本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。
本ヘルプセンターの一部の記事には外部リンクが含まれています。万一リンク切れなどお気づきの点がございましたら、お手数ですが弊社サポート窓口までご連絡ください。
データベースの設定
のデータベースのインストール後、Deep Security Managerを設定できます。
まず、データベースインスタンス、データベースユーザ、およびその他のベンダー固有の設定を構成します。次のセクションのいずれかを参照してください:
基本設定
- psql や pgAdmin などのクライアントプログラムを使用して、PostgreSQL データベースサーバーに接続します。
- 次のコマンドを実行して、空のデータベースインスタンスと適切な権限を持つデータベースユーザを作成します
CREATE DATABASE "<database-name>";
CREATE ROLE "<dsm-username>" WITH PASSWORD '<password>' LOGIN;
GRANT ALL ON DATABASE "<database-name>" TO "<dsm-username>";
GRANT CONNECT ON DATABASE "<database-name>" TO "<dsm-username>";
ALTER DATABASE "<database-name>" OWNER TO "<dsm-username>";
このユーザは、Deep Security Managerによってデータベースインスタンスに接続するために使用されます。
マルチテナント設定
Deep Security Managerに複数のテナントがある場合
- メインデータベース名を短くします。これにより、テナントのデータベース名が読み取りやすくなります(たとえば、メインデータベースが「dsm」の場合、最初のテナントのデータベース名は「dsm_1」、2番目のテナントのデータベース名は「dsm_2」などとなります)。
- テナント用の新しいデータベースおよびロールを作成する権限も付与します。
ALTER ROLE <dsm-username> CREATEDB CREATEROLE;
PostgreSQLチューニング(オプション)
PostgreSQLを維持するを参照してください。
基本設定
- Microsoft SQL に接続し、Microsoft SQL Server Management Studio(SSMS)を開きます。
- 空のデータベースインスタンスを作成します。このデータベースインスタンスはDeep Security Managerで使用されます。
- db_owner 権限を持つデータベースアカウントを作成します。このアカウントは、Deep Security Managerによってデータベースへの接続に使用されます。
- データベースインスタンスの TCP/IP プロトコルを有効にします (https://docs.microsoft.com/en-us/previous-versions/bb909712(v=vs.120)?redirectedfrom=MSDN)を参照)。
- 名前付きパイププロトコルを無効にします。AWS MarketplaceのDeep Security AMIではサポートされていません。
- 接続タイムアウトを設定します。[ SQL管理スタジオ]→[SQL Serverプロパティ]→[接続]→リモートクエリタイムアウト を選択し、 0(タイムアウトなし)を選択します。この設定により、各データベーススキーマの移行処理に時間がかかっても、アップグレード時にデータベース接続がタイムアウトしなくなります。
マルチテナント設定
Deep Security Managerに複数のテナントがある場合
- メインデータベース名を短くします。これにより、テナントのデータベース名が読み取りやすくなります(たとえば、メインデータベースが「dsm」の場合、最初のテナントのデータベース名は「dsm_1」、2番目のテナントのデータベース名は「dsm_2」などとなります)。
- また、Deep Security Managerで使用されるデータベースアカウントに dbcreator 権限を付与します。
基本設定
- SQL * PlusまたはSQL Developerなどのクライアント・プログラムを使用してOracle Databaseに接続します。
- 「Oracle Listener」サービスを開始します。TCP接続が許可されていることを確認します。
- 空のデータベースインスタンスを作成します。このデータベースインスタンスはDeep Security Managerで使用されます。
- Deep Security Managerがデータベースに接続するために使用するデータベースアカウントを作成します。アカウントを作成する際は、次のガイドラインに従ってください。
- CONNECT および RESOURCE の役割と UNLIMITED TABLESPACE, CREATE SEQUENCE, CREATE TABLE および CREATE TRIGGER 権限を割り当てます。
- Deep Security Managerのデータベースユーザ名には特殊文字を使用しないでください。Oracleでは、引用符で囲めばデータベースユーザオブジェクトの設定時に特殊文字を使用できますが、Deep Securityでは、データベースユーザの特殊文字がサポートされていません。
Oracle RACの設定
Oracle RACを使用している場合は、 ファイアウォール モジュールを無効にするか、[ Oracle RACでのファイアウォール設定]の手順に従って ファイアウォール の設定をカスタマイズします。
マルチテナント設定
Deep Security Managerに複数のテナントがある場合
- メインデータベース名を短くします。これにより、テナントのデータベース名が読み取りやすくなります(たとえば、メインデータベースが「MAINDB」の場合、最初のテナントのデータベース名は「MAINDB_1」、2番目のテナントのデータベース名は「MAINDB_2」になります (以下同様))。
- また、 Deep Security Managerのデータベースユーザに CREATE USER, DROP USER, ALTER USER, GRANT ANY PRIVILEGE および GRANT ANY ROLE を付与します。
- Oracleコンテナデータベース(CDB)の設定は使用しないでください。 では、 Deep Security Managerのマルチテナントで がサポートされていません。
次に、次の設定を行ってください
- 時刻とタイムゾーンの両方を同期させます。データベースとDeep Security Managerサーバの両方で同じ時間ソースを使用します。
デフォルトでは、Deep Security AMI は協定世界時 (UTC) を使用します。データベースにも UTC を使用する必要があります。この設定を変更する場合は、マネージャーとデータベースが一致していることを確認してください。
- Deep Security Managerとデータベースサーバ間のネットワーク接続を許可します。ポート番号、URL、およびIPアドレスを参照してください。
- オプションで暗号化を設定します。Deep Security Managerとデータベース間の通信の暗号化を参照してください。
Deep Security Manager のインストールは、SQL および Windows 認証の両方をサポートしています。Windows 認証を使用する場合、AWS Marketplace バージョンの Deep Security Manager では 詳細 オプションは使用できません。