E-MapReduce:ユーザーとデータの権限付与の管理

ロール

EMR Serverless StarRocks は、次の組み込みロールを提供します。各ロールには、異なる責務と目的があります。

ユーザーの紹介

EMR Serverless StarRocks は、次のユーザータイプを提供します。

ユーザーの追加

1. StarRocks Manager ページに移動します。

   1. E-MapReduce コンソールにログインします。

   2. 左側のナビゲーションウィンドウで、[EMR Serverless] > [StarRocks] を選択します。

   3. トップメニューバーで、目的のリージョンを選択します。

   4. StarRocks Manager をクリックするか、ターゲットインスタンスの [アクション] 列で [インスタンスに接続] をクリックします。

      詳細については、「EMR StarRocks Manager を使用して StarRocks インスタンスに接続する」をご参照ください。

2. 左側のナビゲーションウィンドウで、[セキュリティセンター] > [ユーザー管理] を選択します。

3. [ユーザー管理] ページで、[ユーザーの追加] をクリックします。

4. 表示されるダイアログボックスで、次のパラメーターを設定し、[OK] をクリックします。

   パラメーター	説明
   ユーザーソース	身分認証メソッド。次のユーザーソースがサポートされています。 カスタム: StarRocks の組み込みユーザー管理に適用されます。このオプションを使用すると、新しいユーザーを作成できます。 RAM ユーザー: DLF に接続するシナリオに適用されます。このオプションを使用すると、既存の Resource Access Management (RAM) ユーザーを身分認証に使用できます。 説明 適用バージョン: この機能は、バージョン 3.2 以降の StarRocks インスタンスでのみサポートされます。 適用対象外: DLF 1.0 (レガシー)。
   ユーザー名	カスタム: カスタムユーザー名を入力します。ユーザー名は 2～64 文字で、文字、数字、ハイフン (-)、アンダースコア (_) のみを含めることができます。 RAM ユーザー: 既存の RAM ユーザーが身分認証に使用されます。RAM ユーザーを作成していない場合は、「RAM ユーザーの作成」をご参照ください。
   パスワードとパスワードの確認	カスタムパスワードを入力します。パスワードは 8～30 文字で、大文字、小文字、数字、およびアットマーク (@)、番号記号 (#)、ドル記号 ($)、パーセント記号 (%)、キャレット (^)、アスタリスク (*)、アンダースコア (_)、プラス記号 (+)、ハイフン (-) などの特殊文字を含める必要があります。
   ロール	新しいユーザーに組み込みロールまたはカスタムロールを割り当てます。 説明 最小権限の原則に従ってください。過剰な権限付与によるセキュリティリスクを回避するために、必要最小限の権限のみを付与してください。

ユーザーへの権限付与

新しいユーザーに特定のリソースを操作するための権限を付与する必要があります。

1. [ユーザー管理] ページで、ターゲットユーザーの [アクション] 列にある [権限付与] をクリックします。

2. [権限管理] タブで、[権限の追加] をクリックします。

3. [権限の追加] パネルで、次のパラメーターを設定し、[OK] をクリックします。

   パラメーター	説明
   リソース	次のリソースがサポートされています。 データカタログ: StarRocks の内部データカタログへのアクセス権限を管理します。これにより、ユーザーは権限を付与された範囲内の内部データベースとテーブルでのみ操作できるようになります。 データカタログ (外部): 外部データカタログへのアクセス権限を管理します。これにより、ユーザーは Hive、Iceberg、Hudi など、権限を付与された範囲内の外部データソースにのみアクセスできるようになります。 データベース: 特定のデータベースを作成、変更、削除、またはクエリするためのユーザー権限を制御します。 テーブル: テーブルレベルの権限管理を実装します。これにより、特定のテーブル内のデータを作成、取得、更新、削除するユーザー操作が制限されます。 ビュー: ビューに対するユーザー権限を管理します。これにより、ユーザーは権限を付与された範囲内のビューのみを表示または操作できるようになります。 マテリアライズドビュー: マテリアライズドビューのアクセスの制御をサポートします。ユーザーは、特定のマテリアライズドビューを選択的に管理またはアクセスできます。
   権限設定	対応する権限は次のとおりです。 データカタログ: ALL, USAGE, CREATE DATABASE, DROP, ALTER。 データカタログ (外部): ALL, USAGE, CREATE DATABASE, DROP, ALTER。 データベース: ALL, ALTER, DROP, CREATE TABLE, CREATE VIEW, CREATE FUNCTION, CREATE MATERIALIZED VIEW, CREATE PIPE。 テーブル: ALL, ALTER, DROP, SELECT, INSERT, UPDATE, EXPORT, DELETE。 ビュー: ALL, SELECT, ALTER, DROP。 マテリアライズドビュー: ALL, SELECT, ALTER, REFRESH, DROP。

ユーザーの編集と削除

• ユーザーの編集: 必要な権限を持つユーザーは、ターゲットユーザーの [アクション] 列にある [説明の変更]、[パスワードの変更]、または [権限付与] をクリックして、ユーザーの説明、パスワード、割り当てられたロールと権限を変更できます。

• ユーザーの削除:

