DataWorks は、データクエリおよび分析制御機能を提供します。 この機能を使用すると、ワークスペース内のロールまたはメンバーに、指定されたデータソースをクエリする権限を付与できます。 この機能では、データセキュリティを確保するために、クエリ結果の表示、コピー、ダウンロード、共有などの権限を管理することもできます。 このトピックでは、データクエリおよび分析制御機能の使用方法について説明します。
背景情報
DataWorks DataAnalysis のユーザーが指定された ID を使用してタスクを実行する場合、関連するデータソースにアクセスするには、事前に Security Center によって必要な権限が付与されている必要があります。 たとえば、ユーザーは、ユーザー名とパスワード、または指定された RAM ユーザーまたはロールを使用してデータソースにアクセスする必要がある場合があります。 ユーザーがログオンユーザーとしてデータソースにアクセスする場合、Security Center による承認は必要ありません。
データクエリおよび分析制御機能を使用すると、データソースをクエリする権限を管理し、クエリ結果の表示、コピー、ダウンロード、共有などの権限を管理できます。
データソースへのクエリの権限を管理する
この機能を使用すると、データソースへのクエリの権限を管理できます。
他のユーザーまたはロールにデータソースへのクエリを承認できます。 権限付与中は、次の項目に注意してください。
メンバーまたはロールにデータソースへのクエリを承認すると、メンバーまたはロールは、データソースのアクセス ID で指定された RAM ユーザーまたは RAM ロールを使用してデータソースにアクセスします。 データセキュリティ、特に本番環境のデータのセキュリティを確保するために、綿密な計画を立てた後にユーザーに権限を付与することをお勧めします。
開発環境と本番環境のデータソースへのクエリの権限は、個別に管理する必要があります。
説明詳細については、このトピックの「付録:データソースのアクセス ID を表示する」セクション、「基本モードのワークスペースと標準モードのワークスペースの違い」、および「開発環境と本番環境でデータソースを分離する」をご参照ください。
データクエリおよび分析制御機能は、データソースのクエリ権限の管理にのみ使用できます。 データソースの読み取りおよび書き込み権限の管理方法については、「承認センター」トピックの「Data Integration ノードの権限の処理手順」セクションをご参照ください。
クエリ結果の権限を管理する
DataWorks DataAnalysis では、データソースのクエリ結果に対してさまざまな操作を実行できます。 たとえば、クエリ結果の表示、コピー、ダウンロード、共有ができます。 DataWorks DataAnalysis では、データセキュリティを確保するために、クエリ結果に対して実行できるこれらの操作の制御ポリシーを設定することもできます。
クエリ結果の権限が自動的に付与されるユーザー
ユーザーがクエリ結果に対して実行できる操作
すべてのユーザーに、クエリ結果の表示、コピー、ダウンロード、共有の権限があります。
DataAnalysis でのクエリ結果の権限管理の機能を使用して、ユーザーがクエリ結果に対して実行できる操作の制御ポリシーを設定できます。
ユーザーがクエリ結果をコピー、ダウンロード、共有することを許可するかどうかを指定します。
表示、コピー、ダウンロードできるエントリ数の上限を指定します。
制限
データソースへのクエリの権限を管理する
次の表に、データソースクエリの権限管理機能の制限を示します。
項目
説明
権限管理が有効になるサービス
DataAnalysis サービスでのみ、データソースの権限を管理できます。
サポートされているデータソースタイプ
DataAnalysis サービスでサポートされているデータソースタイプのクエリ権限のみを管理できます。
説明DataAnalysis サービスでサポートされているデータソースタイプの詳細については、「SQL クエリ」をご参照ください。
ロール
テナント管理者とセキュリティ管理者ロールは、現在のテナント内のすべてのワークスペースのデータソースに対する権限をユーザーに付与できます。
ワークスペース管理者ロールは、ロールが管理するワークスペースのデータソースに対する権限をユーザーに付与できます。
クエリ結果の権限を管理する
次の表に、クエリ結果の権限管理機能の制限を示します。
項目
説明
権限管理が有効になるサービス
DataAnalysis サービスでのみ、データソースの権限を管理できます。
