DataWorks では、ロールベースアクセス制御 (RBAC) を採用し、Data Map のような単一ワークスペースに限定されない「グローバルレベルサービス」へのアクセスおよび管理を許可するユーザーを制御します。RAM ユーザーにテナントレベルのロールを割り当てることで、特定のグローバルレベルサービスへのアクセス可否およびそのサービス内での操作範囲を制御できます。
グローバルレベルサービスの仕組み
グローバルレベルサービスとは、DataWorks の上部ナビゲーションバーにワークスペース名が表示されない DataWorks サービスです。データマップ (Data Map) がその一例です。これらのサービスは、ワークスペース単位ではなく、テナント単位でスコープが設定されています。
デフォルトでは、DataWorks コンソールにログインするために使用した Alibaba Cloud アカウント内のすべての RAM ユーザーおよびロールがテナントメンバーとなり、ほとんどのテナントレベルサービスにアクセスできます。ただし、セキュリティセンター (Security Center) の管理権限を特定のユーザーに付与したり、データマップ (Data Map) へのアクセスを完全にブロックしたりするなど、特定のアクセス権限を付与または制限する場合は、適切なテナントレベルのロールを割り当ててください。
DataWorks の権限管理システムの全体構造については、「DataWorks 権限管理システムの概要」をご参照ください。
前提条件
開始する前に、以下の条件を満たしていることを確認してください。
Alibaba Cloud アカウント、テナント管理者 (Tenant Administrator) ロール、または AliyunDataWorksFullAccess または AdministratorAccess ポリシーがアタッチされた RAM ユーザー
DataWorks Enterprise Edition のワークスペースのみが、カスタムテナントレベルロールをサポートしています。ご利用のワークスペースが Enterprise Edition でない場合は、続行前に「DataWorks エディションの比較」および「エディションのスペックアップ」をご確認ください。
グローバルレベルサービス向けテナントレベルロール
DataWorks では、事前定義された権限を持つ組み込みテナントレベルロールを提供しており、さらに細かい粒度でアクセス制御を行うためにカスタムテナントレベルロールの作成も可能です。
組み込みテナントレベルロール
以下のロールは自動的にプロビジョニングされ、変更できません。
| ロール | 権限 |
|---|---|
| テナントオーナー (Tenant Owner) | DataWorks 内で最高レベルの権限を持ちます。Alibaba Cloud アカウント (root ユーザー) のみがこのロールを担当できます。すべてのグローバルレベルサービスに対して、表示・読み取り・書き込み・管理の全権限を有し、任意のテナントメンバーにロールを割り当てることができます。 |
| テナント管理者 (Tenant Administrator) | テナントレベルサービスにおいて最高レベルの権限を有します。すべてのグローバルレベルサービスに対して、表示・読み取り・書き込み・管理の全権限を有し、テナントメンバーにロールを割り当てることができます。ただし、DataWorks コンソールにおけるコントロールおよび管理操作は実行できません。これらの操作については、「RAM ポリシーを用いた DataWorks サービスの権限管理」をご参照ください。 |
| テナントユーザー (Tenant User) | Alibaba Cloud アカウント内のすべての RAM ユーザーおよびロールにデフォルトで割り当てられます。テナントレベルサービスに対して表示・読み取り・書き込みの権限を有しますが、デフォルトでは管理権限はありません。管理アクセスを付与するには、追加のロールを割り当ててください。 |
| セキュリティ管理者 (Security Administrator) | セキュリティセンター (Security Center) およびデータセキュリティガード (Data Security Guard) に対して、表示・読み取り・書き込み・管理の全権限を有します。承認センター (Approval Center) でカスタム承認ポリシーを設定できます。 |
| コンプライアンスマネージャー (Compliance Manager) | 越境データ転送リスクの検出および越境データ転送に関する自己評価リクエストのレビューが可能です。 |
| OpenPlatform 管理者 (OpenPlatform Administrator) | 開発者バックエンドに対する読み取りおよび書き込み権限を有します。 |
| データガバナンス管理者 (Data Governance Administrator) | データガバナンスセンター (Data Governance Center) に対する読み取りおよび書き込み権限を有します。これには、ガバナンス評価レポートの表示、検出されたデータガバナンス課題の確認、イベントのチェック、および関連する是正操作の実行が含まれます。データガバナンスセンターの一部の操作では、関連サービスのロールおよび権限も必要となる場合があります。「データガバナンスセンターの概要」をご参照ください。 |
カスタムテナントレベルロール
カスタムロールを使用すると、組み込みロールでカバーされていない範囲について、特定のグローバルレベルサービスへのアクセスを付与または拒否できます。以下のグローバルレベルサービスでは、カスタム権限設定がサポートされています。
| グローバルレベルサービス | 権限オプション |
|---|---|
| データセキュリティガード (Data Security Guard) | 権限なし:アクセスを拒否します。利用可能:すべての読み取り専用および管理権限を付与します。 |
| データマップ | 権限なし:アクセスを拒否します。利用可能:通常の権限を付与します。メタデータのアクセス制御(プロジェクトのメタデータを非表示にする、またはワークスペース外のメンバーによるテーブルへのアクセスを制限するなど)については、「付録:データマップにおける権限管理の概要」をご参照ください。 |
| データガバナンスセンター (Data Governance Center) | 権限なし:アクセスを拒否します。利用可能:通常の権限およびデータガバナンス権限を付与します。 |
| データ分析 (DataAnalysis) | 権限なし:アクセスを拒否します。利用可能:通常の権限を付与します。 |
| 承認センター (Approval Center) | 権限なし:アクセスを拒否します。利用可能:通常の権限および承認プロセスの管理権限を付与します。 |
| セキュリティセンター (Security Center) | 権限なし:アクセスを拒否します。利用可能:通常の権限を付与します。 |
テナントメンバーへのテナントレベルロールの割り当て
テナントメンバーとロール ページを使用して、カスタムロールを作成し、テナントメンバーにロールを割り当てます。この操作を実行できるのは、Alibaba Cloud アカウント、テナント管理者 (Tenant Administrator) ロール、または AliyunDataWorksFullAccess および AdministratorAccess ポリシーがアタッチされたユーザーのみです。
ステップ 1:テナントメンバーとロールページへ移動
管理センター (Management Center) ページの左側ナビゲーションウィンドウで、テナントメンバーとロール をクリックします。
ステップ 2:(任意)カスタムテナントレベルロールの作成
組み込みロールで要件を満たす場合は、このステップはスキップできます。
テナントロール タブで、カスタムロールの作成 をクリックします。
カスタムロールの作成 ダイアログボックスで、ロール名を入力し、各グローバルレベルサービスごとに権限設定を構成します。
作成 をクリックします。作成完了 のメッセージが表示された場合、カスタムロールの準備が整い、割り当て可能になります。
ステップ 3:メンバーへのロールの割り当て
テナントメンバー タブをクリックします。
メンバーの ロール 列で、必要に応じてテナントレベルロールを割り当てたり、削除したりします。