信頼済みセッションのセキュリティに関する考慮事項 - Teradata Database - Teradata Vantage NewSQL Engine

Teradata Vantage™ NewSQL Engineセキュリティ管理

Product
Teradata Database
Teradata Vantage NewSQL Engine
Release Number
16.20
Published
2019年3月
Language
日本語
Last Update
2019-10-29
dita:mapPath
ja-JP/rmm1512082852218.ditamap
dita:ditavalPath
ja-JP/rmm1512082852218.ditaval
dita:id
B035-1100
Product Category
Software
Teradata Vantage
  • 中間層アプリケーションは、エンド ユーザーが信頼済みセッションを介してTeradata Databaseに接続する前に、エンド ユーザーを認証します。その後Teradata Databaseはプロキシ ユーザーのロールに基づいてデータベース オブジェクトへのアクセスを制御します。
  • GRANT CONNECT THROUGHのWITH TRUST ONLY句を使用して、SET QUERY_BAND文を信頼済みリクエストに含める必要があります。
  • システムは、IPアドレスによるログオン制限などのログオン制御を中間層アプリケーション ログオン ユーザー(信頼済みユーザー)に対してのみ強制します。これはシステムがプロキシ ユーザーを認証しないためです。
  • 永久プロキシ ユーザーで信頼済みセッションが確立されると、当該永久プロキシ ユーザーは新しいオブジェクトの所有者となりデフォルト権限が与えられます。
  • アプリケーション プロキシ ユーザーと信頼済みセッションが確立される場合、新しいオブジェクトに自動権限は付与されません。
  • システムは、エンド(プロキシ)ユーザーではなく、信頼済みユーザーに基づいてセキュリティ ポリシーを適用します。セキュリティ ポリシーについては、ネットワーク セキュリティ ポリシーを参照してください。
  • システムは信頼済みセッションでSET ROLE文を許可しません。プロキシ ユーザー接続のオペラント ロールは、プロキシ ユーザーを定義するCONNECT THROUGH文で指定したロールと、アプリケーションによって発行されたSET QUERY_BAND文に含まれるロールの制限によって決まります。
  • SET QUERY_BAND文を構築して、システムで正確にユーザー セッションを記録できるように各エンド ユーザーを固有に識別します。