説明
クエリ結果の表示、コピー、ダウンロード、共有に対してのみ権限管理を実行できます。
表示できるエントリ数:システムが表示できるエントリの最大数は 10,000 です。 デフォルト値:10000。
コピーできるエントリ数:コピーできるエントリの最大数は 10,000 です。 デフォルト値:100。
ダウンロードできるエントリ数:ダウンロードできるエントリの最大数は、DataWorks のエディションによって異なります。 詳細については、「付録:各 DataWorks エディションでダウンロードできるエントリの最大数」をご参照ください。
リージョンとロール
クエリ結果に対して実行できる操作の制御ポリシーは、現在のテナント内の現在のリージョンで有効になり、テナント管理者ロールとセキュリティ管理者ロールのみが制御ポリシーを変更できます。
説明同じテナント内の異なるリージョンでは、テナントは、リージョンのクエリ結果に対して実行できる操作の制御ポリシーを個別に設定する必要があります。
ユーザーがクエリ結果に対して実行できる操作の制御ポリシーを変更する必要がある場合、テナント管理者またはセキュリティ管理者ロールがユーザーに割り当てられている必要があります。
「データクエリおよび分析制御」ページに移動する
Security Center ページに移動します。
DataWorks コンソールにログオンします。 上部のナビゲーションバーで、目的のリージョンを選択します。 左側のナビゲーションウィンドウで、 を選択します。 表示されるページで、[セキュリティセンターに移動] をクリックします。
Security Center ページの左側のナビゲーションウィンドウで、 を選択します。
「データクエリおよび分析制御」ページでは、次の操作を実行できます。
DataAnalysis サービスで、メンバーまたはロールに指定されたデータソースをクエリする権限を付与します。 詳細については、「データソースのクエリ権限を管理する」をご参照ください。
クエリ結果の表示、コピー、ダウンロード、共有など、クエリ結果に対して実行できる操作の制御ポリシーを設定します。 詳細については、「DataAnalysis でのクエリ結果の権限を管理する」をご参照ください。
データソースのクエリ権限を管理する
DataWorks にデータソースが追加されていない場合は、最初にデータソースを追加する必要があります。 詳細については、「データソースを追加および管理する」をご参照ください。
次の図に示す手順に従って、指定されたワークスペースの DataAnalysis サービスで、メンバーまたはロールに目的のデータソースをクエリする権限を付与できます。 次の表で説明するパラメータを設定する必要があります。
パラメータ | 説明 |
[ワークスペース] | 「ワークスペース」ドロップダウンリストから、現在のアカウントに[ワークスペース管理者]ロールが割り当てられているワークスペースのみを選択できます。 そのようなワークスペースを選択すると、ワークスペース内のすべてのデータソースが表示されます。 データソースに対する権限をユーザーに付与できます。 説明 ワークスペース管理者ロールをユーザーに割り当てる方法については、「ワークスペースレベルのサービスの権限を管理する」をご参照ください。 |
[承認オブジェクト] | クエリするデータソース。 サポートされているデータソースタイプの詳細については、「データソースタイプ」をご参照ください。 |
[承認済みスペースロール] | 目的のデータソースをクエリする権限を付与するワークスペースレベルのロール。 |
[承認済みスペースのメンバー] | 目的のデータソースをクエリする権限を付与するワークスペースメンバー。 説明 選択したワークスペースからのみメンバーを選択できます。 ワークスペースにユーザーをメンバーとして追加する方法については、「ワークスペースレベルのサービスの権限を管理する」をご参照ください。 |
[クエリ モジュール] | 権限管理が有効になる DataWorks サービス。 DataAnalysis サービスで、メンバーまたはロールに指定されたデータソースをクエリする権限を付与できます。 |
DataAnalysis でのクエリ結果の権限を管理する
DataAnalysis サービスのクエリ結果に対して実行できる操作のコントロール ポリシーを設定して、操作のセキュリティと信頼性を確保できます。[クエリ結果のコントロール] タブの [データクエリおよび分析コントロール] ページで、目的のポリシーを見つけて、操作列の [編集] をクリックし、DataAnalysis サービスのクエリ結果に対して実行できる操作のポリシーを設定します。クエリ結果に対しては、表示、コピー、ダウンロード、および共有操作を実行できます。
