DataWorksを使用すると、Data Lake Formation (DLF) のアクセス許可を視覚化して管理できます。 たとえば、アクセス許可の要求、アクセス許可の要求の処理、およびアクセス許可の監査を行うことができます。 これにより、完全マネージド型データレイクに対する権限を一元管理することができます。 このトピックでは、DLFの権限を管理する方法について説明します。
背景情報
DataWorksを初めて使用してDLFのアクセス許可を管理すると、DataWorksからDLFへのアクセス許可が求められます。 承認中に、システムはDataWorks用にAliyunServiceRoleForDataWorksAccessDLFという名前のサービスにリンクされたロールを作成します。 AliyunServiceRoleForDataWorksAccessDLFサービスにリンクされたロールの詳細については、「付録: DataWorksがDLFにアクセスするために使用するサービスにリンクされたロール」をご参照ください。
DLFの権限を管理するプロセス
| ロール | 説明 |
| リクエスター | リクエスタは、[アクセス許可の要求] タブでテーブルに対するアクセス許可を要求できます。 要求者は、現在のAlibaba Cloudアカウントの権限要求レコードを [権限アプリケーションレコード] タブで表示することもできます。 |
| 承認者 | 承認者は、[権限要求の処理] タブで処理待ちのテーブル権限要求を表示できます。 承認者は、現在のAlibaba Cloudアカウントのリクエスト処理レコードを [権限申請処理レコード] タブで表示することもできます。 |
| 監査者 | 監査人は、Alibaba Cloudアカウントを使用して、またはWorkspace Managerロールとテーブルのワークスペースメンバーの監査権限が割り当てられているRAMユーザーとして、[権限監査] タブに移動できます。 監査人は、特定のワークスペースメンバーから権限を取り消すこともできます。 |
[データアクセス制御] ページに移動します。
DataWorks コンソールにログインします。 左側のナビゲーションウィンドウで、 を選択します。 表示されるページで、[セキュリティセンターに移動] をクリックします。
リクエスト権限
- [権限申請] タブに移動します。
- 権限を要求するテーブルを選択します。
- [アプリケーションコンテンツ] セクションで、[エンジンタイプ] を [DLF] に設定します。 [カタログ] および [認証精度] パラメーターを設定します。 Authorization Granularityパラメーターの有効な値は、フィールドレベルの権限、テーブルレベルの権限、およびメタベースレベルの権限です。
- フィールドレベルのアクセス許可またはテーブルレベルのアクセス許可を選択した場合、[追加するテーブル] セクションでアクセス許可を要求するテーブルを選択できます。 テーブルを選択すると、テーブルに関する情報が右側に表示されます。 テーブル名の左側にある
アイコンをクリックすると、テーブル内のすべてのフィールドが表示されます。 特定またはすべてのフィールドに対する権限を要求できます。 - [メタベースレベルのアクセス許可] を選択した場合、[メタベース名] 列でアクセス許可を要求するメタデータベースの名前を選択し、[メタベースのアクセス許可] 列で要求するアクセス許可を選択できます。
- フィールドレベルのアクセス許可またはテーブルレベルのアクセス許可を選択した場合、[追加するテーブル] セクションでアクセス許可を要求するテーブルを選択できます。 テーブルを選択すると、テーブルに関する情報が右側に表示されます。 テーブル名の左側にある
- [アプリケーションコンテンツ] セクションで、[エンジンタイプ] を [DLF] に設定します。 [カタログ] および [認証精度] パラメーターを設定します。
- [アプリケーション情報] セクションで、パラメーターを設定します。
パラメーター 説明 ユーザー 権限を要求するアカウントまたはユーザー。 - 現在のログインアカウント: 現在のワークスペースへのアクセスに使用されるAlibaba Cloudアカウントの権限を要求することを示します。
- 他人に代わって申請: 現在のワークスペースへのアクセスに使用されていないAlibaba Cloudアカウントの権限を要求することを示します。 このオプションを選択する場合は、Usernameパラメーターを設定する必要があります。
ワークスペース テーブルを使用するワークスペース。 アプリケーション期間 テーブルに対する要求された権限の有効期間。 有効期間が経過すると、権限は自動的に取り消されます。 アプリケーションの理由 権限を要求する理由。 - [Apply for permission] をクリックしてリクエストを送信します。 [権限アプリケーションレコード] タブで、現在のリクエストの処理の詳細とレコードを表示できます。
プロセス権限要求
- 保留中の権限リクエストに関する情報を表示します。 [権限アプリケーション処理] タブで、エンジンタイプを [DLF] に設定し、その他のパラメーターを設定して、現在のAlibaba Cloudアカウント内の保留中の権限リクエストを検索します。説明 異なる所有者に属する複数のテーブルに対する権限が要求された場合、システムはテーブルの所有者に基づいて要求を複数の要求に分割します。
- 権限リクエストの詳細を表示します。 権限リクエストを見つけて、[操作] 列の [承認] をクリックします。 [承認の詳細] ダイアログボックスで、権限リクエストの詳細と処理レコードを表示できます。
- アクセス許可要求を処理します。 単一の権限リクエストを処理するには、コメントを入力し、ビジネス要件に基づいて [同意] または [拒否] をクリックします。複数の権限リクエストを同時に処理するには、[権限アプリケーションの処理] タブで処理する権限リクエストを選択し、[一括同意] または [一括拒否] をクリックしてコメントを入力します。
履歴アクセス許可リクエストとその処理レコードの表示
権限リクエストレコードを表示します。 承認ステータス、申請時間、ワークスペースなどのフィルター条件を指定して、現在のAlibaba Cloudアカウントの権限要求レコードを表示できます。
権限リクエストの詳細を表示するには、リクエストの [操作] 列の [詳細の表示] をクリックします。 承認状態が承認中のリクエストを引き続き処理できます。
リクエスト処理レコードを表示します。 [アプリケーションアカウント番号] 、[承認結果] 、[ワークスペース] などのフィルター条件を指定して、現在のAlibaba Cloudアカウントのリクエスト処理レコードを表示できます。
権限リクエストの詳細を表示するには、リクエストの [操作] 列の [詳細の表示] をクリックします。