SQL実行制御
VeloDB BYOCは、管理用コントロールプレーン操作と本番クエリ実行を分離します。Warehouseコンピューティングとデータアクセスおよびクエリ処理は、顧客管理のBYOC環境内で実行される一方、VeloDBコントロールプレーンはデプロイメント、ライフサイクル管理、監視、サポート、プラットフォーム管理を提供します。
このページでは、BYOCデプロイメントにおけるSQL実行の処理方法、SQL Studio アクセスのガバナンス方法、厳格なセキュリティ、コンプライアンス、規制、データ保存要件を持つ組織向けのデプロイメントオプションについて説明します。
コントロールプレーンとクエリ実行
BYOCデプロイメントでは、VeloDBコントロールプレーンがプロビジョニング、スケーリング、アップグレード、監視、アラート、サポート調整などの運用ワークフローを管理します。本番クエリ実行は、顧客のクラウドアカウントにデプロイされたVeloDBサービスによって実行されます。
この分離は以下を意味します:
- クエリ処理は顧客管理のBYOC環境で実行される。
- データアクセスと結果生成は顧客データプレーンで実行される。
- コントロールプレーンサービスは管理および運用ワークフローを管理する。
- SQLアクセスは運用コンソールアクセスとは別にガバナンスできる。
このモデルは、顧客が本番データを自身のクラウドアカウント制御下に置きつつ、中央集約された運用のためにVeloDBコントロールプレーンを引き続き使用することを支援します。
SQL Studio アクセス
SQL Studio は、認可されたユーザーがSQLステートメントを送信し、クエリ結果を表示するためのブラウザベースのインターフェースを提供します。
SQL Studio が有効化されると、対象VeloDBデプロイメントにアクセスするためのクライアントインターフェースとして機能します。顧客が選択したデプロイメントアーキテクチャとアクセスモデルに応じて、SQLリクエストはBYOC環境への認証済みユーザーアクセスの提供を支援するVeloDB管理のアクセスサービス経由でルーティングされる場合があります。
多くの組織が本番クエリアクセスに厳格なポリシーを適用するため、VeloDBはVeloDB Consoleを通じた運用管理を維持しながらSQL Studio アクセスを制限、無効化、または分離できる制御を提供します。
組織レベルでの無効化
VeloDBは、SQL Studio クエリ実行の組織レベルでの無効化をサポートします。この制御はVeloDB Support を通じて管理され、現在はセルフサービス組織設定として公開されていません。
顧客の要求により、VeloDBは組織のSQL Studio クエリ実行を無効化できます。この制御が有効化されると:
- ユーザーはVeloDB ConsoleまたはSQL Studio インターフェースを通じてSQLステートメントを実行できません。
- クエリリクエストはSQL Studioを通じて開始できません。
- クエリ結果はSQL Studioを通じて取得できません。
- 管理および運用管理機能はVeloDB Consoleを通じて引き続き利用可能です。
このオプションは、内部セキュリティポリシーでベンダー運営のユーザーインターフェースを通じた本番クエリアクセスを禁止している組織を対象としており、認可されたチームが運用管理機能を使用することは引き続き許可します。
アクセス制御メカニズム
VeloDBは、独立して使用することも組み合わせて使用することもできる複数のアクセス制御を提供し、SQL Studio アクセスをガバナンスします。
ロールベースアクセス制御
SQL Studio アクセスは、ロールベースアクセス制御(RBAC)によってガバナンスされます。組織は、クエリ実行権限を認可されたユーザーに限定し、アクセスを運用責任、職務分離要件、内部ガバナンスポリシーと整合させることができます。
より広範なアイデンティティと権限モデルについては、Identity and Accessを参照してください。
IPアクセス制限
組織は、企業ネットワーク範囲、VPN出口範囲、プライベート接続環境、その他の信頼できるIPアドレスなど、承認されたソースネットワークにコンソールアクセスを制限できます。
IPベースの制限は、プラットフォームへの中央集約された管理アクセスを維持しながら、SQL Studio アクセスの発信元を制限することで、追加の保護層を提供します。
プライベートSQL Studio デプロイメント
強化されたセキュリティ、コンプライアンス、主権、データ保存要件を持つ顧客に対して、VeloDBは顧客制御環境内でのSQL Studio コンポーネントのデプロイメントをサポートします。
このデプロイメントモデルでは:
- SQLクエリ実行は顧客環境内に留まります。
- クエリリクエストは共有VeloDB SaaSコントロールプレーンを通過しません。
- クエリ結果は共有VeloDB SaaSコントロールプレーンを通過しません。
- 顧客はSQL Studio アクセスのネットワークアクセス、認証制御、運用ガバナンスを制御します。
- 本番クエリトラフィックは顧客制御のインフラストラクチャ境界内に留まります。
このモデルは、運用管理サービスと本番クエリトラフィック間の厳格な分離を必要とする組織や、本番データがアクセスまたは処理される場所を規制する規制要件を持つ組織によって一般的に使用されます。
推奨本番構成
厳格なセキュリティ、コンプライアンス、ガバナンス要件を持つ本番環境に対して、VeloDBは以下のアプローチのいずれかを推奨します。
SQL Studio アクセスの無効化
組織は、運用管理にVeloDB Consoleを引き続き使用しながら、SQL Studio クエリ実行の組織レベルでの無効化を要求できます。
RBACとIPアクセス制限は、このオプションと組み合わせて使用でき、管理アクセスを認可された人員と承認されたネットワークにさらに制限できます。
プライベートSQL Studio デプロイメントの使用
本番クエリトラフィックと共有ベンダー運営サービス間の完全な分離を必要とする組織は、自身の環境内にSQL Studio をデプロイし、顧客制御のネットワーキング、アイデンティティ、認証、セキュリティ制御を通じてアクセスを管理できます。
このオプションは、SQLアクセスに対する最高度の顧客制御を提供し、クエリアクセスを内部セキュリティとコンプライアンス要件と整合させることを支援できます。
制御の概要
| 制御 | 利用可能性 |
|---|---|
| 組織レベルのSQL Studio 無効化 | 要求に応じて利用可能 |
| ロールベースアクセス制御 | サポート |
| IPアクセス制限 | サポート |
| プライベートSQL Studio デプロイメント | サポート |
| コントロールプレーン操作とクエリ実行の分離 | サポート |
| 承認されたユーザーとネットワークへのSQLアクセス制限 | サポート |
これらの制御は、BYOCデプロイメントにおける本番クエリトラフィックの処理方法について透明性を維持しながら、顧客がSQLアクセス機能を内部セキュリティ、コンプライアンス、ガバナンス要件と整合させることを支援します。
サポートとエビデンス
組織レベルのSQL Studio 無効化は、VeloDB Support を通じて利用可能です。
構成例、デプロイメントガイダンス、アーキテクチャ詳細は、セキュリティレビュー、コンプライアンス評価、本番準備評価の一部として要求に応じて提供できます。