データ中台構築とデジタルトランスフォーメーションのコアサービスである Dataphin は、データセキュリティを確保するための包括的な権限管理システムを備えています。 このトピックでは、ユーザー、ロール、権限など、Dataphin 権限システムの概要について説明します。
概念
概念 | 説明 |
権限 | 特定の機能の使用やデータの表示または変更機能など、Dataphin リソースにアクセスまたは管理する権利。 |
ユーザー | Dataphin 内で追加および管理される個人。 |
ロール | ユーザーに割り当てることができる権限のセット。 権限の付与と管理のプロセスを効率化します。 |
リソース | Dataphin 内で管理されるデータオブジェクト。 機能関連リソースとデータリソースの両方を含みます。 |
個人アカウント | Dataphin プロジェクトに関連付けられたアカウント。 |
本番アカウント | 開発、本番、Basic プロジェクトなど、作成された各プロジェクトに対応するシステム生成アカウント。 本番環境内でのさまざまなタスクとインスタンスの作成と管理を可能にします。 |
権限システム
Dataphin の権限システムでは、アクセスまたは操作されるデータオブジェクトに基づいて権限を管理できます。 権限は、グローバル、業務部門、プロジェクト、およびリソース所有者の権限に分類されます。 詳細については、以下の表を参照してください。
権限の種類 | 権限の説明 |
グローバル権限 | 計算リソースの設定やチームメンバーの管理など、Dataphin のグローバル機能に関連する権限。 具体的な権限はロールによって異なります。 グローバル権限を持つロール (グローバルロール) の詳細については、「ユーザーとロール」をご参照ください。 対応するロールを取得する方法については、「Dataphin メンバーを追加する」をご参照ください。 |
業務部門権限 | 基本的な詳細、ビジネスデータ、およびユニット管理の更新を含む、業務部門情報を管理するために必要な権限。 具体的な権限はロールによって異なります。 業務部門権限を持つロール (業務部門ロール) の詳細については、「ユーザーとロール」をご参照ください。 対応するロールを取得する方法については、「データ業務部門を作成する」をご参照ください。 |
プロジェクト権限 | コードと同期タスクの作成を含む、プロジェクト内のリソースとメンバーを管理するための権限。 具体的な権限はロールによって異なります。 プロジェクト権限を持つロール (プロジェクトロール) の詳細については、「ユーザーとロール」をご参照ください。 対応するロールを取得する方法については、「プロジェクトメンバーを追加する」をご参照ください。 |
所有者権限 | 自分が所有するリソースに関連付けられた権限。 |
RAM ユーザーに特定のロールが割り当てられると、そのロールに関連付けられた権限が取得されます。 特定のリソースに権限を適用する方法については、「権限の申請と承認」をご参照ください。
ユーザーとロール
ユーザー | Dataphin でのロールの割り当て | ロール権限 |
スーパー管理者アカウント | デフォルトでは、Alibaba Cloud アカウントは Dataphin 内でスーパー管理者として機能し、すべてのグローバルロール権限を網羅します。 ビジネスニーズに応じて、特定のグローバルロールを削除できます。 詳細については、「Dataphin メンバーを追加する」をご参照ください。 | 通常、Dataphin の全権限を持つ Alibaba Cloud アカウントは、企業の管理者が使用します。 開発者、O&M エンジニア、アナリストは、Alibaba Cloud アカウントを使用するのではなく、RAM ユーザーとして Dataphin にアクセスすることをお勧めします。 |
標準アカウント | RAM ユーザーは、Alibaba Cloud アカウントの下位アカウントです。 RAM ユーザーを Dataphin に同期し、プロジェクトメンバーとして追加し、ビジネスニーズに基づいてロールを割り当てて、詳細な権限管理を行います。 RAM ユーザーには、さまざまなレベルのアクセス制御のためにさまざまなロールを割り当てることができます。 Dataphin では、RAM ユーザーにさまざまな RAM ロールを割り当てて、差別化されたアクセス制御を実装できます。 以下の表でパラメーターを詳しく説明します。
| ロール権限の詳細については、「ユーザーとロール」をご参照ください。 |
アカウントログイン手順
