Azureリレーショナル応用
ある教育機関がAzure SQL Managed Instanceで学生成績管理システムを構築しています。「特定の科目の担当教員には、その科目の学生成績のみ参照可能」という行レベルセキュリティ(RLS)を実装する必要があります。同時に、「管理者だけは全学生データを参照可能」という要件があります。この要件を満たすための最適な実装方法はどれですか?
A.RLS述語で[Subject]カラムと教員の割当科目を比較し、管理者ロールは述語を除外する← 正解
✓ 正解です。RLS述語で[Subject]カラムをフィルタリングし、管理者ロールはALTER AUTHORIZATION等で述語を除外できます。
B.ビューで教員ごとにフィルタリングし、管理者には元テーブルへの直接アクセス権を付与
✗ ビュー方式はアプリがビューか元テーブルか選択する必要があり、セキュリティが管理しづらい。
C.ユーザー個別にテーブルアクセス権を管理し、SQLコマンドで動的に権限を付与する
✗ テーブルレベル権限管理では、新科目追加時に毎回権限設定が必要で、スケーラビリティが低い。
D.アプリケーション側で教員ロールに応じた条件分岐を実装し、クエリ結果をフィルタリング
✗ アプリケーション側フィルタリングはSQL Injection脆弱性やバイパス可能性があり、推奨されません。
この問題のポイント
RLS述語で[Subject]カラムをフィルタリングし、管理者ロールはALTER AUTHORIZATION等で述語を除外できます。
「Azureリレーショナル」の他の問題
あるSIerがオンプレミスSQL Server 2019をAzureに移行します。アプリは「SQL Server Age…ある企業がオンプレミスSQL Server 2022の本番DBをAzureへ移行します。「インスタンスレベルの機能(SQ…ある医療システムがAzure SQL Databaseで患者データを管理しています。「障害時のフェイルオーバーを自動化し…ある小売企業のAzure SQL Databaseに数十億行の販売トランザクションが蓄積しており、ストレージが急増してい…あるスタートアップが新サービスの開発環境用にAzure SQL Databaseを利用しています。「開発中は数時間使って…ある企業が40個のSaaSテナント向けに個別のAzure SQL Databaseを保有しています。各テナントの使用率は…
IT・クラウド の関連資格
AWS Certified Cloud Practitioner(CLF-C02)
AWSクラウドの入門資格。クラウドの概念・AWSのコアサービス・セキュリティ・料金モデルを問う。
AWS Certified Solutions Architect - Associate(SAA-C03)
AWSでのシステム設計能力を問うアソシエイト資格。高可用性・セキュリティ・コスト最適化の設計が中心。
AZ-900:Microsoft Azure Fundamentals
クラウドとAzureの基礎を問うMicrosoft認定資格。クラウドの概念、Azureの主要サービス、セキュリティ・コンプライアンス・料金を扱う。