DataWorks のデータアクセス制御機能を使用すると、ワークスペースに関連付けた MaxCompute コンピューティングエンジンに対する権限を管理できます。 この機能を使用すると、MaxCompute テーブルに対する権限の申請、権限申請の処理、権限の監査、権限申請レコードと申請処理レコードの表示を行うことができます。 このトピックでは、MaxCompute での権限の管理方法について説明します。
背景情報
標準モードの DataWorks ワークスペースでは、ワークスペースメンバーは、開発環境でワークスペースに関連付けられている MaxCompute プロジェクトのすべてのデータに対する読み取り権限を持っています。 詳細については、「さまざまなモードのワークスペースに関連付けられた MaxCompute コンピューティングエンジンインスタンスでのデータアクセス動作と必要なアクセス権限」をご参照ください。
ワークスペースメンバーが本番環境でワークスペースに関連付けられている MaxCompute プロジェクトのリソースと関数を使用する場合、ワークスペースメンバーはこのトピックの手順に従ってセキュリティセンターに移動し、本番環境の MaxCompute プロジェクトのテーブル、リソース、および関数に対するアクセス権限を申請する必要があります。
デフォルトでは、標準モードの DataWorks ワークスペースでは、本番環境のワークスペースのメンバーと、本番環境でワークスペースに関連付けられている MaxCompute プロジェクトのロールとの間でマッピングは構成されていません。
ユーザーが開発環境でワークスペースに関連付けられている MaxCompute プロジェクトのテーブル、リソース、および関数を使用できるのは、ユーザーが提出した申請が承認された後のみです。
前提条件
MaxCompute データソースが追加されていること。 詳細については、「MaxCompute データソースの追加」をご参照ください。
「MaxCompute コンピューティングエンジンインスタンスのデータに対する権限の管理」の内容を理解していること。
「基本モードのワークスペースと標準モードのワークスペースの違い」の内容を理解していること。
MaxCompute データソースのテーブル、リソース、および関数に対する権限を申請できます。
MaxCompute コンソールで、開発環境のワークスペースに関連付けられた MaxCompute プロジェクトと本番環境のワークスペースに関連付けられた MaxCompute プロジェクトに対して列レベルのアクセス制御が有効になっていること。 これにより、セキュリティセンターで開発環境と本番環境の MaxCompute プロジェクトのテーブルのフィールドに対する権限を申請できます。 詳細については、「ラベルベースのアクセス制御」をご参照ください。
MaxCompute での権限管理のプロセス
シナリオ
シナリオ | |
ワークスペースの開発環境で RAM ユーザーを使用して、ワークスペースの本番環境のテーブル、リソース、および関数にアクセスする場合。 |
DataWorks へのアクセスに使用する RAM ユーザーが本番環境のコンピューティングエンジンのアクセス ID として指定されていない場合、デフォルトでは、DataStudio ページで本番環境のテーブルに対する操作を実行するために RAM ユーザーを使用することはできません。 DataStudio ページで本番環境のテーブルに対する操作を実行するために RAM ユーザーを使用する場合は、セキュリティセンター で RAM ユーザーに必要な権限を申請する必要があります。 申請が承認されると、DataStudio ページで本番環境のテーブルに対する操作を実行するために RAM ユーザーを使用できます。 |
ワークスペース A の開発環境または本番環境で RAM ユーザーを使用して、ワークスペース A の DataStudio ページでワークスペース B の開発環境または本番環境のテーブル、リソース、および関数にアクセスする場合。 |
デフォルトでは、ワークスペース A の RAM ユーザーを使用して、ワークスペース A の DataStudio ページでワークスペース B の開発環境または本番環境のテーブルにアクセスすることはできません。 ワークスペース A の RAM ユーザーを使用してワークスペース B の開発環境または本番環境のテーブルにアクセスする場合は、セキュリティセンター で RAM ユーザーに必要な権限を申請する必要があります。 申請が承認されると、ワークスペース A の DataStudio ページでテーブルに対する操作を実行するために RAM ユーザーを使用できます。 |
権限申請手順
