DataStudio の セキュリティ設定とその他の設定 タブでは、ワークスペース単位のデータセキュリティおよび開発ガバナンスを制御できます。本トピックでは、このタブに用意された 5 つの設定(データマスキング、コードおよびログの隔離、コミット/デプロイ影響プロンプト、強制コードレビュー、強制スモークテスト)の構成方法について説明します。
前提条件
開始する前に、以下の条件を満たしていることを確認してください。
DataWorks コンソールへのアクセス権限があること
「セキュリティ設定とその他の設定」タブへ移動
DataWorks コンソール にログインします。左側ナビゲーションウィンドウで、データモデリングと開発 > DataStudio を選択します。ドロップダウンリストから対象のワークスペースを選択し、DataStudio へ移動 をクリックします。
DataStudio ページの左側ナビゲーションウィンドウ下部にある
アイコンをクリックして、設定項目 ページへ移動します。設定項目 ページで、セキュリティ設定とその他の設定 タブをクリックします。
データマスキングの有効化
適用範囲: この設定は、現在のワークスペースにのみ適用されます。
DataWorks には組み込みのデータマスキングルールが含まれています。データマスキングを有効化すると、組み込みルールに一致するクエリ結果が表示される際に自動的にマスクされます(動的データマスキング)。ただし、元のデータ自体は変更されません。組み込みルールで要件を満たせない場合は、データセキュリティガード でカスタムのデータマスキングルールを作成し、クエリ結果に適用してください。
データマスキングが無効の場合、クエリ結果に機微な情報がそのまま表示される可能性があります。この設定はワークスペース単位であるため、あるワークスペースで有効化しても、他のワークスペースのクエリ結果は保護されません。たとえば、ワークスペース A でマスキングを有効化し、ワークスペース B では無効化した場合、ワークスペース B のメンバーがワークスペース A のテーブルをクエリする権限を持っていると、ワークスペース B からクエリを実行した際にはプレーンテキストでデータが表示されます。
データマスキングを有効化するには、データセキュリティ セクション内の ページ内クエリ結果のデータをマスク スイッチをオンにします。設定は即時反映されます。
組み込みデータマスキングルール
| データ型 | マスキングルール | マスキング前 | マスキング後 |
|---|---|---|---|
| 身分証明書番号 | 15 桁または 18 桁の身分証明書番号について、先頭および末尾の数字のみを表示し、それ以外の数字はアスタリスク (*) で置き換えます。 | 111222190002309999 | 1*************9 |
| 携帯電話番号 | 中国本土の携帯電話番号について、先頭 7 桁のみを表示し、末尾 4 桁をアスタリスク (*) で置き換えます。 | 13900001234 | 1390000**** |
| メールアドレス | ローカル部分(@ より前の部分)が 3 文字以上の場合、最初の 3 文字が表示され、残りの文字は * で置き換えられます。ローカル部分が 3 文字未満の場合、すべての文字が表示された後、3 つの * が続きます。 | username@example.com / a@example.net | use***@example.com / a***@example.net |
| 銀行カード番号 | クレジットカードまたは預金口座カードの番号について、末尾 4 桁のみを表示し、それ以外の桁をアスタリスク (*) で置き換えます。 | 6888 8888 8888 8888 / 4666 6666 6666 6666 | **** **** **** 8888 / **** **** **** 6666 |
| IP アドレスまたは MAC アドレス | IP アドレスまたはメディアアクセス制御 (MAC) アドレスについて、先頭セクションのみを表示し、それ以外のセクションをアスタリスク (*) で置き換えます。 | 192.168.0.1 / 01-80-C2-00-00-00 | 192.***.*.* / 01-**-**-**-**-** |
| 車両登録番号 | 車両登録番号について、地域情報を含む先頭部分と末尾 3 文字のみを表示し、それ以外の文字をアスタリスク (*) で置き換えます。 | (都道府県略称) A 666666 / (都道府県略称) A 888888 | (都道府県略称) A***666 / (都道府県略称) A***888 |
コードおよびログの隔離の有効化
コードおよびログの隔離を有効化すると、ワークスペースのメンバーでないユーザーは、ワークスペース内の任意のノードのコードおよび実行ログを閲覧できなくなります。ユーザーにアクセス権限を付与するには、ワークスペース管理者が当該ユーザーのアカウントをワークスペースのメンバーとして追加する必要があります。詳細については、「ワークスペースレベルサービスの権限管理」をご参照ください。
コミット/デプロイ影響プロンプトの有効化
このプロンプトを有効化すると、ノードをコミットまたはデプロイする際に、DataStudio が当該ノードが属する ベースライン を表示します。これにより、操作を実行する前に、変更が同じベースラインに関連付けられた他のノードに影響を与えるかどうかを評価できます。
強制コードレビューの有効化
強制コードレビューを有効化すると、開発者がコミットしたノードのコードは、コードレビューを通過しない限りデプロイできません。これにより、変更が有効になる前に人による承認を必須とすることで、本番環境の安定性を確保できます。また、ベースラインの優先度に基づいてレビュー範囲を制御できるため、高優先度のノードに対してはより厳格なレビューを実施できます。
強制コードレビューを有効化するには、コードレビュー セクションのパラメーターを、セキュリティ設定とその他の設定 タブで構成します。
| パラメーター | 説明 |
|---|---|
| コードレビュー担当者 | コミット後のノードコードのレビュー担当者を指定します。すべての開発者ロール:ワークスペース内で開発者ロールが割り当てられたすべてのユーザーが候補となり、コミット時に開発者が具体的なレビュー担当者を選択します。開発者ロールユーザーを指定:ワークスペース全体のデフォルトコードレビュー担当者として、特定のユーザーを事前に設定します。 |
| コードレビュー対象のベースライン範囲 | コミット時にコードレビューを実施するノードを決定します。「ベースラインなしのタスク」を選択すると、新規作成されたノードにコードレビューが適用されます。1 つ以上のベースラインタスクレベルを選択すると、当該優先度レベルのベースラインに属するノードにコードレビューが適用されます。ベースラインタスクレベルの数値が大きいほど優先度が高く、ベースライン付きノードはベースラインなしノードよりも優先度が高いです。ベースラインの詳細については、「概要」をご参照ください。 |
コードレビューのワークフローの詳細については、「コードレビュー」をご参照ください。
強制スモークテストの有効化
強制スモークテストを有効化すると、ノードはスモークテストに合格しなければデプロイできません。これにより、設定ミスや論理的な問題を早期に検出し、本番環境に不具合のあるノードが導入されるリスクを低減できます。
強制スモークテストを有効化するには、スモークテスト セクションのスイッチを、セキュリティ設定とその他の設定 タブでオンにします。
この機能を有効化した後は、以下のようになります。
ノードに対してスモークテストが実行されていない場合、または実行済みでも失敗した場合、ステータス 列に チェック失敗 と表示され、デプロイタスクの作成 ページ上でノードをデプロイできません。
特殊なシナリオでスモークテストに失敗したノードをデプロイする必要がある場合は、デプロイタスクの作成 ページに移動し、ワークスペース管理者としてスモークテストの ステータス を手動で 成功 に設定します。その後、ノードをデプロイできます。
ノードのデプロイに関する詳細については、「ノードのデプロイ」をご参照ください。