DataWorks は、承認 ID の設定、権限申請、権限申請の承認など、Hologres データへのアクセスを制御する機能を提供します。[権限申請履歴] ページで権限申請履歴を確認し、[権限申請処理] ページで承認タスクを処理できます。このトピックでは、Hologres データへのアクセスを制御する方法について説明します。
前提条件
-
Hologres インスタンスが作成されていること。詳細については、「Hologres インスタンスの購入」をご参照ください。
-
Hologres データソースが追加されていること。詳細については、「Hologres データソース」をご参照ください。
-
Hologres のメタデータ収集が完了していること。詳細については、「メタデータ収集」をご参照ください。
-
Hologres テーブルを含むデータベースの Permission Policy は、[標準 PostgreSQL 権限モデル] である必要があります。 詳細については、「権限モデルの切り替え」をご参照ください。
権限の申請
データアクセス制御ページで権限を申請するには、Application Content および Application information セクションで情報を設定する必要があります。
-
DataWorks コンソールにログインします。左側のナビゲーションペインで、を選択します。表示されたページで、[セキュリティセンターへ移動]をクリックします。
-
Security Center の左側のナビゲーションペインで、 を選択します。
-
Data Access Control ページで、[権限申請] タブをクリックすると、MaxCompute のテーブル、リソース、または関数の権限を申請できます。
テーブル権限
テーブル権限を申請する際、対象テーブルを追加した後、必要に応じてTable-level permissionsまたはSelected Columnsを申請できます。
パラメーター
説明
[Application Content]
[Data Source Type]
MaxCompute を選択します。
[Application Type]
テーブル[Workspace]
リクエストしたい
tableを含むワークスペースを選択します。[MaxCompute Project]
テーブルを含むワークスペースにバインドされている MaxCompute プロジェクト。[Schema]
テーブルが配置されているスキーマが表示されます。
[Tables to Be Added]
テーブルレベルの権限を申請
以下のテーブルレベルの権限を申請できます:
Select、Update[, ]Download[, ]Describe[, ]Alter[, ]Drop。列レベルの権限を申請
以下の列レベルの権限を申請できます:
Select、Update[, ]Download。説明-
MaxCompute プロジェクトで
labelsecurityが有効になっておらず、テーブルレベルのSelectおよびUpdate権限を正常に取得した場合、テーブルに追加された新しい列は、SelectおよびUpdate権限を自動的に継承します。 -
MaxCompute プロジェクトで
labelsecurityが有効になっている場合、列レベルの権限を申請してください。これは、新しい列がテーブルレベルの権限を自動的に継承しないためです。
リソース権限
パラメーター
説明
[Application Content]
[Data Source Type]
MaxCompute を選択します。
[Application Type]
リソース[Workspace]
対象の
リソースが含まれるワークスペースを選択します。[Project]
リソースが含まれるワークスペースにバインドされている MaxCompute プロジェクトが表示されます。[Resource Name]
権限を申請する
リソースの名前です。関数権限
パラメーター
説明
[Application Content]
[Data Source Type]
MaxCompute を選択します。
[Application Type]
関数[Workspace]
対象の
関数が配置されているワークスペースを選択します。[Project]
関数が配置されているワークスペースにバインドされている MaxCompute プロジェクトが表示されます。[Function Name]
権限を申請する
関数の名前です。 -
-
Application information を設定します。
パラメーター
説明
[Application information]
[User]
対象リソースの権限が必要なアカウントを選択します。
-
[Current login account]: 現在ログイン中の Alibaba Cloud アカウントの権限を要求します。
-
[Account Used for Scheduling]: スケジューリングアクセス ID として設定されている RAM ユーザーに対し、対象テーブルの権限を要求します。
-
[Apply on Behalf of Others]:このオプションを選択すると、現在の Alibaba Cloud アカウントは、別の Alibaba Cloud アカウントの代理として対象テーブルの権限を申請できます。このオプションを選択した場合、Username パラメーターを指定する必要があります。
[Application duration]
権限の有効期間をカスタマイズできます。指定した期間が経過すると、権限は自動的に取り消されます。
説明この機能を使用する前に、テーブルが配置されている MaxCompute プロジェクトでポリシーベースの承認が有効になっていることを確認してください。詳細については、「MaxCompute のデータ権限コントロールの詳細」をご参照ください。MaxCompute ポリシーの詳細については、「ポリシーベースのアクセスコントロール」をご参照ください。
[Reason for Application]
権限申請の理由を簡潔に記述して、承認者が申請を理解しやすくします。
-
-
Apply for Permissions をクリックして、申請を送信します。
Permission Application Records タブで、現在のリクエストの承認詳細と承認履歴を表示できます。
