データクエリと分析のアクセス制御管理 - DataWorks

DataWorks では、ワークスペースのロールまたはメンバーが指定された ID を使用してデータソースにアクセスできます。また、クエリ結果に対する表示、コピー、ダウンロード、共有などの操作に関する権限を管理することで、データのセキュリティを確保します。本トピックでは、データクエリおよび分析の管理方法について説明します。

背景情報

DataWorks の DataAnalysis でユーザーがユーザー名とパスワード、または指定された Resource Access Management (RAM) ユーザー、RAM ロールなどの指定 ID を使用してタスクを実行する場合、セキュリティセンターを通じてデータソースへのアクセス権限を付与する必要があります。一方、ユーザーがログイン ID を使用してデータソースにアクセスする場合は、セキュリティセンターからの承認は不要です。

データクエリおよび分析の管理では、データソースに対するクエリ権限およびクエリ結果に対する表示、コピー、ダウンロード、共有などの操作権限の制御をサポートしています。詳細は以下のとおりです：

データソースのクエリ権限管理
この機能は、データソースに対するクエリ権限を管理するために使用されます。
データソースのクエリ権限管理機能を使用して、他のユーザーまたはロールに権限を付与できます。権限付与時には、以下の点にご注意ください：
- メンバーまたはロールにデータソースのクエリ権限が付与されると、指定された RAM ユーザーまたは RAM ロールを使用して当該データソースにアクセスできるようになります。特に本番データについては、データのセキュリティを確保するため、権限の割り当て前に十分な検討を行ってください。
- 標準モードのワークスペースでは、開発環境と本番環境それぞれに対して、データソースのクエリ権限を個別に管理する必要があります。
説明
- 詳細については、「付録：データソースのアクセス ID の確認方法」「ワークスペースモードの違い」「データソース環境の概要」をご参照ください。
- この機能は、データソースに対するクエリ権限のみを管理します。データソースに対する読み取りおよび書き込み権限を管理するには、「データ統合タスクの承認プロセス」をご参照ください。

データソースクエリ結果に対する操作の権限管理

DataWorks の DataAnalysis では、クエリ結果に対する表示、コピー、ダウンロード、共有などの操作をサポートしています。これらのデータ操作のセキュリティを確保するため、制御ポリシーを設定する必要があります。

デフォルト権限

DataAnalysis クエリ結果に対する操作の管理

すべてのユーザーが、クエリ結果の表示、コピー、ダウンロード、共有の権限を持ちます。

DataAnalysis クエリ結果に対する操作の管理機能を使用して、権限制御ポリシーを設定できます：

結果データのコピー、ダウンロード、共有に対する制限を設定します。
表示、コピー、ダウンロード可能なデータ行数を制限します。

制限事項

データソースのクエリ権限管理

データソースのクエリ権限管理には、以下の制限が適用されます。

制限タイプ	説明
対象モジュール	この権限管理は、DataAnalysis モジュールにのみ適用されます。
対応データソースタイプ	権限管理は、DataAnalysis でサポートされているデータソースタイプのみに対応しています。説明 DataAnalysis でサポートされているデータソースタイプの詳細については、「SQL クエリでサポートされるデータソース」をご参照ください。
ロール制限	テナント管理者またはテナントセキュリティ管理者ロールを持つユーザーは、現在のテナント配下のすべてのワークスペースにおいて、データソースの権限付与が可能です。ワークスペース管理者ロールを持つユーザーは、自身が管理するワークスペース内でのみ、データソースの権限付与が可能です。

データソースクエリ結果に対する操作の権限管理

データソースクエリ結果に対する操作の権限管理には、以下の制限が適用されます。

制限タイプ	制限内容
対象モジュール	この権限管理は、DataAnalysis モジュールにのみ適用されます。
操作制限	管理対象となる操作は、表示、コピー、ダウンロード、共有のみです。具体的な制限は以下のとおりです：表示行数：最大 10,000 行（デフォルトは 10,000 行）。コピー行数：最大 10,000 行（デフォルトは 100 行）。ダウンロード行数：DataWorks エディションによって最大ダウンロード可能行数が異なります。詳細については、「付録：DataWorks 各エディションにおける最大ダウンロード行数」をご参照ください。
リージョンおよびロール制限	クエリ結果の制御ポリシーは、テナント内の現在のリージョン全体に適用されます。制御ポリシーの編集は、Tenant Administrator またはテナントセキュリティ管理者ロールを持つユーザーのみが実行できます。説明同一テナントにおいては、各リージョンごとにクエリ結果の制御ポリシーを個別に設定する必要があります。制御ポリシーの編集を行うには、ユーザーにテナント管理者またはテナントセキュリティ管理者ロールを付与してください。

データクエリおよび分析の管理画面へ移動

セキュリティセンターへ移動します。
DataWorks コンソールにログインします。上部のナビゲーションバーから目的のリージョンを選択し、左側のナビゲーションウィンドウで データガバナンス > セキュリティセンター を選択します。表示されたページで、セキュリティセンターへ移動 をクリックします。
左側のナビゲーションウィンドウで、Security policy > Data query and analysis control を選択します。
「データクエリおよび分析の管理」ページでは、以下の操作が可能です：
- DataAnalysis モジュール内で、指定されたワークスペースの対象データソースについて、メンバーまたはロールにクエリ権限を付与します。詳細については、「データソースのクエリ権限管理」をご参照ください。
- クエリ結果に対する表示、コピー、ダウンロード、共有などの操作について、制御ポリシーを作成します。詳細については、「DataAnalysis クエリ結果に対する操作の管理」をご参照ください。