Dataphin システムページにアクセスするには、Alibaba Cloud アカウントシステムを使用している場合は RAM アカウントでログインします。 企業アカウントシステムを使用している場合は、SSO アカウントでサインインします。 また、アカウントシステムのないユーザーは、組み込みの Dataphin アカウントを使用できます。
各ロールの権限
権限の種類 | ロールの種類 | 権限の概要 |
グローバルロール | スーパー管理者 | デフォルトでは、Alibaba Cloud アカウントは Dataphin でスーパー管理者権限を持ち、すべてのグローバルロール権限を網羅します。 |
システム管理者 | スーパー管理者と同じ権限を持ち、スーパー管理者の代わりとして機能します。 | |
データソース管理者 | Dataphin 内のすべてのデータソースを追加および変更する権限があります。 | |
セキュリティ管理者 | セキュリティポリシーの作成と変更、セキュリティ監査の実施など、データ資産のセキュリティモジュールに対する包括的な権限を持ちます。 注:セキュリティ上の理由から、スーパー管理者とシステム管理者はセキュリティポリシーを変更できません。 説明 セキュリティ上の理由から、スーパー管理者とシステム管理者はセキュリティポリシーを変更することはできません。 | |
資産品質所有者 | テーブルやデータソースなどのリソースの品質ルールを設定し、データ品質レポートを表示する権限が付与されます。 | |
業務部門ロール | 業務部門アーキテクト | 基本情報とビジネス情報の更新など、業務部門の設定を管理する権限があります。 |
ビジネス所有者 | 実質的な運用権限は持ちませんが、業務部門内でのビジネスデータ使用の安定性に責任を負います。 | |
データ所有者 | 実質的な運用権限は持ちませんが、業務部門におけるデータ生成の品質に責任を負います。 | |
プロジェクトロール | プロジェクト管理者 | 計算エンジンの追加やデータソースの追加など、プロジェクトのリソースとメンバーを監督する権限があります。 ただし、このロールには業務部門を作成する権限は含まれません。 |
開発者 | パイプラインタスクの作成、データの標準化、コードタスクの生成など、プロジェクト内でデータを開発する権限があります。 | |
O&M | タスク管理、インスタンス処理、アラートの監視など、プロジェクト内のデータの運用と管理に関連する権限を持ちます。 | |
アナリスト | プロジェクト内でアドホッククエリタスクを実行する権限が付与されます。 | |
ビジター | プロジェクトタスクを表示できます。 |
ロール権限の詳細については、「組み込みのロールと権限のリスト」をご参照ください。
プロジェクト権限
一般的なロール権限に加えて、ユーザーは開発、本番、および Basic プロジェクトで個別の運用権限を持ちます。
環境 | 詳細 |
開発 |
|
本番 |
|
Basic |
|
権限の申請と承認
オペレーター | 権限プロセス | 説明 |
Dataphin メンバー | 権限の申請 | テーブルのクエリなど、特定のリソース操作に必要な権限を取得するには、権限リクエストを送信します。 申請方法の詳細については、「」および「権限の申請」をご参照ください。 |
権限の解放 | 最小権限の原則に従うために、不要になった権限を取り消すことができます。 権限の取り消し方法については、「」または「権限の申請」をご参照ください。 | |
プロジェクト管理者 | 権限の承認 | 権限申請チケットを受信すると、プロジェクト管理者はリクエストを確認して決定することができます。 管理者のオプションには、チケットの承認、拒否、転送、および別の承認者の追加が含まれます。 承認リクエストの処理方法については、「保留中のタスクを処理する」または「」をご参照ください。 |
権限の付与 | プロジェクト管理者として、ビジネスニーズに応じて、1 人のユーザーまたは複数のユーザーに複数の権限を割り当てることができます。 ユーザーに権限を付与する方法の詳細については、「」および「権限管理」をご参照ください。 | |
権限の取り消し | プロジェクト管理者として、ビジネスニーズに合わせて複数のユーザーから権限を取り消すことができます。 権限の取り消しに関する詳細な手順については、「」および「権限管理」をご参照ください。 | |
Dataphin | 有効期限切れ時の権限の取り消し | 個人アカウントの権限が期限切れになると、Dataphin は自動的に権限を取り消します。 権限の残りの有効期間と取り消しプロセスについては、「」および「権限の申請」をご参照ください。 |