DataWorks では、ワークスペースのロールまたはメンバーが、指定された ID を使用してデータソースにアクセスできます。また、データのセキュリティを確保するために、表示、コピー、ダウンロード、共有など、クエリ結果に対する操作の権限を管理することもできます。
背景情報
DataWorks のデータ分析のユーザーが、ユーザー名とパスワード、指定された RAM ユーザー、またはデータソースのデフォルトのアクセス ID として設定された RAM ロールなどの指定された ID を使用してタスクを実行する場合、そのデータソースにアクセスするには、セキュリティセンターでの権限が必要になります。ユーザーがログイン ID を使用してデータソースにアクセスする場合、セキュリティセンターからの承認は必要ありません。
データクエリとコントロール機能を使用すると、データソースをクエリする権限と、クエリ結果に対する表示、コピー、ダウンロード、共有などの操作の権限を管理できます。
-
データソースのクエリ権限管理
この機能では、データソースをクエリする権限を管理できます。
データソースのクエリ権限の管理機能を使用して、他のユーザーまたはロールに権限を付与できます。権限を付与する際は、次の点にご注意ください。
-
メンバーまたはロールにデータソースをクエリする権限を付与すると、そのデータソースのアクセス ID として指定された RAM ユーザーまたは RAM ロールが使用されます。データセキュリティ、特に本番データのセキュリティを確保するため、権限を付与する前に、慎重に権限を計画することを推奨します。
-
標準モードのワークスペースでは、開発環境と本番環境でデータソースのクエリ権限を個別に管理する必要があります。
説明-
詳細については、「付録:データソースアクセス IDの表示」、「ワークスペースモードの違い」、「データソース環境」をご参照ください。
-
この機能は、データソースに対するクエリ権限のみを管理します。データソースに対する読み取りおよび書き込み権限を管理するには、「Data Integrationタスクの承認プロセス」をご参照ください。
-
-
クエリ結果に対する操作の権限管理
DataWorks のデータ分析では、クエリ結果の表示、コピー、ダウンロード、共有などの操作を実行できます。これらの操作を保護するには、コントロールポリシーを設定する必要があります。
デフォルトの権限
クエリ結果のコントロール
すべてのユーザーに、クエリ結果を表示、コピー、ダウンロード、共有する権限があります。
データ分析のクエリ結果に対する操作の管理機能を使用して、権限管理ポリシーを設定します。
-
ユーザーが結果データをコピー、ダウンロード、または共有できるかどうかを制御します。
-
表示、コピー、またはダウンロードできる行数を制限します。
-
制限事項
-
データソースのクエリ権限管理
次の表に、データソースのクエリ権限管理の制限事項を示します。
制限カテゴリ
説明
適用モジュール
権限管理はデータ分析モジュールにのみ適用されます。
サポートされるデータソースタイプ
データ分析でサポートされているデータソースタイプに対してのみ権限を管理できます。
説明Data Analysis がサポートするデータソースタイプの詳細については、「SQLクエリでサポートされるデータソース」をご参照ください。
ロールの制限
-
テナント管理者またはテナントセキュリティ管理者ロールを持つユーザーは、現在のテナント内のすべてのワークスペースのデータソースの権限を付与できます。
-
ワークスペース管理者ロールを持つユーザーは、自身が管理するワークスペース内のデータソースの権限のみを付与できます。
-
-
クエリ結果に対する操作の権限管理
次の表に、データソースのクエリ結果に対する操作の権限管理の制限事項を示します。
制限カテゴリ
説明
適用モジュール
権限管理はデータ分析モジュールにのみ適用されます。
操作の制限
表示、コピー、ダウンロード、共有の操作に対してのみ権限を管理できます。
-
表示する行数:最大 10,000 行まで表示できます。デフォルトは 10,000 です。
-
コピーする行数:最大 10,000 行までコピーできます。デフォルトは 100 です。
-
ダウンロードする行数:ダウンロードできる最大行数は、DataWorks エディションによって異なります。詳細については、「付録:エディション別のダウンロード行数制限」をご参照ください。
リージョンとロールの制限
クエリ結果の制御ポリシーは、現在のリージョン内のテナントにあるすべてのワークスペースに適用されます。Tenant Administrator または [テナントセキュリティ管理者] のロールを持つユーザーのみが、制御ポリシーを編集できます。
説明-
単一のテナントの場合、リージョンごとにクエリ結果のコントロールポリシーを個別に設定する必要があります。
-
コントロールポリシーを編集するには、ユーザーにテナント管理者またはテナントセキュリティ管理者ロールを割り当てます。
-
データクエリとコントロールへの移動
-
セキュリティセンターに移動します。
DataWorks コンソールにログインします。 左側のナビゲーションウィンドウで、 を選択します。 表示されるページで、[セキュリティセンターに移動] をクリックします。
-
左側メニューで、 をクリックします。
[Data Query and Control] ページでは、次の操作を実行できます。
-
データ分析モジュールで指定されたデータソースをクエリする権限をメンバーまたはロールに付与します。詳細については、「データソースのクエリ権限の管理」をご参照ください。
-
表示、コピー、ダウンロード、共有など、クエリ結果に対する操作のコントロールポリシーを定義します。詳細については、「データ分析のクエリ結果に対する操作の管理」をご参照ください。
-
データソースのクエリ権限の管理
データソースを作成していない場合は、まず [Data Source] ページに移動して作成してください。
指定したワークスペースのデータ分析モジュールでデータソースをクエリする権限をメンバーまたはロールに付与するには、リストでデータソースを見つけ、[Actions] 列の [Authorize] をクリックし、[Authorize] ダイアログボックスでパラメーターを設定します。
