すべてのプロダクト
Search
ドキュメントセンター

DataWorks:認証情報

最終更新日:Apr 02, 2026

認証情報は、Alibaba Cloud RAM ユーザーまたは RAM ロールをデータソースのアクセスアカウントにマッピングします。管理者が認証情報を設定すると、ユーザーは DataWorks で StarRocksHiveLindorm のデータアクセス権限をリクエストでき、アクセスの制御は Ranger によって強制されます。

概要

ユーザーが DataWorks を介して StarRocks、Hive、Lindorm などのデータソースにアクセスする際、これらのデータエンジンは Alibaba Cloud RAM ユーザーまたは RAM ロールによるネイティブ認証をサポートしていません。代わりに、ユーザー名やパスワードなど、データソース独自のアカウントが必要です。認証情報機能は、RAM ユーザーまたは RAM ロールをデータソースのアクセスアカウントに集中的にマッピングします。これにより、認証情報の漏洩、悪意のある改ざん、権限の乱用などのリスクを軽減します。

認証情報は、Ranger のアクセスの制御ワークフローに次のように適合します:

  1. Ranger 構成の追加:セキュリティセンターで Ranger インスタンスの接続情報を設定します。詳細については、「Ranger 構成の追加」をご参照ください。

  2. サービス関連付けの追加:StarRocks、Hive、または Lindorm タイプのサービスを Ranger インスタンスに追加します。詳細については、「サービスの追加」をご参照ください。

  3. 認証情報の設定:RAM ユーザーまたは RAM ロールを対応するデータソースアカウントにマッピングします。

  4. 権限のリクエスト:ユーザーは Data Access Control > Permission Application で権限リクエストを送信します。セキュリティ管理者がリクエストを承認すると、Ranger は自動的にポリシーを生成します。

前提条件

  • Ranger の構成とサービスの関連付けが完了していること。詳細については、「Ranger 構成の追加」をご参照ください。

  • 認証情報ページにアクセスして設定を行うには、Tenant Administrator である必要があります。

認証情報ページへの移動

  1. DataWorks コンソールにログインします。上部のナビゲーションバーで、目的のリージョンを選択します。左側のナビゲーションウィンドウで、[データガバナンス] > [セキュリティセンター] を選択します。表示されたページで、[セキュリティセンターへ移動] をクリックします。

  2. 左側のナビゲーションウィンドウで、Identity Credentials をクリックします。

認証情報の追加

Identity Credentials ページで、左上隅にある New をクリックします。New Access Identity ダイアログボックスで、次のパラメーターを設定します。

パラメーター

Description

Alibaba Cloud RAM user/Role

この認証情報を使用してデータソースにアクセスする RAM ユーザーまたは RAM ロールを選択します。

Data Source Type

アクセスするデータソースのタイプを選択します。サポートされているタイプ:StarRocksHiveLindorm

説明

選択したデータソースタイプは、設定済みの Ranger サービスタイプと一致する必要があります。たとえば、Lindorm の権限をリクエストするには、Ranger で Lindorm タイプのサービスを設定する必要があります。

Cluster/Instance

選択したデータソースタイプに基づいて、対応するクラスターまたはインスタンスを選択します:

  • データソースタイプが StarRocks または Hive の場合は、対応する EMR クラスターを選択します。

  • データソースタイプが Lindorm の場合は、対応する Lindorm インスタンスを選択します。

重要

対応する Cluster/Instance のリストを取得するには、AliyunEMRReadOnlyAccess または AliyunLindormReadOnlyAccess 権限が必要です。

Account Type

アカウントタイプを選択します。アカウントタイプによって、ユーザーが承認権限を持つかどうかが決まります:

  • Administrator:承認権限を持ちます。他のユーザーから送信されたデータ権限リクエストを承認または拒否できます。

  • Ordinary User:権限リクエストの送信のみ可能で、承認はできません。

    重要

    アクセスの制御の承認ワークフローを有効にするには、少なくとも 1 つの管理者アカウントを設定する必要があります。

Account Name

Alibaba Cloud RAM ユーザーまたは RAM ロールがデータソースへのアクセスに使用するアカウント名です。

重要

このアカウント名は、Ranger で設定されたユーザー名と一致する必要があります。一致しない場合、Ranger は権限ポリシーを正しく照合できません。

Account password

Alibaba Cloud RAM ユーザーまたは RAM ロールがデータソースへのアクセスに使用するパスワードです。

次のステップ

認証情報を設定した後、ユーザーは Data Access Control > Permission Application に移動し、アクセスが必要なデータベースまたはテーブルを選択して、権限リクエストを送信できます。詳細については、「データアクセスの制御」をご参照ください。