Azure SQL Databaseの行レベル セキュリティ (Row-Level Security、RLS) (英語 / 日本語 / 日本語) が、GA (一般提供) になりました。RLSによって、単一のデータベースのテーブルに多数のユーザー向けのデータを格納しながら、同時に、ユーザーのID、ロール、実行コンテキストを基にして、行レベルのアクセスを制限できます。RLSは、データベース自体の中にアクセス ロジックを集中させます。これによって、アプリケーション コードが簡素化され、コード内のエラーの危険性が減ります。
RLSは、お客様が、多様なシナリオでセキュアなアプリケーションを開発するのに役立ちます。たとえば:
- 社員の地域とロールを基にして、財務データへのアクセスを制限する
- マルチ テナント アプリケーションのテナントが、そのテナント自体の行にだけアクセスできるようにする (英語 / 日本語)
- さまざまな分析者が、その人の地位を基にして、データの異なるサブセットに対してレポートを作成できるようにする
具体例として、現在、K2 Appitが、個別のユーザーのデータの分離を保証するために、RLSをどのように活用しているかを示したいと思います:
RLSの登場以前には、我々は、クエリ述語を入念に使うことで、この要件を満たさなければなりませんでした。しかし、こういったセキュリティ施行は面倒で、バグが発生しやすいものです。RLSを使うことによって、我々は、開発を加速しながら、すべてのデータベース アクセスにわたってポリシー ベースの管理を適用できました。さらに、データ アクセス層とビジネス ロジックは、RLSポリシー ロジックから独立して進化できます。この関心の分離によって、コードの品質が改善されます。開発者は、なじみのある言語T-SQLをポリシー言語として使えるので、初日からRLSの生産性は高いものでした。
結局のところ、行レベル セキュリティがAzure SQL Database自体によって処理されると言えることによって、顧客と我々のチームの両方は、我々が顧客データをどのように保護しているかについて自信を持っています。
Grant Dickinson (K2 アーキテクト)
プレビューのお客様からの有益なフィードバックのおかげで、我々は、RLSの最初のバージョンにかなりの量のフィードバックを取り入れました。我々は、この反復プロセスを継続していくので、RLSの新機能に関する今後の発表に注目していてください。我々のチームにフィードバックや質問がある場合は、コメントを残してください。
現在、多くのお客様がRLSを使っており、あなたも試すことをお薦めします。作業を開始するには、MSDNドキュメント (英語 / 日本語 / 日本語) を確認してください。また、紹介ポスト (英語 / 日本語)、Channel 9ビデオ、SQL Server Security Blog (英語 / 日本語) で、さらなるデモ、ヒント、コツを提供しています。
関連情報
- Azure Blog > Row-Level Security for SQL Database is Generally Available (2015/08/20)
S/N Ratio 
One thought on “Azure SQL Databaseの行レベル セキュリティがGA (一般提供) に”