DataWorks:MaxCompute データアクセス制御

背景情報

標準モードのワークスペースでは、開発環境と本番環境でデフォルトの権限動作が異なります。

• 開発環境：DataWorks はワークスペースメンバーを自動的に MaxCompute プロジェクトのロールに追加し、すべてのデータに対する読み取り権限を付与します。

• 本番環境：DataWorks はワークスペースメンバーをデフォルトで MaxCompute プロジェクトのロールに追加しません。メンバーは明示的にアクセスをリクエストする必要があります。

同一ワークスペース内または他のワークスペースから本番環境のテーブル、リソース、関数にアクセスするには、セキュリティセンターを通じて権限リクエストを送信してください。権限は承認者がリクエストを承認した後にのみ有効になります。

ワークスペースモードがエンジンアクセスに与える影響の詳細については、「異なるワークスペースモードにおける MaxCompute エンジンリソースへのアクセスと権限」をご参照ください。

仕組み

データアクセス制御 機能は以下の 3 つのロールをサポートしています。

以下の図は、権限リクエストから承認までのエンドツーエンドのフローを示しています。

ユースケース

セキュリティセンターでは、すべての権限リクエストに対してデフォルトの承認フローが提供されます。このフローをカスタマイズするには、承認センター で設定してください。フィールドレベルのリクエストについては、DataWorks がリクエストされたフィールドに基づいて必要な承認フローを決定します。リソースおよび関数の権限リクエストについては、カスタム承認フローや権限監査管理はサポートされていません。

前提条件

作業を開始する前に、以下の条件を満たしていることを確認してください。

• ワークスペースに MaxCompute コンピューティングリソースをバインド していること。

• MaxCompute データ権限制御の詳細 を確認済みであること。

• 基本モードと標準モードの違い を理解していること。

権限のリクエスト

実施者： リクエスト者

データアクセス制御の 権限申請 タブから権限リクエストを送信します。

1. DataWorks コンソール にログインします。対象のリージョンに切り替え、左側のナビゲーションウィンドウで データガバナンス > セキュリティセンター を選択し、セキュリティセンターへ移動 をクリックします。

2. 左側のナビゲーションウィンドウで データプラットフォームセキュリティ > データアクセス制御 を選択します。

3. 権限申請 タブをクリックします。

4. [アプリケーションコンテンツ] セクションで、リクエストターゲットを設定します。

   テーブルに対する権限のリクエスト

   テーブルを選択した後、テーブルレベルの権限 または カラムレベルの権限 を選択します。

   パラメーター	説明
   データソースタイプ	MaxCompute を選択します。
   申請タイプ	Table
   ワークスペース	テーブルが存在するワークスペースを選択します。
   MaxCompute プロジェクト	選択したワークスペースにバインドされている MaxCompute プロジェクトです。
   スキーマ	テーブルが存在するスキーマです。
   追加するテーブル — テーブルレベル	利用可能な権限：Select、Update、Download、Describe、Alter、Drop
   追加するテーブル — カラムレベル	利用可能な権限：Select、Update、Download

   説明

   MaxCompute プロジェクトで labelsecurity が有効になっておらず、テーブルレベルで Select および Update 権限が付与されている場合、テーブルに新しく追加されたカラムは自動的にこれらの権限を継承します。labelsecurity が有効になっている場合は、新しいフィールドはテーブルレベルの権限を継承しません。フィールド権限を明示的にリクエストしてください。

   リソースに対する権限のリクエスト

   パラメーター	説明
   データソースタイプ	MaxCompute を選択します。
   申請タイプ	Resource
   ワークスペース	リソースが存在するワークスペースを選択します。
   MaxCompute プロジェクト	選択したワークスペースにバインドされている MaxCompute プロジェクトです。
   リソース名	権限をリクエストするリソースです。

   関数に対する権限のリクエスト

   パラメーター	説明
   データソースタイプ	MaxCompute を選択します。
   申請タイプ	Function
   ワークスペース	関数が存在するワークスペースを選択します。
   MaxCompute プロジェクト	選択したワークスペースにバインドされている MaxCompute プロジェクトです。
   関数名	権限をリクエストする関数です。

5. 申請情報 セクションでリクエスト者および有効期間の詳細を設定します。

   パラメーター	説明
   ユーザー	権限を付与するアカウント：現在ログイン中のアカウント、スケジューリング用アカウント（スケジューリングアクセス ID として設定された RAM ユーザー）、または 他人に代わって申請（ユーザー名 の入力が必要）。
   申請期間	権限の有効期間です。期間終了後、権限は自動的に取り消されます。このオプションを使用するには、MaxCompute プロジェクトでポリシー承認メカニズムを有効にする必要があります。「MaxCompute データ権限制御の詳細」および「ポリシーに基づくアクセス制御」をご参照ください。
   申請理由	承認者がリクエストを評価できるよう、アクセスが必要な理由を簡潔に記述します。

6. 権限を申請 をクリックしてリクエストを送信します。

送信後は、権限申請履歴 タブでリクエストのステータスを追跡できます。

権限の承認

実施者： 承認者（ワークスペース管理者またはテーブル所有者）

リクエスト者が権限リクエストを送信した後、権限承認 タブで処理を行います。

1. 権限申請処理 ページで、申請アカウント番号、申請時間、ワークスペース、プロジェクト名、または オブジェクト名 でリクエストをフィルターします。

   リクエストが複数のテーブルを含み、かつ所有者が異なる場合、システムはテーブルの所有者ごとにリクエストを個別のサブリクエストに分割します。

   

2. 操作 列の 承認 をクリックします。ダイアログボックスで以下の操作を行います。複数のリクエストを一度に処理するには、権限申請処理 ページでそれらを選択し、一括承認 または 一括却下 をクリックして コメント を入力します。

   • リクエスト詳細 タブおよび 承認履歴 タブを確認します。

   • コメント を入力し、承認 または 却下 をクリックします。

   • （オプション）承認前に 申請内容 または 有効期限 を変更します。

   未処理ステップ には、リクエストを承認できるすべての承認者が表示されます。処理済みステップ には、すでに承認または却下を行った承認者のみが表示されます。

権限リクエスト履歴の確認

リクエスト送信後は、権限申請履歴 ページでステータスを追跡できます。承認ステータス、申請時間、または ワークスペース でレコードをフィルターします。

操作 列の 詳細を表示 をクリックすると、リクエストの全履歴を確認できます。承認ステータス が 承認中 のリクエストについては、このページから引き続き承認プロセスを進められます。リクエストが承認された後は、このページで承認結果を確認し、権限が有効になっていることを確認できます。

権限承認履歴の確認

実施者： 承認者

権限申請処理履歴 ページで、現在の Alibaba Cloud アカウントに関する承認履歴を確認できます。申請アカウント番号、承認結果、または ワークスペース でフィルターします。

操作 列の 詳細を表示 をクリックすると、処理済みのリクエストの詳細を確認できます。

権限監査

実施者： ワークスペース管理者または Alibaba Cloud アカウント (root ユーザー)

権限監査 タブで、ワークスペースメンバーに付与されたすべてのアクティブな権限を確認・管理できます。フィルターを使用して特定のリソースを検索し、以下の操作を行います。

• 操作列の 権限を取り消す または 権限を表示 をクリックします。

関連トピック

• セキュリティセンター — ワークスペースのセキュリティポリシーを設定・管理

• 承認センター — 権限リクエストの承認フローをカスタマイズ

• MaxCompute データ権限制御の詳細 — 基盤となる権限制御モデルを理解