1. アクセスコントロール
1.1 認証
DataHub は、Alibaba Cloud アカウント、RAM ユーザー、RAM ロールなど、複数の ID タイプをサポートしています。 また、AccessKey ID と AccessKey Secret を使用した認証、多要素認証 (MFA)、セキュリティトークンサービス (STS) を介した委任認証もサポートしています。
参照: RAM とは、 AccessKey ペアの管理、RAM ロールの概要、および STS とは
1.2 権限付与
DataHub は、Resource Access Management (RAM) と統合されており、プロジェクト、トピック、およびサブスクリプションのリソースレベルの権限付与をサポートしています。 RAM を使用することで、各アカウントがアクセスできるリソースと実行できる操作を正確に制御し、最小権限アクセス管理を実現できます。
リソース | 説明 |
プロジェクト | acs:dhs:$region:$accountid:projects/$projectName |
トピック | acs:dhs:$region:$accountid:projects/$projectName/topics/$topicName |
サブスクリプション | acs:dhs:$region:$accountid:projects/$projectName/topics/$topicName/subscriptions/$subId |
サポートされているセキュリティ条件:
条件 | 機能 | 有効な値 |
acs:SourceIp | IP アドレス範囲を指定します。 | 標準 IP アドレス。アスタリスク (*) ワイルドカードがサポートされています。 |
acs:SecureTransport | プロトコルが HTTPS かどうかを指定します。 | true/false |
acs:MFAPresent | MFA が有効になっているかどうかを指定します。 | true/false |
acs:CurrentTime | アクセス時間を指定します。 | ISO 8601 フォーマット |
詳細については、「Policy Management」および「アクセスコントロール」をご参照ください。
1.3 IP ホワイトリスト
DataHub は、RAM を使用して、ソース IP アドレスとソース VpcId からのアクセスを制限することをサポートしています。 また、AccessKey に IP と VpcId の制限を適用することもできます。 IPv6 は現在サポートされていません。
詳細については、「ポリシー要素」および「ネットワークアクセス制御のための AccessKey ペアベースのポリシー」をご参照ください。
2. データの整合性、機密性、および可用性
2.1 転送中データ暗号化
DataHub は、パブリックエンドポイントと VPC エンドポイントの両方を提供します。 VPC ネットワークは、Alibaba Cloud の専用ネットワークトンネルを使用します。 クライアント SDK または OpenAPI を介して DataHub に接続する場合、HTTPS TLS v1.2 暗号化プロトコルの使用が必要です。 これにより、転送中にデータがプレーンテキストで傍受されたり改ざんされたりするのを防ぎます。
詳細については、「DataHub エンドポイント」をご参照ください。
2.2 データストレージの整合性と機密性
DataHub は、分散ファイルシステムを使用して、保存データの複数のレプリカ (デフォルトでは 3 つ) を自動的に作成します。 これらのレプリカは、単一障害点によるデータ損失を防ぐために、異なる物理マシンとラックに分散され、データの耐久性と整合性を確保します。
データは Pangu ストレージに保存されます。Pangu ストレージは、フラットな線形ストレージスペースを提供します。 このスペースは、チャンクと呼ばれるスライスに分割されます。 各チャンクは 3 回複製され、これらのレプリカは特定のポリシーに従ってクラスター全体の異なるノードに保存されます。
この戦略により、単一のチャンクサーバーまたはラックの障害によってデータが使用できなくなるのを防ぎます。 データの追加、変更、削除など、すべてのユーザー操作は 3 つのレプリカすべてで同期され、データの整合性と一貫性が確保されます。 ユーザーがデータを削除すると、ストレージスペースが再利用され、他のユーザーからのアクセスが禁止され、データが消去されて復元できないようになります。
3. 操作性と可観測性
3.1 サポートされているメトリック
コンソールでは、読み取り/書き込み QPS、RPS、スループット、スループット (非圧縮)、レイテンシ、障害など、複数のメトリックを表示できます。 過去のトラフィックトレンドも利用可能です。
すべてのメトリックデータは CloudMonitor と統合されており、CloudMonitor API を介して直接取得できます。
名前 | メトリックの説明 |
readMetric | 1 秒あたりのデータ消費リクエスト数 (単位: 件数) |
データ消費スループット (圧縮) (単位: KB) | |
データ消費スループット (raw) (単位: KB) | |
失敗したデータ消費操作 (単位: 件数) | |
1 秒あたりのデータ消費レコード数 (単位: 件数) | |
データ消費リクエストレイテンシ (単位: マイクロ秒) | |
writeMetric | 1 秒あたりのデータパブリッシングリクエスト数 (単位: 件数) |
データパブリッシングスループット (圧縮) (単位: KB) | |
データパブリッシングスループット (raw) (単位: KB) | |
失敗したデータパブリッシング操作 (単位: 件数) | |
1 秒あたりのデータパブリッシングレコード数 (単位: 件数) | |
データパブリッシングリクエストレイテンシ (単位: マイクロ秒) | |
サブスクリプション消費 | 消費バックログ (単位: 件数) |
消費レイテンシ (単位: 秒) | |
サブスクリプションレイテンシ (単位: 秒) |
3.2 サポートされているアラートタイプ
CloudMonitor と統合されているすべてのメトリックについて、対応するアラームを設定できます。 たとえば、スループットが指定されたしきい値を超えたときにトリガーされるアラームを設定できます。 消費レイテンシと消費バックログのしきい値アラームを設定することもできます。
詳細については、「CloudMonitor アラート」をご参照ください。
3.3 監査ログ
DataHub は Alibaba Cloud ActionTrail と統合されています。