  • 組み込みユーザー: admin ユーザーは削除できません。

  • カスタムユーザー: 必要な権限を持つユーザーは、ターゲットユーザーの [アクション] 列にある [削除] をクリックできます。

ロールの作成

組み込みロールがニーズを満たさない場合は、カスタムロールを作成できます。カスタムロールは、より詳細なアクセスの制御を提供します。これにより、セキュリティ要件を満たしたり、動的な権限調整などの複雑なシナリオを処理したりするのに役立ちます。

1. StarRocks Manager ページで、[セキュリティセンター] > [ロール管理] を選択します。

2. [ロール管理] ページで、[ロールの作成] をクリックします。

3. [ロールの作成] ダイアログボックスで、説明を入力し、[OK] をクリックします。

ロールへの権限付与

新しいロールに特定の権限を付与したり、既存のロールの権限を調整したりできます。これにより、さまざまなビジネスシナリオの権限管理ニーズに柔軟に対応できます。

1. [ロール管理] ページで、ターゲットロールの [アクション] 列にある [権限付与] をクリックします。

2. [権限管理] タブで、[権限の追加] をクリックします。

3. [権限の追加] パネルで、リソースとそれに対応する権限を選択し、[OK] をクリックします。

   パラメーター	説明
   リソース	次のリソースがサポートされています。 データカタログ: StarRocks の内部データカタログへのアクセス権限を管理します。これにより、現在のロールが権限を付与された範囲内の内部データベースとテーブルでのみ操作できるようになります。 データカタログ (外部): 外部データカタログへのアクセス権限を管理します。これにより、現在のロールが Hive、Iceberg、Hudi など、権限を付与された範囲内の外部データソースにのみアクセスできるようになります。 データベース: 特定のデータベースを作成、変更、削除、またはクエリするための現在のロールの権限を制御します。 テーブル: テーブルレベルの権限管理を実装します。これにより、特定のテーブル内のデータを作成、取得、更新、削除する現在のロールの操作が制限されます。 ビュー: ビューに対する現在のロールの権限を管理します。これにより、現在のロールが権限を付与された範囲内のビューのみを表示または操作できるようになります。 マテリアライズドビュー: マテリアライズドビューのアクセスの制御をサポートします。現在のロールは、特定のマテリアライズドビューを選択的に管理またはアクセスできます。
   権限設定	対応する権限は次のとおりです。 データカタログ: ALL, USAGE, CREATE DATABASE, DROP, ALTER。 データカタログ (外部): ALL, USAGE, CREATE DATABASE, DROP, ALTER。 データベース: ALL, ALTER, DROP, CREATE TABLE, CREATE VIEW, CREATE FUNCTION, CREATE MATERIALIZED VIEW, CREATE PIPE。 テーブル: ALL, ALTER, DROP, SELECT, INSERT, UPDATE, EXPORT, DELETE。 ビュー: ALL, SELECT, ALTER, DROP。 マテリアライズドビュー: ALL, SELECT, ALTER, REFRESH, DROP。

ロールの編集と削除

• ロールの編集:

  • システムロール: システムロールを編集したり、その権限を変更したりすることはできません。

  • カスタムロール: 必要な権限を持つユーザーは、ターゲットロールの [アクション] 列にある [編集] または [権限付与] をクリックして、ロールの説明と割り当てられたユーザーおよび権限を変更できます。

• ロールの削除:

  • 組み込みロール: 組み込みロールは削除できません。

  • カスタムロール: 必要な権限を持つユーザーは、ターゲットロールの [アクション] 列にある [削除] をクリックできます。

ユーザーの作成と権限の付与

1. EMR StarRocks Manager ページで、[セキュリティセンター] > [ユーザー管理] を選択します。

2. ユーザーを作成します。

   1. [ユーザー管理] ページで、[ユーザーの追加] をクリックします。

   2. 表示されるダイアログボックスで、パラメーターを設定し、[OK] をクリックします。

      パラメーターの詳細については、「ユーザーの追加」セクションの表をご参照ください。

3. 新しいユーザーに権限を付与します。

   1. [ユーザー管理] ページで、新しいユーザーの [アクション] 列にある [権限付与] をクリックします。

   2. [権限管理] タブで、[権限の追加] をクリックします。

   3. [権限の追加] パネルで、リソースとそれに対応する権限を選択し、[OK] をクリックします。

新しいロールを作成して既存のユーザーに割り当てる

組み込みロールがニーズを満たさない場合は、カスタムロールを作成できます。カスタムロールは、より詳細なアクセスの制御を提供します。これにより、セキュリティ要件を満たしたり、動的な権限調整などの複雑なシナリオを処理したりするのに役立ちます。

1. EMR StarRocks Manager ページで、[セキュリティセンター] > [ロール管理] を選択します。

2. ロールを作成します。

   1. [ロール管理] ページで、[ロールの作成] をクリックします。

   2. [ロールの作成] ダイアログボックスで、説明を入力し、[OK] をクリックします。

3. 新しいロールに権限を追加します。

   1. [ロール管理] ページで、新しいロールの [アクション] 列にある [権限付与] をクリックします。

   2. [権限管理] タブで、[権限の追加] をクリックします。

   3. [権限の追加] パネルで、リソースとそれに対応する権限を選択し、[OK] をクリックします。

4. 既存のユーザーにロールを割り当てます。

   1. [ユーザーリスト] タブをクリックします。

   2. [ユーザーリスト] タブで、[ユーザーの追加] をクリックします。

   3. [ユーザーの追加] パネルで、ターゲットユーザーを選択し、[OK] をクリックします。