DataWorks は、Data Lake Formation (DLF) および DLF-Legacy 向けに、権限申請、承認、監査の可視化機能を提供し、データレイクの統一的な権限管理を支援します。[マイアプリケーション] ページで権限申請レコードを表示し、[マイ承認タスク] ページで申請の承認と承認レコードの表示ができます。このトピックでは、DLF におけるデータアクセス権限の管理方法について説明します。
背景情報
DataWorks を初めて使用して DLF の権限を管理する際、DataWorks に DLF へのアクセス権限の付与を求められます。権限を付与すると、AliyunServiceRoleForDataWorksAccessDLF という名前のサービスリンクロールが自動的に作成されます。AliyunServiceRoleForDataWorksAccessDLF ロールのポリシーの詳細については、「DataWorks が DLF にアクセスするためのサービスリンクロール」をご参照ください。
DataWorks のデータアクセスコントロール機能は、以下の 2 つの DLF エンジンタイプをサポートしています。
-
DLF:DLF 3.0。よりきめ細かい粒度の権限管理を提供し、メタベース、テーブル、列レベルでの権限申請をサポートします。
-
DLF-Legacy:DLF の以前のバージョンで、従来の権限管理方法を保持しています。
DLF 3.0 と DLF-Legacy では機能が異なります。使用しているバージョンに応じた手順を選択してください。
項目 |
Data Lake Formation (DLF 3.0) |
DLF-Legacy |
申請粒度 |
メタベース / テーブル / 列 |
カタログ / スキーマ / テーブル / 列 |
列レベルの権限の範囲 |
DLF 内の内部 Paimon テーブルのみが列レベルの権限管理をサポートします。 |
列レベルの申請では、Select 権限のみが利用できます。 |
権限の有効期間 |
無期限のみ (変更不可) |
カスタム期間に対応しています。有効期限が切れると、権限は自動的に失効します。 |
更新 |
サポート対象外 |
サポート対象 (承認された申請は、有効期限が切れる前に [マイアプリケーション] ページで更新できます) |
権限監査 |
サポート対象外 ([権限監査] タブは現在 MaxCompute のみをサポートしています) |
サポート対象外 ([権限監査] タブは現在 MaxCompute のみをサポートしています) |
DLF データアクセス権限管理プロセス

|
[Role] |
説明 |
|
権限申請者 |
権限申請ページでテーブル権限を申請できます。送信した申請については、[マイアプリケーション] ページで現在の Alibaba Cloud アカウントの申請レコードを表示できます。 |
|
権限承認者 |
[マイ承認タスク] ページで、承認待ちのテーブル権限申請を表示できます。承認済みの申請については、[マイ承認タスク] ページで現在の Alibaba Cloud アカウントが承認したテーブルを表示できます。 |
|
権限監査人 |
Alibaba Cloud アカウントの所有者またはワークスペースの管理者は、Permission Audit ページに移動して、ワークスペースのメンバーとそのテーブル権限を表示できます。また、ワークスペース内の特定のメンバーから権限を取り消すこともできます。 |
データアクセスコントロールへのアクセス
DataWorks コンソールにログインします。 左側のナビゲーションウィンドウで、 を選択します。 表示されるページで、[セキュリティセンターに移動] をクリックします。
権限申請
-
Data Platform Security > Data access control > Permission Application の順にクリックして、Permission Application タブに移動します。Application Content セクションで、Engine Type を選択します。
DLF 関連のデータソースタイプには以下が含まれます。
-
DLF:DLF 3.0。
-
DLF-Legacy:DLF の以前のバージョン。
説明以下の手順では、[Data Lake Formation (DLF)] を例に説明します。[DLF-Legacy] を選択した場合も、操作は同様です。権限付与の粒度には 4 つのレベル ([カタログ / スキーマ / テーブル / 列]) が含まれます。権限の有効期間は [カスタム期間] に対応しており、承認済みの申請は更新可能です。その他の手順は DLF 3.0 と同じです。
-
-
Granularity of authorization と Catalog を設定し、権限を申請するオブジェクトを選択します。
以下の 3 つの権限付与の粒度レベルが利用できます。
-
Metabase レベルの権限: 権限を申請する Metabase を選択し、Metabase permissions 列で希望する権限を選択します。
利用可能な権限には、
Describe、Alter、Drop、CreateTable、CreateFunction、Listが含まれます。 -
テーブルレベルの権限: Tables to Be Added セクションで、対象のテーブルを選択します。 テーブルを選択すると、その情報が右側に表示されます。 対応する権限列で必要な権限を選択します。
利用可能な権限には、
Select、Update、Alter、Dropなどが含まれます。 -
