SQL実行制御
VeloDB BYOCは、管理制御プレーン操作と本番クエリ実行を分離しています。ウェアハウスコンピュート、データアクセス、およびクエリ処理は顧客管理のBYOC環境内で実行され、VeloDB制御プレーンは展開、ライフサイクル管理、監視、サポート、およびプラットフォーム管理を提供します。
このページでは、BYOC展開においてSQL実行がどのように処理されるか、SQL Studioアクセスをどのように管理できるか、および厳格なセキュリティ、コンプライアンス、規制、またはデータレジデンシー要件を持つ組織で利用可能な展開オプションについて説明します。
制御プレーンとクエリ実行
BYOC展開では、VeloDB制御プレーンは、プロビジョニング、スケーリング、アップグレード、監視、アラート、サポート調整などの運用ワークフローを管理します。本番クエリ実行は、顧客のクラウドアカウントに展開されたVeloDBサービスによって実行されます。
この分離は次を意味します:
- クエリ処理は顧客管理のBYOC環境で発生します。
- データアクセスと結果生成は顧客データプレーンで発生します。
- 制御プレーンサービスは管理および運用ワークフローを管理します。
- SQLアクセスは運用コンソールアクセスとは別に管理できます。
このモデルは、顧客が本番データを自分のクラウドアカウント制御下に保ちながら、集中運用のためのVeloDB制御プレーンを使用することを支援します。
SQL Studioアクセス
SQL Studioは、承認されたユーザーがSQLステートメントを送信し、クエリ結果を表示するためのブラウザベースのインターフェースを提供します。
SQL Studioが有効になっている場合、対象のVeloDB展開にアクセスするためのクライアントインターフェースとして機能します。顧客が選択した展開アーキテクチャとアクセスモデルに応じて、SQL要求は、BYOC環境への認証されたユーザーアクセスを提供するのに役立つVeloDB管理のアクセスサービスを経由してルーティングされる場合があります。
多くの組織が本番クエリアクセスに厳格なポリシーを適用するため、VeloDBは、VeloDBコンソールを通じた運用管理を保持しながら、SQL Studioアクセスを制限、無効化、または分離できる制御を提供します。
組織レベルの無効化
VeloDBは、SQL Studioクエリ実行の組織レベル無効化をサポートしています。この制御は、VeloDBサポートを通じて管理され、現在セルフサービス組織設定として公開されていません。
顧客の要請に応じて、VeloDBは組織のSQL Studioクエリ実行を無効化できます。この制御が有効になっている場合:
- ユーザーは、VeloDBコンソールまたはSQL StudioインターフェースでSQLステートメントを実行できません。
- クエリ要求をSQL Studioで開始できません。
- クエリ結果をSQL Studioで取得できません。
- 管理および運用管理機能は、VeloDBコンソールで引き続き利用可能です。
このオプションは、ベンダー運用ユーザーインターフェースでの本番クエリアクセスを禁止する内部セキュリティポリシーを持ちながら、承認されたチームが運用管理機能を使用することを許可したい組織を対象としています。
アクセス制御メカニズム
VeloDBは、独立してまたは組み合わせて使用してSQL Studioアクセスを管理できる複数のアクセス制御を提供します。
ロールベースアクセス制御
SQL Studioアクセスは、ロールベースアクセス制御(RBAC)によって管理されます。組織は、クエリ実行権限を承認されたユーザーに制限し、アクセスを運用責任、職務分離要件、および内部ガバナンスポリシーと整合させることができます。
より広範なIDおよび権限モデルについては、Identity and Accessを参照してください。
IPアクセス制限
組織は、企業ネットワーク範囲、VPN出力範囲、プライベート接続環境、またはその他の信頼されたIPアドレスなど、承認されたソースネットワークにコンソールアクセスを制限できます。
IPベースの制限は、プラットフォームへの集中管理アクセスを保持しながら、SQL Studioアクセスの発信場所を制限することで、追加の保護層を提供します。
プライベートSQL Studio展開
強化されたセキュリティ、コンプライアンス、主権、またはデータレジデンシー要件を持つ顧客に対して、VeloDBは顧客制御環境内でのSQL Studioコンポーネントの展開をサポートしています。
この展開モデルでは:
- SQLクエリ実行は顧客環境内に留まります。
- クエリ要求は共有VeloDB SaaS制御プレーンを通過しません。
- クエリ結果は共有VeloDB SaaS制御プレーンを通過しません。
- 顧客は、SQL Studioアクセスのネットワークアクセス、認証制御、および運用ガバナンスを制御します。
- 本番クエリトラフィックは顧客制御インフラストラクチャ境界内に留まります。
このモデルは、運用管理サービスと本番クエリトラフィック間の厳格な分離を必要とする組織、または本番データがアクセスまたは処理される場所を管理する規制要件を持つ組織によって一般的に使用されます。
推奨本番構成
厳格なセキュリティ、コンプライアンス、またはガバナンス要件を持つ本番環境では、VeloDBは以下のいずれかのアプローチを推奨します。
SQL Studioアクセスの無効化
組織は、運用管理にVeloDBコンソールを継続使用しながら、SQL Studioクエリ実行の組織レベル無効化を要求できます。
RBACおよびIPアクセス制限は、このオプションと組み合わせて使用し、管理アクセスを承認された担当者および承認されたネットワークにさらに制限できます。
プライベートSQL Studio展開の使用
本番クエリトラフィックと共有ベンダー運用サービス間の完全な分離を必要とする組織は、SQL Studioを自分の環境内に展開し、顧客制御のネットワーキング、ID、認証、およびセキュリティ制御を通じてアクセスを管理できます。
このオプションは、SQLアクセスに対する最高度の顧客制御を提供し、クエリアクセスを内部セキュリティおよびコンプライアンス要件と整合させることを支援できます。
制御の概要
| 制御 | 利用可能性 |
|---|---|
| 組織レベルSQL Studio無効化 | 要求に応じて利用可能 |
| ロールベースアクセス制御 | サポート |
| IPアクセス制限 | サポート |
| プライベートSQL Studio展開 | サポート |
| 制御プレーン操作とクエリ実行の分離 | サポート |
| 承認されたユーザーとネットワークへのSQLアクセス制限 | サポート |
これらの制御は、顧客がSQLアクセス機能を内部セキュリティ、コンプライアンス、およびガバナンス要件と整合させながら、BYOC展開で本番クエリトラフィックがどのように処理されるかについての透明性を維持することを支援します。
サポートと証拠
組織レベルSQL Studio無効化は、VeloDBサポートを通じて利用可能です。
構成例、展開ガイダンス、およびアーキテクチャ詳細は、セキュリティレビュー、コンプライアンス評価、または本番準備評価の一部として要求に応じて提供できます。