントの各ロール | インスタンス、データベース、テーブル、機密列、行、プログラマブルオブジェクト、およびリソースの所有権に対する権限 |
リソース所有権管理には、インスタンス所有者、データベース所有者、およびテーブル所有者の管理が含まれます。
インスタンス管理機能を使用した権限の管理
DMSコンソールV5.0 にログインします。
DMSコンソールの左上隅にある
アイコンの上にポインターを移動し、 を選択します。 説明DMSコンソールを通常モードで使用する場合は、上部のナビゲーションバーで を選択します。
[インスタンスリスト] タブで、管理するインスタンスを見つけ、[操作] 列の を選択します。
[インスタンス権限] タブで、インスタンスに対する権限を付与または取り消します。
インスタンスに対する権限の付与
[インスタンスの権限付与] をクリックします。 表示されるダイアログボックスで、[パフォーマンスビュー] 、[クエリ] 、[エクスポート] 、[変更] のいずれかを選択し、[OK] をクリックします。
インスタンスの権限を取り消す
1人のユーザーから権限を取り消す: 管理するユーザーを見つけ、[操作] 列の [権限のリサイクル] をクリックします。 表示されるダイアログボックスで、取り消す1つ以上の権限を選択し、[OK] をクリックします。
複数のユーザーから権限を取り消す: 管理するユーザーを選択し、[権限のリサイクル] をクリックします。 表示されるダイアログボックスで、取り消す1つ以上の権限を選択し、[OK] をクリックします。
権限付与期間の延長
ユーザーに付与する権限の有効期限が近づいたら、ユーザーを選択して [権限の拡張] をクリックし、ユーザーが長期間権限を所有できるようにします。
[データベース権限] タブで、インスタンス内のデータベースに対する権限を付与または取り消します。
データベースに対する権限の付与
[データベースの権限付与] をクリックします。 表示されるダイアログボックスで、管理する1つ以上のデータベースを選択し、[クエリ] 、[エクスポート] 、および [変更] オプションの1つ以上を選択し、[OK] をクリックします。
データベースに対する権限の取り消し
1人のユーザーから権限を取り消す: 管理するユーザーを見つけ、[操作] 列の [権限のリサイクル] をクリックします。 表示されるダイアログボックスで、取り消す1つ以上の権限を選択し、[OK] をクリックします。
複数のユーザーから権限を取り消す: 管理するユーザーを選択し、[権限のリサイクル] をクリックします。 表示されるダイアログボックスで、取り消す1つ以上の権限を選択し、[OK] をクリックします。
権限付与期間の延長
ユーザーに付与する権限の有効期限が近づいたら、ユーザーを選択して [権限の拡張] をクリックし、ユーザーが長期間権限を所有できるようにします。
[データベースリスト] タブで、ビジネス要件に基づいて1つ以上のデータベースに対して次の操作を実行します。所有者の設定、所有者の変更、データベース、テーブル、列、または行に対する権限の付与または取り消しです。
説明データベースの権限を管理するには、データベースの [操作] 列で を選択することもできます。
ユーザー管理機能を使用した権限の管理
権限の付与または取り消し
DMSコンソールV5.0 にログインします。
左上隅のアイコンの上に
ポインタを移動し、 を選択します。 説明DMSコンソールを通常モードで使用する場合は、上部のナビゲーションバーで を選択します。
ユーザーに権限を付与します。
説明管理者は、インスタンスのセキュリティホスティングが有効になっている場合にのみ、インスタンスのデータベース、テーブル、行、および機密列に対する権限を付与できます。
管理するユーザーを選択します。 ページ上部の [ユーザーの承認] をクリックします。 次に、ビジネス要件に基づいて、1つ以上のインスタンス、データベース、テーブル、行、または機密列に権限を付与します。 または、権限付与を実行する権限テンプレートにユーザーを追加します。
説明ユーザーの [操作] 列で [権限付与] をクリックして、ユーザーの権限を管理することもできます。
ユーザーから権限を取り消します。
管理するユーザーを見つけて、[操作] 列で を選択します。
関連するリソースを選択し、[リリース権限] をクリックします。
[エクスポート] 、[変更] など、取り消す権限を選択し、[OK] をクリックします。
次の例は、ユーザーからデータベースのアクセス許可を取り消す方法を示しています。
承認期間を延長します。
ユーザーに付与する権限の有効期限が近づいている場合は、[権限の拡張] をクリックして、ユーザーがその権限を長期間所有できるようにします。
ユーザーが所有する権限の表示
管理者は、インスタンス、データベース、テーブル、行、機密列に対する権限など、ユーザーが所有するリソースと権限を表示できます。
DMSコンソールV5.0 にログインします。
左上隅のアイコンの上に
ポインタを移動し、 を選択します。 説明DMSコンソールを通常モードで使用する場合は、上部のナビゲーションバーで を選択します。
管理するユーザーを見つけて、[操作] 列で を選択します。
[通常の権限] タブで、ユーザーが所有する権限を表示します。
[マイリソース] タブで、ユーザーが所有するリソースを表示します。
権限テンプレートを使用した権限の管理
ユーザーへの権限の付与またはユーザーからの権限の取り消し
DMSコンソールV5.0 にログインします。
左上隅の
アイコンの上にポインターを移動し、 を選択します。 説明DMSコンソールを通常モードで使用する場合は、上部のナビゲーションバーで を選択します。
