概要
データアクセス制御は、DataWorks のセキュリティセンターにおける機能の一つで、複数のエンジンにまたがる権限の申請、承認、監査を一元的に管理するクローズドループのポータルを提供します。この機能は、申請者、承認者、監査者という 3 つのロール向けに設計されており、MaxCompute、Hologres、Data Lake Formation (DLF)、Data Lake Formation (DLF) (Legacy)、Hive (EMR)、Lindorm、StarRocks の 7 つのエンジンに対する資産の権限制御をサポートしています。
パス: DataWorks コンソール > データガバナンス > セキュリティセンター > データプラットフォームセキュリティ > データアクセス制御。
ページの構成
データアクセス制御ページには、以下の 6 つのタブが含まれています。一部のタブの表示/非表示は、有効になっているエンジンや機能によって異なる場合があります。
タブ |
説明 |
権限申請 |
ユーザーがエンジン内のデータ資産 (テーブル、データベース、列、リソース、関数など) の権限を申請します。申請が送信されると、承認プロセスに入ります。 |
直接付与 |
管理者が指定された RAM ユーザーまたは RAM ロールに対し、承認プロセスを介さずに一連のリソース権限を直接付与します。詳細については、後述の「直接付与」セクションをご参照ください。 |
権限承認 |
承認者が、受信した権限申請を承認または拒否します。このタブは、将来的に [申請と承認] > [自分の承認タスク] ページに移行される予定です。 |
権限申請記録 |
現在のアカウントが送信したすべての権限申請記録を表示します。このタブは、将来的に [申請と承認] > [自分の申請] ページに移行される予定です。 |
権限承認記録 |
このタブは利用できなくなりました。権限承認記録を表示するには、[申請と承認] > [自分の承認タスク] に移動し、タスクのステータスを [すべて] に設定します。 |
権限監査 |
ユーザーが保有するデータ権限を表示または取り消しできます。この機能は現在、MaxCompute エンジンでのみサポートされています。 |
エンジンごとの違い
申請粒度、直接付与、有効期間、更新、権限監査などの機能は、エンジンによって異なります。次の表は、簡単な比較を示したものです。UI に表示されるエンジンは、ワークスペースで有効になっているエンジンと、バックエンドの権限によって決まります。
エンジン |
申請粒度 |
直接付与 |
有効期間 |
更新 |
取り下げ |
権限監査 |
MaxCompute |
テーブル/リソース/関数 (テーブルは列レベルに対応) |
サポート |
1/3/6/12 か月、無期限、またはカスタム |
サポート |
サポート |
サポート |
Hologres |
テーブル (データベース配下のテーブル) |
サポート (RAM ユーザーのみ) |
無期限のみ |
非対応 |
サポート |
非対応 |
Data Lake Formation (DLF) |
メタデータデータベース/テーブル/列 |
サポート |
無期限のみ |
非対応 |
サポート |
非対応 |
Data Lake Formation (DLF) (Legacy) |
カタログ/スキーマ/テーブル/列 |
サポート |
カスタム期間 |
サポート |
サポート |
非対応 |
Hive (EMR) |
データベース/テーブル |
サポート (RAM ユーザーのみ) |
無期限のみ |
非対応 |
サポート |
非対応 |
Lindorm |
テーブル |
サポート (RAM ユーザーのみ) |
無期限のみ |
非対応 |
サポート |
非対応 |
StarRocks |
データベース/テーブル |
サポート |
無期限のみ |
非対応 |
サポート |
非対応 |
更新と取り下げの前提条件:更新は承認済みの申請に対してのみ有効であり、取り下げは承認待ちの申請に対してのみ有効です。エンジン間の違いはバックエンドのポリシーによって決まります。実際の機能は、ページに表示される内容に準じます。
直接付与
直接付与は、権限申請と並ぶ独立したタブです。これにより、管理者 (通常はワークスペース管理者または付与権限を持つ RAM ユーザー) は、承認プロセスを経ずに、指定された RAM ユーザーまたは RAM ロールに一連のリソース権限を直接付与することができます。付与された権限は即時に有効になります。
-
アクセス方法:データアクセス制御ページで、[直接付与] タブをクリックします。
-
付与対象:RAM ユーザーまたは RAM ロールに対応しています。RAM ロールに権限を付与できるかどうかは、リソースタイプによって決まります:一部のエンジンやリソースタイプは RAM ユーザーのみに対応しています。この場合、RAM ロールのオプションはグレーアウトされ、「This resource type supports only RAM users.」というメッセージが表示されます。たとえば、Hologres エンジンの直接付与機能は RAM ユーザーのみに対応しています。
-
設定項目:権限申請と同じです。まず、申請内容 (データソースタイプ、ワークスペース、プロジェクト、テーブルなど) を選択し、次に付与情報を設定します。
付与対象タイプ:RAM ユーザーまたは RAM ロール。
付与対象:選択したタイプに基づいて、特定の RAM ユーザーまたは RAM ロールを選択します。
有効期間:権限申請の有効期間と同じです。Hologres エンジンの場合、このフィールドは非表示になり、有効期間は「無期限」に設定されます。
付与理由:任意。
-
送信:[付与を確認] をクリックすると、権限が即時に書き込まれます。送信が成功すると、フォームは自動的にクリアされます。ページはリダイレクトされません。
-
権限申請との違い:直接付与は承認プロセスを経ないため、[自分の申請] には記録が生成されません。付与理由は任意です。[申請アカウントタイプ] オプションは表示されません。
-
操作の帰属:監査ログやバックエンドログにおける関連する付与記録は、現在ログインしているアカウントに帰属します。付与操作を実行する際は、適切なアカウントを使用していることを確認してください。
エンジン別のガイド
権限の申請、承認、設定のプロセスはエンジンによって異なります。詳細な手順については、対応するエンジンのドキュメントをご参照ください。