のデータベースのインストール後、Deep Security Managerを設定できます。
まず、データベースインスタンス、データベースユーザ、およびその他のベンダー固有の設定を構成します。次のセクションのいずれかを参照してください。

PostgreSQLの設定

基本設定

  1. psqlやpgAdminなどのクライアントプログラムを使用してPostgreSQLデータベースサーバに接続します。
  2. 次のコマンドを実行して、空のデータベースインスタンスと適切な権限を持つデータベースユーザを作成します。
    CREATE DATABASE "<database-name>";
    CREATE ROLE "<dsm-username>" WITH PASSWORD '<password>' LOGIN;
    GRANT ALL ON DATABASE "<database-name>" TO "<dsm-username>";
    GRANT CONNECT ON DATABASE "<database-name>" TO "<dsm-username>";
    ALTER DATABASE "<database-name>" OWNER TO "<dsm-username>";
このユーザは、Deep Security Managerによってデータベースインスタンスに接続するために使用されます。

マルチテナント設定

Deep Security Managerに複数のテナントがある場合
  • メインデータベース名を短くします。これにより、テナントのデータベース名が読み取りやすくなります(たとえば、メインデータベースが「dsm」の場合、最初のテナントのデータベース名は「dsm_1」、2番目のテナントのデータベース名は「dsm_2」などとなります)。
  • テナント用の新しいデータベースおよびロールを作成する権限も付与します。
    ALTER ROLE <dsm-username> CREATEDB CREATEROLE;

PostgreSQLチューニング(オプション)

PostgreSQLの維持を参照してください。

Microsoft SQL Server を構成する

基本設定

  1. Microsoft SQL Server に接続し、Microsoft SQL Server Management Studio (SSMS) を開きます。
  2. 空のデータベースインスタンスを作成します。このデータベースインスタンスはDeep Security Managerで使用されます。
  3. [db_owner] 権限を持つデータベースアカウントを作成します。このアカウントは、Deep Security Managerによってデータベースへの接続に使用されます。
  4. データベースインスタンスのTCP/IPプロトコルを有効にします (https://docs.microsoft.com/en-us/previous-versions/bb909712(v=vs.120)?redirectedfrom=MSDNを参照)。
  5. 名前付きパイププロトコルを無効にします。AWS MarketplaceのDeep Security AMIではサポートされていません。
  6. 接続タイムアウトを設定します。[SQL management studio]→[SQLサーバーのプロパティ]→[接続]→[リモートクエリのタイムアウト] を選択し、 [0 (タイムアウトなし)] を選択します。この設定により、各データベーススキーマの移行処理に時間がかかっても、アップグレード時にデータベース接続がタイムアウトしなくなります。

マルチテナント設定

Deep Security Managerに複数のテナントがある場合
  • メインデータベース名を短くします。これにより、テナントのデータベース名が読み取りやすくなります(たとえば、メインデータベースが「dsm」の場合、最初のテナントのデータベース名は「dsm_1」、2番目のテナントのデータベース名は「dsm_2」などとなります)。
  • また、Deep Security Managerで使用されるデータベースアカウントに [dbcreator] 権限を付与します。

Oracleデータベースの構成

基本設定

  1. SQL * PlusまたはSQL Developerなどのクライアント・プログラムを使用してOracle Databaseに接続します。
  2. 「Oracle Listener」サービスを開始します。TCP接続が許可されていることを確認します。
  3. 空のデータベースインスタンスを作成します。このデータベースインスタンスはDeep Security Managerで使用されます。
  4. Deep Security Managerがデータベースに接続するために使用するデータベースアカウントを作成します。アカウントを作成する際は、次のガイドラインに従ってください。
    • [CONNECT][RESOURCE]の役割を割り当て、[無制限の表領域][CREATE SEQUENCE][CREATE TABLE][CREATE TRIGGER]の権限を割り当てます。
    • Deep Security Managerのデータベースユーザ名には特殊文字を使用しないでください。Oracleでは、引用符で囲めばデータベースユーザオブジェクトの設定時に特殊文字を使用できますが、Deep Securityでは、データベースユーザの特殊文字がサポートされていません。

Oracle RACの設定

Oracle RACを使用している場合は、 ファイアウォール モジュールを無効にするか、[ ファイアウォール 設定]→[Oracle RAC]の手順に従って ファイアウォール の設定をカスタマイズします。

マルチテナント設定

Deep Security Managerに複数のテナントがある場合
  • メインデータベース名を短くします。これにより、テナントのデータベース名が読み取りやすくなります(たとえば、メインデータベースが「MAINDB」の場合、最初のテナントのデータベース名は「MAINDB_1」、2番目のテナントのデータベース名は「MAINDB_2」になります (以下同様))。
  • また、[ユーザを作成][ユーザを削除][ALTER ユーザ][すべての権限を付与][すべてのロールを付与]をDeep Security Managerのデータベースユーザに付与します。
  • Oracleコンテナデータベース (CDB) の設定は使用しないでください。 [未] では、Deep Security Managerのマルチテナントでがサポートされていません。
次に、次の設定を行ってください。
  1. 時刻とタイムゾーンの両方を同期させます。データベースとDeep Security Managerサーバの両方で同じ時間ソースを使用します。
    注意
    注意
    デフォルトでは、Deep Security AMIは協定世界時 (UTC) を使用します。データベースにもUTCを使用する必要があります。この設定を変更する場合は、マネージャとデータベースが一致していることを確認してください。
  2. Deep Security Managerとデータベースサーバ間のネットワーク接続を許可します。ポート番号を参照してください。
  3. オプションで暗号化を設定します。Deep Security Managerとデータベース間の通信を暗号化するを参照してください。
注意
注意
Deep Security Managerのインストールは、SQL認証とWindows認証の両方をサポートしています。Windows認証を使用する場合、[進む]オプションはAWS MarketplaceバージョンのDeep Security Managerでは利用できません。