データソースのクエリ権限管理

説明

データソースがまだ作成されていない場合は、「データソース管理」ページに移動して作成してください。

図の手順に従い、指定されたワークスペースの DataAnalysis モジュール内で、対象データソースについてメンバーまたはロールにクエリ権限を付与します。主な設定項目は以下のとおりです。管控数据源

パラメーター	Description
Workspace	現在のアカウントがワークスペース管理者であるワークスペースのみを選択できます。ワークスペースを選択すると、そのワークスペースに登録されたすべてのデータソースが表示され、権限付与が可能になります。説明ユーザーをワークスペース管理者として設定するには、「ワークスペースレベルモジュールの権限管理」をご参照ください。
権限付与対象	クエリ対象となるデータソースです。対応データソースの詳細については、「データソースタイプ」をご参照ください。
Authorized space role	対象データソースのクエリを許可するワークスペースロールを選択します。
Member of authorized space	対象データソースのクエリを許可するワークスペースメンバーを選択します。説明選択可能なメンバーは、先に選択したワークスペースに所属するメンバーのみです。ユーザーをワークスペースメンバーとして追加するには、「ワークスペースレベルモジュールの権限管理」をご参照ください。
Query module	この権限付与が有効になる機能モジュールです。現在は、DataAnalysis モジュール内でのみ、メンバーまたはロールに指定データソースのクエリ権限を付与できます。

DataAnalysis クエリ結果に対する操作の管理

DataAnalysis モジュール内のクエリ結果について、安全かつ信頼性の高いデータ操作を実現するための制御ポリシーを設定できます。「Data query and analysis control > Query result control」タブで、Edit をクリックして、DataAnalysis クエリ結果に対する表示、コピー、ダウンロード、共有などの操作の制御ポリシーをカスタマイズできます。

結果データのコピー、ダウンロード、共有に対する制限を設定します。
表示、コピー、ダウンロード可能なデータ行数を制限します。

説明

同一テナントにおいては、各リージョンごとにクエリ結果の制御ポリシーを個別に設定する必要があります。
表示行数：最大 10,000 行（デフォルトは 10,000 行）。
コピー行数：最大 10,000 行（デフォルトは 100 行）。
ダウンロード行数：DataWorks エディションによって最大ダウンロード可能行数が異なります。詳細については、「付録：DataWorks 各エディションにおける最大ダウンロード行数」をご参照ください。

制御ポリシーを編集した後、View 列の Operation をクリックして、基本情報を確認できます。

付録：データソースのアクセス ID の確認方法

SettingCenter ページへ移動します。
DataWorks コンソールにログインします。上部のナビゲーションバーから目的のリージョンを選択し、左側のナビゲーションウィンドウで その他 > 管理センター を選択します。表示されたページで、ドロップダウンリストから目的のワークスペースを選択し、管理センターへ移動 をクリックします。
データソースのタイプによって、手順が異なります。
- EMR または CDH/CDP クラスターの場合：左側のナビゲーションウィンドウで クラスターマネジメント をクリックし、対応するクラスターの デフォルトアクセス ID を確認します。
- その他のデータソースの場合：左側のナビゲーションウィンドウで Data source > データソース一覧 を選択します。対象のデータソースを見つけ、[操作] 列の [編集] をクリックし、デフォルトアクセス ID または Username を確認します。

付録：DataWorks 各エディションにおける最大ダウンロード行数

重要

これは DataWorks がサポートする最大ダウンロード行数です。実際のダウンロード制限は、ご利用の DataWorks エディションおよびデータソースの内部制限により、これより低くなる場合があります。

現在、MaxCompute および EMR DPI エンジンからのデータのみが、ローカルファイルへダウンロードおよびエクスポート可能です。
たとえば、DataWorks Standard Edition をご利用の場合、最大ダウンロード行数は 200,000 行ですが、180,000 行分のデータサイズが 1 GB のデータ量制限に達した場合、ダウンロード可能なデータサイズは 1 GB までとなります。詳細については、「SQL クエリ（旧バージョン）」をご参照ください。

DataWorks エディション	最大ダウンロード行数（行）	最大ダウンロードデータ量
Basic Edition	0	/
Standard Edition	`200,000`	`1` GB 重要データ量が `1 GB` を超える場合、システムはデータを自動的に切り捨てます。
Professional Edition	`2,000,000`
Enterprise Edition	`5,000,000`

エディションをスペックダウンした場合、最大ダウンロード行数は以下のとおり変更されます：

スペックダウン前のダウンロード制限が、新しいエディションの最大制限を超えていた場合、ダウンロード制限は新しいエディションの最大制限に変更されます。
スペックダウン前のダウンロード制限が、新しいエディションの最大制限を超えていなかった場合、ダウンロード制限は変更されません。