|
パラメーター |
[Description] |
|
[Workspace] |
現在のアカウントが スペース管理者 ロールを持つワークスペースのみ選択できます。ワークスペースを選択すると、そのワークスペース内のすべてのデータソースが表示され、それらに対する権限を付与できます。 説明
ユーザーにワークスペース管理者ロールを割り当てるには、「ワークスペースレベルのモジュール権限の管理」をご参照ください。 |
|
[Authorized object] |
クエリ対象となるデータソースです。サポートされているデータソースタイプの詳細については、「サポートされているデータソースタイプ」をご参照ください。 |
|
[Authorized space role] |
対象のデータソースをクエリできるワークスペースロールを選択します。 |
|
[Member of authorized space] |
対象のデータソースをクエリできるワークスペースメンバーを選択します。 説明
選択したワークスペースのメンバーのみを選択できます。ユーザーをワークスペースメンバーとして追加するには、「ワークスペースレベルのモジュール権限の管理」をご参照ください。 |
|
[Query module] |
この承認が有効になるモジュールを指定します。現在、メンバーまたはロールには、データ分析モジュールで指定されたデータソースをクエリする権限のみを付与できます。 |
クエリ結果操作の管理
データ分析モジュールのクエリ結果コントロールポリシーを設定して、データのセキュリティと信頼性を確保できます。 タブで Edit をクリックすると、表示、コピー、ダウンロード、共有など、データ分析のクエリ結果に対する操作のコントロールポリシーをカスタマイズできます。
-
ユーザーが結果データをコピー、ダウンロード、または共有できるかどうかを制御します。
-
表示、コピー、またはダウンロードできる行数を制限します。
-
単一のテナントの場合、リージョンごとにクエリ結果のコントロールポリシーを個別に設定する必要があります。
-
表示する行数:最大 10,000 行まで表示できます。デフォルトは 10,000 です。
-
コピーする行数:最大 10,000 行までコピーできます。デフォルトは 100 です。
-
ダウンロードする行数:ダウンロードできる最大行数は、DataWorks エディションによって異なります。詳細については、「付録:エディション別のダウンロード行数制限」をご参照ください。
コントロールポリシーを編集した後、View 列の Operation をクリックして、その基本情報を表示します。
個人開発環境の操作管理
Data Studio の個人開発環境は、ファイルのダウンロード、拡張機能のインストール、ターミナルの使用などの機能をサポートしています。テナント管理者またはテナントセキュリティ管理者は、 タブでこれらの操作を管理できます。
個人開発環境は、次のコントロールをサポートしています。
|
コントロール項目 |
コントロールレベル |
説明 |
|
[Download File] |
操作単位 |
この機能が有効な場合、ユーザーは個人ディレクトリ > 個人開発環境インスタンスのマウントディレクトリからファイルをダウンロードできます。
|
|
[拡張機能 - インストール] |
ユーザー単位 |
この機能が有効な場合、ユーザーは拡張機能を検索、詳細表示、インストールできます。
|
|
[Terminal] |
ユーザー単位 |
この機能が有効な場合、ユーザーは個人開発環境でターミナルを使用できます。
|
Tenant Administrator または [テナントセキュリティ管理者] ロールを持つユーザーのみが、個別開発環境の制御ポリシーを設定できます。
付録:データソースアクセス IDの表示
[Management Center] ページに移動します。
DataWorks コンソールにログインします。 左側のナビゲーションウィンドウで、[Management Center] をクリックします。 表示されるページで、ドロップダウンリストから目的のワークスペースを選択し、[管理センターに移動] をクリックします。
-
アクセス ID の表示方法は、データソースタイプによって異なります。
-
データソースが EMR または CDH/CDP クラスターの場合:左側メニューで クラスター管理 をクリックし、対応するクラスターの[デフォルトのアクセスID] を表示します。
-
その他のデータソースの場合:左側メニューで をクリックします。対象のデータソースを見つけ、[Actions] 列の [Edit] をクリックし、[デフォルトのアクセスID] または[Username]を表示します。
-
付録:エディション別のダウンロード行数制限
これは DataWorks がダウンロードをサポートする最大行数であり、実際のダウンロード制限ではありません。実際の制限は、DataWorks エディションとデータソースの内部制限の両方に依存します。
-
現在、MaxCompute および EMR エンジンのデータのみをローカルファイルにダウンロードできます。
-
たとえば、DataWorks Standard Edition (制限:
200,000行) を使用していても、180,000 行でデータサイズが1 GBの制限に達した場合、1 GB分のデータしかダウンロードできません。詳細については、「SQLクエリ (レガシー)」をご参照ください。
|
DataWorks エディション |
最大ダウンロード行数 |
最大ダウンロードサイズ |
|
Basic Edition |
0 |
N/A |
|
Standard Edition |
|
重要
データサイズが |
|
Professional Edition |
|
|
|
Enterprise Edition |
|
DataWorks エディションをダウングレードすると、ダウンロード可能な最大行数は次のように変更されます。
-
以前のエディションのダウンロード制限が新しいエディションの制限よりも高い場合、制限は新しいエディションで許可される最大値に引き下げられます。
-
以前のエディションのダウンロード制限が新しいエディションの制限以下である場合、制限は変更されません。