列レベルの権限: Tables to Be Added セクションで、対象のテーブルを選択します。 テーブルを選択すると、テーブルとその列情報が右側に表示されます。 テーブル名の横にある展開アイコンをクリックしてすべての列を表示し、[選択] 列で目的の列権限を選択します。
説明DLF 内の内部 Paimon テーブルのみが列レベルの権限管理をサポートします。
-
-
Application information を設定します。
パラメーター
[Description]
[User]
権限を申請するユーザーを選択します。
-
[Current login account]:DataWorks ワークスペースに現在ログインしている Alibaba Cloud アカウントに対して、対象テーブルの権限を申請します。
-
[Apply on Behalf of Others]: 別の Alibaba Cloud アカウントに対して、対象テーブルの権限を申請します。 このオプションを選択した場合は、Username パラメーターを設定します。
-
[DLF role]:DLF ロールに対して権限を申請します。このオプションを選択した場合は、ドロップダウンリストから複数の DLF ロールを選択できます。このオプションは、[Data Lake Formation (DLF)] データソースタイプでのみ利用できます。
[Application duration]
権限の有効期間を選択します。
-
データソースタイプが [Data Lake Formation (DLF)] の場合、[無期限] のみがサポートされています。
-
データソースタイプが [DLF-Legacy] の場合、カスタム期間を指定できます。有効期限が切れると、権限は自動的に失効します。
[Reason for Application]
対象テーブルの権限を申請する理由を入力します。
-
-
Apply for Permissions をクリックしてリクエストを送信します。
Permission Application Records タブで、現在のリクエストの承認詳細と承認記録を表示できます。
権限承認
RAM ユーザーが承認操作を実行するには、Admin (データレイク管理者) または super_administrator ロールを持っている必要があります。
-
承認待ちの申請を表示します。
左側のナビゲーションペインで、[申請と承認] > [マイ承認タスク] を選択し、[データアクセスコントロール] タブをクリックします。エンジンタイプ [Data Lake Formation (DLF)] または [DLF-Legacy] を選択し、フィルター条件を使用して、現在の Alibaba Cloud アカウントの承認待ちの申請を表示します。
説明1 つの申請に複数のテーブルの権限申請が含まれている場合、申請はテーブル所有者に基づいて自動的に複数の申請に分割されます。
-
承認詳細を表示します。
対象のリクエストの Operation 列にある Approval をクリックします。Approval details ダイアログで、Application Details や Approval record などの詳細を確認できます。
-
申請を承認または却下します。
リクエストの詳細と要件に基づいてリクエストを承認するかどうかを決定し、Approval Comments を入力して Agree または Reject をクリックします。
また、自分の承認タスク ページですべての申請を選択し、Batch Agree または Batch Reject をクリックすることもできます。Approval Comments を入力して、申請をまとめて処理します。
権限申請および承認レコードの表示
-
DLF 権限申請レコードは [取り下げ] ([承認待ち] ステータスの申請のみ) をサポートしています。更新機能はバージョンによって異なります。[Data Lake Formation (DLF 3.0)] の権限は無期限であり、[更新はサポート対象外] です。[DLF-Legacy] はカスタム有効期間と更新をサポートしています。承認済みの申請は、[申請と承認] > [マイアプリケーション] に移動して更新できます。
-
データアクセスコントロールページの [権限監査] タブは、現在 MaxCompute エンジンのみをサポートしています。DLF の権限監査および失効は、このタブでは利用できません。DLF リソースの権限を管理するには、DLF の組み込み権限管理機能を使用してください。
-
権限申請レコードと権限承認レコードの元のタブエントリは、[申請と承認] セクションの [マイアプリケーション] および [マイ承認タスク] ページに移行されています。新しいページエントリの使用を推奨します。元の権限承認レコードタブリストは非推奨となり、移行通知のみが表示されるようになりました。[申請と承認] > [マイ承認タスク] に移動し、タスクステータスを [すべて] に設定してレコードを表示してください。
権限承認レコード
左側のナビゲーションペインで、[リクエストと承認] > [自分の承認タスク] を選択し、[データアクセス制御] タブをクリックします。タスクステータスを [すべて] に設定します。その後、Application account number、Approval Results、Workspace などの基準でレコードをフィルタリングし、お使いの Alibaba Cloud アカウントの承認レコードを表示できます。
また、リクエストの View details 列の Operation をクリックして、詳細を表示することもできます。