Skip to Content
管理者マニュアルDatabases(New) Policy ManagementException Management

Exception Management

Overview

ポリシーに対する例外処理はWorkflowのポリシー例外申請の場合と管理者が直接ポリシー例外設定をする場合2つがあります。 以前のDACポリシーはポリシー例外はWorkflowを通じた例外申請(Unmasking、Restricted Data Access)のみ可能でしたが、新規ポリシーでは管理者が直接ポリシー例外を設定し、Workflowで処理されたものと統合管理できます。

Workflowを通じたポリシー例外管理

image-20250629-172021.png

Databases > Data Policies > Exception ManagementのWorkflowタブにWorkflowで提出され承認された一時ポリシー例外件が表示され、有効状態を管理できます。

  • Exception Type : Unmasking、Restricted Data Accessのようなポリシー例外タイプが表示されます。
  • Connection : ポリシー例外対象DBコネクションが表示されます。
  • Data Path : Workflowでリクエストした経路が表示されます。Tagで申請した場合対象が動的に変わるため、Data Pathに値が表示されません。
  • Data Tag : Workflowでリクエストフォームで指定したタグが表示されます。
  • Allowed User : 一時的にポリシー例外が承認されたユーザーまたはグループが表示されます。
  • Start Time
  • End Time
  • Status
    • Active : ポリシー例外が有効状態であることを示します。管理者がInactive状態に変更できます。
    • Inactive : ポリシー例外状態を管理者が一時的に非有効状態に変更した場合Inactiveで表示されます。
  • Excepted By : リンクをクリックしてポリシー例外が承認されたworkflowを見ることができます。

管理者が直接ポリシー例外設定

Databases > Policy Management > Exception Management のManualタブ

Databases > Policy Management > Exception Management のManualタブ

Databases > Policy Management > Exception Management のManualタブで管理者が手動でポリシー例外対象を指定できます。

ポリシー例外設定

11.3.0で効力期限日を指定する方式が変更されました。

Workflowのポリシー例外申請および管理者の手動ポリシー例外設定で共通に「Policy Exception Schedule」で項目名が統一され、効力開始時点と終了時点を明示的に指定できるよう変更されました。

11.3.0で全てのポリシー例外タイプに対して正規表現で特定データ経路を指定できるよう変更されました。

手動ポリシー例外作成

手動ポリシー例外作成

+ Create Exceptionボタンをクリックし、ポリシー例外に対する設定をします。

  • Exception Name : ポリシー例外の名前を入力します。
  • Exception Type : Unmasking、Restricted Column Access、Restricted Table Access のようなポリシー例外タイプを選択します。
  • Data Scope : ポリシー例外対象テーブルまたはカラムを指定します。 11.1.0
    • Data Tag を選択するとタグで対象を指定できます。Databases > Policy Management > Data Pathsに設定したタグのみ使用できます。タグは同じキーはOR演算で異なるキー間はAND演算です。
    • Specific data path を選択すると直接対象テーブルまたはカラムを指定できます。
      正規式で指定することもできます。 11.3.0
  • Allowed User : 一時的にポリシー例外が必要な対象を指定します。
    • User / Group : ユーザーまたはグループを指定できます。
    • Attribute of Users : ユーザーProfileに登録されたIdentifierタイプの属性を使用して動的に対象を指定できます。 11.1.0
  • Policy Exception Schedule : ポリシー例外が適用される期間を設定してリクエストできます。最大ポリシー例外の有効期間は管理者が設定した最大期間(Maximum Policy Exception Period)を超えて申請できません。
    • Specific Period : 開始時点と終了時点を指定します。時間単位で指定できます。
    • Time Duration : 開始時点から指定した時間まで有効になるよう指定できます。
    • Start On Approval オプション : Specific PeriodまたはTime duration両方の方法でStart On Approvalオプションを有効化(チェック)した場合承認時点から効力が発生します。一般的にリクエストする人が承認者の承認時点を知ることができないため、このオプションを使用することは推奨しません。(承認期限制約事項が発生する場合再リクエストが必要な場合が発生する可能性があるためです。)Urgent Modeを使用する場合も承認時点は事後でいつ承認されるか分からないため、可能な限りStart On Approvalオプションは必ず使用しなければならない特殊な状況を除いて推奨しません。
  • Reason for Request : ポリシー例外に対する簡単な説明を入力します。

最大ポリシー例外期間設定はAdmin > Databases > General > ConfigurationsのMaximum Policy Exception Period設定値によって制限されます。

ポリシー例外の状態即座変更

管理者がポリシー例外を作成する時Exception Expirationに指定した時点までポリシー例外状態が維持されますが、場合によって即座に例外状態を解除する必要がある場合もあります。 一覧のStatus列でActive、Inactive中一つを選択して即座に状態変更ができ、ポリシー例外を削除したり新しく作ったりせずに簡単に対応できます。

image-20250716-055008.png

手動で作成したポリシー例外修正

一覧で特定ポリシー例外行をクリックすると設定内容を修正できます。 (Exception Typeは変更できません。)

image-20250716-055149.png

手動で作成したポリシー例外削除

image-20250716-055525.png

基本的にポリシー例外は特定時点が過ぎると期限切れになりますが、管理者が手動で作成したポリシー例外はいつでも削除できます。 一つ以上の特定ポリシー例外行をチェックしDeleteボタンを押します。

Last updated on
Data PoliciesMonitoring