ユーザーがクエリ結果をコピー、ダウンロード、共有することを許可するかどうかを指定します。
表示、コピー、ダウンロードできるエントリ数の上限を指定します。
同じテナント内の異なるリージョンでは、テナントは、リージョンのクエリ結果に対して実行できる操作の制御ポリシーを個別に設定する必要があります。
表示できるエントリ数:システムが表示できるエントリの最大数は 10,000 です。 デフォルト値:10000。
コピーできるエントリ数:コピーできるエントリの最大数は 10,000 です。 デフォルト値:100。
ダウンロードできるエントリ数:ダウンロードできるエントリの最大数は、DataWorks のエディションによって異なります。 詳細については、「付録:各 DataWorks エディションでダウンロードできるエントリの最大数」をご参照ください。
ポリシーを変更した後、[操作] 列の [表示] をクリックして、ポリシーの基本情報を表示できます。
付録:データソースのアクセス ID を表示する
SettingCenter ページに移動します。
DataWorks コンソールにログオンします。 上部のナビゲーションバーで、目的のリージョンを選択します。 左側のナビゲーションウィンドウで、 を選択します。 表示されるページで、ドロップダウンリストから目的のワークスペースを選択し、[管理センターに移動] をクリックします。
データソースタイプに基づいて、対応するパスに移動してデータソースのアクセス ID を表示します。
E-MapReduce(EMR)、Cloudera's Distribution including Apache Hadoop(CDH)、または CDP データソース:SettingCenter ページの左側のナビゲーションウィンドウで、[計算リソース] をクリックします。 「計算リソース」ページで、関連する計算リソースの [デフォルトアクセス ID] を表示します。
その他のタイプのデータソース:SettingCenter ページの左側のナビゲーションウィンドウで、[データソース] をクリックします。 [データソース] ページで、目的のデータソースを見つけて、「操作」列の「変更」をクリックして、データソースの [デフォルトアクセス ID] または [ユーザー名] を表示します。
付録:各 DataWorks エディションでダウンロードできるエントリの最大数
次の表に、各 DataWorks エディションでダウンロードできるエントリの最大数とサイズを示します。これは、実際にダウンロードできるデータレコードの数とは異なる場合があります。 実際にダウンロードできるデータレコードの数は、DataWorks エディションとデータソースの内部制限によって決まります。
MaxCompute および EMR 計算エンジンのみが、クエリ結果をオンプレミスマシンにエクスポートすることを許可します。
たとえば、DataWorks Standard Edition を使用している場合、ダウンロードできるデータレコードの最大数は
200,000です。 ただし、180,000 データレコードのサイズが1 GBの上限データサイズ制限に達した場合、実際にダウンロードできるのは1 GBのデータです。 詳細については、「クエリ結果をオンプレミスファイルとしてエクスポートする」をご参照ください。
DataWorks エディション | ダウンロードできるエントリの最大数 | ダウンロードできるエントリの最大サイズ |
DataWorks Basic Edition | 0 | / |
DataWorks Standard Edition |
|
重要 ダウンロードするデータのサイズが |
DataWorks Professional Edition |
| |
DataWorks Enterprise Edition |
|
DataWorks のエディションをダウングレードすると、ダウンロードできるエントリの最大数が変更されます。
ダウングレード前のダウンロード可能なエントリの最大数が、ダウングレード後のダウンロード可能なエントリの最大数を超える場合、ダウンロード可能なエントリ数の上限は、ダウングレード後のダウンロード可能なエントリの最大数に変更されます。
ダウングレード前のダウンロード可能なエントリの最大数が、ダウングレード後のダウンロード可能なエントリの最大数を超えない場合、ダウンロード可能なエントリ数の上限は変更されません。