PolarDB:データマスキングルールの管理

前提条件

PolarDBプロキシのバージョンは2.4.12以降である必要があります。 PolarDBプロキシのバージョンを表示およびアップグレードする方法の詳細については、「マイナーバージョンの更新」をご参照ください。

考慮事項

• 動的データマスキング機能は、デフォルトのクラスターエンドポイントとカスタマイズされたクラスターエンドポイントを含むクラスターエンドポイントにのみ適用されます。 プライマリエンドポイントからデータをクエリする場合、動的データマスキング機能は適用されません。 クラスターエンドポイントの表示と適用方法の詳細については、「エンドポイントとポート番号の表示」をご参照ください。
• クエリ結果にマスクが必要なデータが含まれていて、1行のサイズが16 MBを超える場合、クエリセッションは終了します。

  たとえば、name列をマスクする必要があるPersonテーブルのname列とdescription列を照会します。 ただし、记述列の行のデータサイズが16 MBを超えています。 この場合、SELECT name, description FROM personステートメントを実行すると、クエリセッションは閉じられます。

• マスクするデータ列が関数パラメーターとして使用されている場合、データマスクは適用されません。

  たとえば、name列のデータをマスクするルールが作成されている場合、SELECT CONCAT(name, '') FROM personステートメントを実行すると、アプリケーションはname列の実際の値を読み取ることができます。

• マスクするデータ列がUNION演算子で使用されている場合、データマスクは適用されません。

  たとえば、name列のデータをマスクするルールが作成されている場合、SELECT hoby FROM person UNION SELECT name FROM personステートメントを実行すると、アプリケーションはname列の実際の値を読み取ることができます。

データマスキングルールの作成

1. にログインします。PolarDBコンソール.

2. 左上隅で、クラスターがデプロイされているリージョンを選択します。

3. クラスターを見つけて、そのIDをクリックします。

4. 左側のナビゲーションウィンドウで、設定と管理 > セキュリティ管理.

5. On the動的データマスキング /暗号化タブをクリックします。追加左上隅にあります。

6. では、ルールの作成ダイアログボックスで、パラメーターを設定します。

   表 1 データマスキング規則パラメーターの設定

   パラメーター		必須	説明
   基本情報	ルール名	可	データマスキングルールの名前。 名前の長さは最大30文字です。
   	説明	任意	データマスキングルールの説明。 説明の長さは最大64文字です。
   	有効化/無効化	N/A	ルールを有効にするかどうかを指定します。 説明 データマスキングルールを作成すると、有効化/無効化 スイッチがオンになります。
   	Endpoint	可	現在のルールが適用されるエンドポイント。
   設定	データベースアカウント名	任意	ルールが適用されるデータベースアカウントの名前。 サンドボックスインスタンスへの接続に使用されるアカウントのタイプ。 有効な値： すべてのアカウント: ルールがクラスターのすべてのアカウントに適用されることを示します。 右側のテキストボックスは空のままにする必要があります。 含む: ルールが指定されたデータベースアカウントにのみ適用されることを示します。 右側のテキストボックスに少なくとも1つのデータベースアカウント名を指定する必要があります。 複数のアカウントをコンマ (,) で区切ります。 含まない: このセクションで指定されていないデータベースアカウントにのみルールが適用されることを示します。 右側のテキストボックスに少なくとも1つのデータベースアカウント名を指定する必要があります。 複数のアカウントをコンマ (,) で区切ります。 説明 データベースアカウント名は、次の形式にすることができます。 アカウント名 例: user アカウント名 @ フルIPアドレス 例: user@10.1.1.1 アカウント名 @ IPアドレスとワイルドカード文字。 例: user@10.1.1.% 、user @ %.1.1.1、またはuser @ 1.%.1 アカウント名 @ IPアドレス /サブネットマスク 例: user@10.1.1.0/255.255.255.0
   	データベース名	任意	ルールが適用されるデータベースの名前。 サンドボックスインスタンスへの接続に使用されるアカウントのタイプ。 有効な値： すべてのデータベース: ルールがクラスター内のすべてのデータベースに適用されることを示します。 右側のテキストボックスは空のままにする必要があります。 含む: ルールが指定されたデータベースにのみ適用されることを示します。 右側のテキストボックスに少なくとも1つのデータベース名を指定する必要があります。 複数のデータベース名はコンマ (,) で区切ります。
   	テーブル名	任意	ルールが適用されるテーブルの名前。 サンドボックスインスタンスへの接続に使用されるアカウントのタイプ。 有効な値： すべてのテーブル: ルールがクラスター内のすべてのテーブルに適用されることを示します。 右側のテキストボックスは空のままにする必要があります。 含む: ルールが指定されたテーブルにのみ適用されることを示します。 右側のテキストボックスに少なくとも1つのテーブル名を指定する必要があります。 複数のテーブル名はコンマ (,) で区切ります。
   	列名	可	ルールが適用されるフィールドの名前。 複数のフィールド名を指定し、複数のフィールド名をコンマ (,) で区切ることができます。

7. クリックOK.

データマスキングルールの有効化または無効化

1. にログインします。PolarDBコンソール.

2. 左上隅で、クラスターがデプロイされているリージョンを選択します。

3. クラスターを見つけて、そのIDをクリックします。

4. 左側のナビゲーションウィンドウで、設定と管理 > セキュリティ.

5. On the動的データマスキング /暗号化タブで、ルールを見つけて、有効化 /無効化スイッチをオンまたはオフにします。

   説明

   • リストで複数のルールを選択し、リストの下部にある 有効化 または 無効化 をクリックして、ルールを一括有効化または無効化できます。

   • 無効なルールは削除されません。 必要に応じて、無効なルールを有効化できます。

6. 表示されるメッセージで、OK.

データマスキングルールの変更

1. にログインします。PolarDBコンソール.

2. 左上隅で、クラスターがデプロイされているリージョンを選択します。

3. クラスターを見つけて、そのIDをクリックします。

4. 左側のナビゲーションウィンドウで、設定と管理 > セキュリティ.

5. [動的データマスキング /暗号化] タブでルールを見つけ、操作 列の 変更 をクリックします。 表示されるダイアログボックスで、ビジネス要件に基づいてパラメーターを変更します。 パラメーターの詳細については、「データマスキングルールパラメーターの設定」をご参照ください。

   説明

   変更できるのは、説明 パラメーターと 設定 セクションのパラメーターのみです。 ルール名パラメーターは変更できません。

6. クリックOK.

データマスキングルールの削除

1. にログインします。PolarDBコンソール.

2. 左上隅で、クラスターがデプロイされているリージョンを選択します。

3. クラスターを見つけて、そのIDをクリックします。

4. 左側のナビゲーションウィンドウで、設定と管理 > セキュリティ.

5. On the動的データマスキング /暗号化タブ、ルールを見つけてクリック削除で、操作列を作成します。

   説明

   リストで複数のルールを選択し、リストの下部にある 削除 をクリックすると、一度に複数のルールを削除できます。

6. 表示されるメッセージで、OK.

関連する API 操作