認証情報は、Alibaba Cloud RAM ユーザーまたは RAM ロールをデータソースのアクセスアカウントにマッピングします。管理者が認証情報を設定すると、ユーザーは DataWorks で StarRocks、Hive、Lindorm のデータアクセス権限をリクエストでき、アクセスの制御は Ranger によって強制されます。
概要
ユーザーが DataWorks を介して StarRocks、Hive、Lindorm などのデータソースにアクセスする際、これらのデータエンジンは Alibaba Cloud RAM ユーザーまたは RAM ロールによるネイティブ認証をサポートしていません。代わりに、ユーザー名やパスワードなど、データソース独自のアカウントが必要です。認証情報機能は、RAM ユーザーまたは RAM ロールをデータソースのアクセスアカウントに集中的にマッピングします。これにより、認証情報の漏洩、悪意のある改ざん、権限の乱用などのリスクを軽減します。
認証情報は、Ranger のアクセスの制御ワークフローに次のように適合します:
Ranger 構成の追加:セキュリティセンターで Ranger インスタンスの接続情報を設定します。詳細については、「Ranger 構成の追加」をご参照ください。
サービス関連付けの追加:StarRocks、Hive、または Lindorm タイプのサービスを Ranger インスタンスに追加します。詳細については、「サービスの追加」をご参照ください。
認証情報の設定:RAM ユーザーまたは RAM ロールを対応するデータソースアカウントにマッピングします。
権限のリクエスト:ユーザーは で権限リクエストを送信します。セキュリティ管理者がリクエストを承認すると、Ranger は自動的にポリシーを生成します。
前提条件
Ranger の構成とサービスの関連付けが完了していること。詳細については、「Ranger 構成の追加」をご参照ください。
認証情報ページにアクセスして設定を行うには、Tenant Administrator である必要があります。
認証情報ページへの移動
DataWorks コンソールにログインします。上部のナビゲーションバーで、目的のリージョンを選択します。左側のナビゲーションウィンドウで、 を選択します。表示されたページで、[セキュリティセンターへ移動] をクリックします。
左側のナビゲーションウィンドウで、Identity Credentials をクリックします。
認証情報の追加
Identity Credentials ページで、左上隅にある New をクリックします。New Access Identity ダイアログボックスで、次のパラメーターを設定します。
パラメーター | Description |
Alibaba Cloud RAM user/Role | この認証情報を使用してデータソースにアクセスする RAM ユーザーまたは RAM ロールを選択します。 |
Data Source Type | アクセスするデータソースのタイプを選択します。サポートされているタイプ:StarRocks、Hive、Lindorm。 説明 選択したデータソースタイプは、設定済みの Ranger サービスタイプと一致する必要があります。たとえば、Lindorm の権限をリクエストするには、Ranger で Lindorm タイプのサービスを設定する必要があります。 |
Cluster/Instance | 選択したデータソースタイプに基づいて、対応するクラスターまたはインスタンスを選択します:
重要 対応する Cluster/Instance のリストを取得するには、 |
Account Type | アカウントタイプを選択します。アカウントタイプによって、ユーザーが承認権限を持つかどうかが決まります:
|
Account Name | Alibaba Cloud RAM ユーザーまたは RAM ロールがデータソースへのアクセスに使用するアカウント名です。 重要 このアカウント名は、Ranger で設定されたユーザー名と一致する必要があります。一致しない場合、Ranger は権限ポリシーを正しく照合できません。 |
Account password | Alibaba Cloud RAM ユーザーまたは RAM ロールがデータソースへのアクセスに使用するパスワードです。 |
次のステップ
認証情報を設定した後、ユーザーは に移動し、アクセスが必要なデータベースまたはテーブルを選択して、権限リクエストを送信できます。詳細については、「データアクセスの制御」をご参照ください。