既存の権限テンプレートの名前をクリックするか、権限テンプレートを作成して、テンプレートの詳細ページに移動します。 権限テンプレートの作成方法については、「権限テンプレートの作成」をご参照ください。
権限テンプレートにリソースを追加します。
右上隅の [リソースの追加] をクリックします。 表示されるダイアログボックスで、1つ以上のインスタンス、データベース、およびテーブルをテンプレートに追加できます。
検索ボックスに追加するインスタンスの名前を入力し、[Enter] キーを押して、必要なリソースを選択し、必要な [権限] オプションを選択します。
説明設定を確認する前に、ダイアログボックスのさまざまなタブにインスタンス、データベース、およびテーブルを追加できます。
[確認]をクリックします。
権限テンプレートにユーザーを追加します。
テンプレートの詳細ページで、[承認] をクリックします。
追加するユーザーを検索して選択し、有効期間を選択します。
[確認]をクリックします。
承認されたユーザーを表示し、ユーザーから権限を取り消す
テンプレートの詳細ページで、[権限付与レコード] をクリックします。
[承認済みユーザー] タブで、テンプレートによって承認されたユーザーを表示し、[取り消し] をクリックしてユーザーから付与された権限を取り消します。
説明[取り消し] をクリックすると、テンプレートによってユーザーに最後に付与されたすべての権限が取り消されます。
チケットを使用して権限を申請する
DMSコンソールV5.0 にログインします。
左上隅の
アイコンの上にポインターを移動し、 を選択します。 説明DMSコンソールを通常モードで使用する場合は、上部のナビゲーションバーで を選択します。
[アクセス適用チケット] ページで、[アクセス適用] をクリックし、ドロップダウンリストから権限タイプを選択します。
[チケットの適用アクセス] ページで、インスタンス、データベース、テーブルなどのリソースに適用する権限を指定します。
リソースを選択します。
カテゴリ
サポートされる権限タイプ
説明
セキュリティホスティングの無効化
インスタンス-ログイン
インスタンスのセキュリティホスティングが無効になっている場合、インスタンスへのログイン権限のみを申請できます。
検索ボックスにエンドポイントまたはインスタンスの名前を入力し、[検索] をクリックします。
検索結果で、権限を申請するインスタンスを選択します。
アイコンをクリックして、選択したインスタンスを [選択したインスタンスの確認] セクションに追加します。
セキュリティホスティング有効
インスタンス-OWNER
データベース-OWNER
テーブル-OWNER
インスタンス-権限
インスタンス-パフォーマンス
データベース権限
テーブル権限
プログラム可能なオブジェクト権限
行権限
機密コラム-権限
この例では、データベース権限が選択されています。
検索ボックスにデータベースの名前を入力し、[検索] をクリックします。 パーセント記号 (
%) をプレースホルダーとして使用して、ファジー一致モードでデータベースを検索できます。 例:dms % test検索結果で、権限を申請するデータベースを選択します。
アイコンをクリックして、選択したデータベースを [選択したデータベース /テーブル /列] セクションに追加します。
申請する権限を選択し、権限の有効期間を設定してから、[権限] 、[期間] 、および [理由] パラメーターを設定して、アプリケーションの理由を入力します。 サポートされる権限には、ログイン、クエリ、エクスポート、および変更の権限が含まれます。
[送信] をクリックします。 チケットは承認ステップに入ります。
チケットが承認されるのを待ちます。 チケットが承認されると、システムは自動的に申請する権限を付与します。
セキュリティコラボレーションモードで管理されるインスタンスでは、承認プロセスをカスタマイズできます。
セキュリティコラボレーションモードで管理されていないインスタンスの場合、セキュリティホスティングが無効になっている場合、インスタンスにログインするための権限のみを申請できます。 デフォルトのレビュー担当者は、インスタンスのDBAです。 インスタンスのセキュリティホスティングが有効になっている場合、レビュー担当者はリソース所有者です。 リソース所有者が指定されていない場合、レビュー担当者はインスタンスのDBAです。
所有する権限を使用した権限の管理
DMSコンソールV5.0 にログインします。
左上隅の
アイコンの上にポインターを移動し、 を選択します。 説明DMSコンソールを通常モードで使用する場合は、上部のナビゲーションバーで を選択します。
[マイリソース] タブで、ビジネス要件に基づいて次の操作を実行します。
リソースに対する権限を他のユーザーに付与します。
必要なインスタンス、データベース、またはテーブルを見つけ、[操作] 列の [権限管理] をクリックして、他のユーザーに権限を付与します。
インスタンス、データベース、またはテーブルの所有者を変更します。
管理するリソースを選択し、[所有権の移転] 、[所有者のリリース] 、または [所有者の追加] をクリックします。
関連するAPI操作
ListDatabaseUserPermssions: データベース上のユーザーの権限を照会します。
ListUserPermissions: データベースとテーブルに対するユーザーの権限を照会します。
GrantUserPermission: インスタンス、データベース、またはテーブルに対する権限をユーザーに付与します。
RevokeUserPermission: インスタンス、データベース、およびテーブルに対する権限をユーザーから取り消します。