Data Access
Overview
組織内で個人情報または機密情報のようにアクセス制限が必要なデータは照会時該当データを確認できないようポリシーを設定できます。Data Accessメニューでポリシーを設定するコネクションを選択してポリシーを生成し、アクセス制限が必要なデータをテーブルまたはカラム基準で規則を登録し管理できます。
テーブル/カラムアクセス制限ポリシー生成
新しいテーブル/カラムアクセス制限ポリシーをコネクション基準で登録します。
Administrator > Databases > Policies > Data Access
- Database設定メニューでPolicies > Data Accessメニューに移動します。
- 右上の
Create Policyボタンをクリックします。 - ポリシー生成のための以下の情報を入力します。
- Policy Name :ポリシーを画面で区別できる名前です。
- Target Connection :ポリシーを適用するコネクションを選択します。1個のポリシー当たり1個のコネクションを接続できます。
Saveボタンで保存します。
該当ポリシーがData Accessポリシーリストに生成されたことを確認できます。
テーブル/カラムアクセス制限ポリシーに規則登録
Administrator > Databases > Policies > Data Access > Details > Add Rule
ポリシーを生成した後、実際にポリシーを適用するデータの経路を規則として登録します。
- Data Accessメニューで生成したポリシーをクリックします。
- ポリシー詳細情報および規則登録画面が表示され、右側で
Add Rule Listボタンをクリックします。 - ポリシーを適用するデータの経路を順番に選択します。
- Database Name :規則登録のための必須値です。
- Table Name :規則登録のための必須値です。テーブルのみ選択する場合、該当テーブル照会自体が不可能になるよう制限されます。
- Column Name :カラム単位でデータアクセスを制限しようとする場合選択します。
- 該当データ照会が必要なユーザーまたはグループに限ってテーブル/カラムアクセス制限規則を例外処理できます。
- Allowed Users :該当規則を例外処理するユーザーまたはグループを選択します。
Okボタンで保存します。
Rule Listタブで規則が登録されたことを確認できます。これでユーザーが該当データを照会すると、テーブルにポリシーが適用された場合テーブル自体を照会できず、カラムに規則が適用された場合*{RESTRICTED}*で表示されます。
SQL Editor > ポリシーが適用されたデータ照会時*{RESTRICTED}*で表示
Database Name選択時「[ENGINE] [30101] Please Check the user credential or IP ACL settings. Access denied for user ‘username’@‘host’ (using password: YES)」エラーが発生します。 A. この場合、DBアカウント情報設定がされていないか間違った情報で設定されている可能性があります。Administrator > Databases > Connection Management > DB Connectionsメニューで該当コネクション情報クリック後、Database Username / Password情報を入力して保存した後再び試行します。
アクセス制限ポリシーが適用されたテーブル/カラムに対するアクセスログ確認
10.3.0からData accessポリシーが制限したテーブルおよびカラムに対するアクセスログを確認できます。
Logsタブでログ確認
- ポリシーリストで生成したポリシーの個別項目(行)をクリックして詳細ページに移動します。
- Logsタブを選択します。
- Logの内容を確認します。
- Name :QueryPieユーザーのDisplay Nameです。
- Connection :ポリシーが制御している対象コネクションです。
- Database Name :ポリシーが制御している対象論理DB名です。
- Table Name :ポリシーが制御している対象テーブル名です。
- Column Name :ポリシーが制御している対象単一または複数のカラム名です。
- Rows :クエリが返す行数です。
- Action At :クエリを実行した時点です。
- Logタブの行をクリックすると詳細画面で実行されたクエリを確認できます。