このトピックでは、Data Lake Formation (DLF) の権限モデルについて説明し、Resource Access Management (RAM) ユーザーに DLF の機能へのアクセス権限を付与する方法を解説します。
Data Lake Formation (DLF) の権限モデルは、API 権限と DLF データ権限の 2 つのレイヤーで構成されています。ユーザーが DLF のページまたはデータにアクセスするには、両方のレイヤーで権限検証に合格する必要があります。
API 権限: これらの権限は、すべての DLF API へのアクセスを管理します。Resource Access Management (RAM) ユーザーが特定の DLF API またはページにアクセスできるかどうかを決定します。
DLF データ権限: これらの権限は、データベース、テーブル、データカタログなど、データレイク内のデータリソースへの詳細なアクセスを管理し、データ操作を制御します。このレイヤーにより、一般的な RAM 権限があっても、特定のデータリソースに対する操作には詳細な権限付与が必要となり、データレベルでの正確な保護が提供されます。
権限チェックのフローチャート
権限チェックの仕組み
レイヤー 1: RAM API 権限
このレイヤーは、すべての DLF API へのアクセスを一元的に管理し、RAM ユーザーが権限を付与された機能またはページにのみアクセスできるようにします。RAM コンソールは、さまざまなアクセス要件に対応するために、2 つの事前設定された権限ポリシーを提供します。
ポリシー名 | 説明 |
AliyunDLFFullAccess | すべての DLF API を呼び出す権限を付与します。このポリシーは、包括的なデータレイク管理を実行する必要があるユーザーに適しています。 |
AliyunDLFReadOnlyAccess | 読み取り専用権限を付与します。これには、List や Get 操作など、すべての読み取り専用 DLF API を呼び出す権限が含まれます。このポリシーは、Create や Delete などの書き込み操作や削除操作を禁止します。 |
レイヤー 2: 詳細な DLF データ権限
このレイヤーは、主にデータカタログ、データベース、テーブルなど、DLF 内のリソースへのアクセスと使用を管理します。また、ロール、ユーザー、権限付与に関連する操作の権限も管理します。
管理者がデータ権限を一元的に管理できるように、DLF は組み込みのデータ管理者ロールを提供します。 ページに移動して、これら 2 つのロールを表示し、ユーザーを追加できます。詳細な権限設定については、「ユーザーとロールの管理」をご参照ください。
ロール名 | ロールの概要 | ロールの説明 |
admin | データレイク管理者 | Data Lake Formation のすべてのデータ権限と権限付与の権限を持ちます。このロールは、カスタムロールを追加したり、新しいカタログを作成したりすることもできます。 |
super_administrator | スーパー管理者 | admin ロールのすべての権限を持ち、admin ロールに割り当てられたユーザーを変更することもできます。 説明
|