承認 ID の設定
DataWorks は、承認 ID と呼ばれる指定されたユーザーを使用して Hologres インスタンスにアクセスします。
-
[データアクセス制御]ページのApplication Contentセクションで、ホログレス を ホログレス に設定します。現在のインスタンスに承認済み ID が設定されていない場合、次のメッセージが表示されます。Determineをクリックします。
メッセージのタイトルは「承認 ID の設定」です。メッセージには次のように表示されます。「現在のインスタンスには、管理者によって承認 ID が設定されていません。この ID は、Hologres インスタンスに対して承認コマンドを発行するために使用されます。Alibaba Cloud アカウントの所有者、または AdministratorAccess ポリシーを持つ RAM ユーザーに連絡し、先にこのページで設定を完了してもらってください。」
-
Authorized Identity をクリックし、次に Configure Authorization Identity をクリックします。
-
Hologres instance authorization identity configuration ウィンドウで、表示されている各 Hologres インスタンスに認可 ID を指定します。各インスタンスで、認可コマンドを実行する Alibaba Cloud アカウントまたは RAM ユーザーを選択し、[OK] をクリックして設定を保存します。
説明承認 ID が RAM ユーザーの場合、その RAM ユーザーに AliyunHologresReadOnlyAccess ポリシーが付与され、Hologres インスタンスで
SuperUserロールが割り当てられていることを確認してください。
権限申請
-
Permission Application タブに移動します。
-
権限を申請するテーブルを選択します。
-
Data Source Type を ホログレス に設定し、Hologres Instance と Database を指定します。
-
左側のTables to Be Added セクションで、権限を申請するデータテーブルを選択します。
-
テーブル内で、申請する権限を選択します。サポートされているテーブルレベル権限は、
Select、Insert、Update、Delete、Truncate、ALLです。-
権限列のヘッダー行のチェックボックスを選択すると、選択したすべてのテーブルに対してその権限が申請されます。
-
特定のテーブルの権限を削除するには、そのテーブルの対応するチェックボックスをオフにします。
-
-
-
Application information セクションを設定します。
パラメータ
[Description]
[User]
権限が必要なアカウントを選択します。
-
[Current login account]: DataWorks ワークスペースに現在ログインしている Alibaba Cloud アカウントの権限を申請します。
-
[Apply on Behalf of Others]:他の Alibaba Cloud アカウントの権限を申請します。このオプションを選択した場合、Other identity パラメーターを指定する必要があります。
[Reason for Application]
テーブルに対する権限を申請する理由を入力します。
Hologres のテーブルレベル権限は永続的です。有効期限を設定することはできません。
-
-
Apply for Permissions をクリックして、リクエストを送信します。
[権限申請履歴] ページで、申請の承認詳細と履歴を確認できます。
権限承認
-
保留中の申請を表示します。
左側のナビゲーションペインで、[アプリケーションと承認] > [権限申請処理] を選択し、[データアクセス制御] タブをクリックします。Data Source Type を ホログレス に設定し、フィルターを使用して承認が必要な権限申請を表示します。
説明1 つの権限申請に異なる所有者のテーブルが含まれている場合、システムはテーブル所有者に基づいて自動的に複数の申請に分割します。
-
承認の詳細を表示します。
対象のリクエストを見つけ、Operation 列にある Approval をクリックします。Approval details ダイアログボックスで、リクエストの Application Details や Approval record などの情報を表示できます。
-
申請を承認または拒否します。
申請詳細とビジネス要件に基づいて、Approval Comments を入力し、Agree または Reject をクリックします。
あるいは、[権限申請処理] ページで複数のリクエストを選択し、Batch Agree または Batch Reject をクリックし、Approval Comments を入力して、リクエストを一括で処理することもできます。
権限申請と承認の履歴
-
権限申請レコードを表示するには、左側のナビゲーションペインで[アプリケーションと承認] > [権限申請レコード]を選択し、次に[データアクセス制御]タブをクリックします。お使いの Alibaba Cloud アカウントのレコードを、Approval status、Application Time、Hologres Instanceなどの条件で絞り込むことができます。
また、特定のリクエストのOperation列にあるView detailsをクリックして、詳細情報を表示することもできます。Approval statusが承認中のリクエストについては、リクエストをWithdrawalできます。
-
権限承認レコードを表示するには、左側のナビゲーションペインで、[アプリケーションと承認] > [権限申請処理] を選択し、次に [データアクセス制御] タブをクリックします。タスクステータスを All に設定します。ご使用の Alibaba Cloud アカウントの承認レコードを、Application account number、Approval Results、Hologres Instance などの基準で絞り込むことができます。