データアクセス制御ページでは、[権限の申請]、[権限申請の処理]、[権限の監査]、[権限申請レコード] と [申請処理レコード] の表示を行うことができます。 RAM ユーザーがデータ開発中に特定のテーブルにアクセスできない場合は、[権限申請] タブで RAM ユーザーに必要な権限を申請できます。 ワークスペース管理者またはテーブル所有者が [権限申請の処理] タブで申請を承認すると、RAM ユーザーは特定のテーブルにアクセスできます。
DataWorks [セキュリティセンター] はデフォルトの申請処理手順を提供します。承認センター でカスタム申請処理手順を指定することもできます。 MaxCompute テーブルのフィールドに対する権限を申請する場合、DataWorks はフィールドに基づいて使用できる申請処理手順を決定します。
リソースと関数に対してカスタム申請処理手順を指定したり、権限を監査したりすることはできません。
申請者:セキュリティセンター で MaxCompute テーブルに対する権限を申請できます。 権限申請レコード タブで、現在のログオンアカウントを使用して提出された権限申請のレコードを表示できます。
承認者:権限申請の処理 タブで、ワークスペース管理者またはテーブル所有者として申請を表示および処理できます。 権限申請処理レコード タブで、現在のログオンアカウントを使用して処理されたテーブル、リソース、および関数の権限申請の処理結果を表示できます。
監査者:[権限監査] タブで、Alibaba Cloud アカウントを使用するか、ワークスペース管理者として、ワークスペースメンバーのテーブルに対する権限を管理し、ワークスペースメンバーからテーブルに対する権限を取り消すことができます。
手順 1:データアクセス制御ページに移動する
DataWorks コンソール にログオンします。 上部のナビゲーションバーで、目的のリージョンを選択します。 左側のナビゲーションペインで、 を選択します。 表示されるページで、[セキュリティセンターに移動] をクリックします。
手順 2:権限をリクエストする
データアクセス制御ページでテーブル、リソース、および関数に対する権限を申請する場合は、データアクセス制御ページの [申請内容] セクションと [申請情報] セクションでパラメータを設定する必要があります。 詳細については、以下の表を参照してください。
リソースと関数に対してカスタム申請処理手順を指定したり、権限を監査したりすることはできません。
テーブルに対する権限を申請する
[権限申請] タブに移動します。
権限を申請するテーブルを選択します。
[申請内容] セクションで、[データソースの種類] を MaxCompute に設定し、[ワークスペース] と [プロジェクト] を選択します。
[追加するテーブル] セクションで、権限を申請するテーブルを選択します。
テーブルを選択すると、テーブルに関する情報が右側に表示されます。
[テーブル名] の左側にある アイコンをクリックすると、テーブル内のすべてのフィールドを表示できます。特定のフィールドまたはすべてのフィールドに対する権限をリクエストできます。デフォルトでは、すべてのフィールドに対する権限がリクエストされます。
説明MaxCompute コンソールで、開発環境のワークスペースに関連付けられた MaxCompute プロジェクトと本番環境のワークスペースに関連付けられた MaxCompute プロジェクトに対して列レベルのアクセス制御が有効になっています。 これにより、セキュリティセンターで開発環境と本番環境の MaxCompute プロジェクトのテーブルのフィールドに対する権限を申請できます。 詳細については、「ラベルベースのアクセス制御」をご参照ください。
次の列レベルの権限を申請できます:SELECT、UPDATE。 次のテーブルレベルの権限を申請できます:DESCRIBE、DROP、ALTER、SELECT、UPDATE。 特定のフィールドに対する権限を申請することもできます。 テーブルに対する SELECT および UPDATE の列レベルの権限が付与されると、テーブルに追加された列に対する SELECT および UPDATE の列レベルの権限が自動的に付与されます。
[申請情報] セクションで、パラメータを設定します。 次の表にパラメータを示します。
パラメータ
説明
ユーザー
MaxCompute テーブルに対する権限を申請するアカウントまたはユーザー。
現在のログインアカウント:現在のワークスペースへのアクセスに使用されているアカウントのテーブルに対する権限を申請することを示します。
スケジューリングに使用されるアカウント:スケジューリングアクセス ID として指定された RAM ユーザーのテーブルに対する権限を申請することを示します。
他のユーザーの代わりに申請:現在のワークスペースへのアクセスに使用されていないアカウントのテーブルに対する権限を申請することを示します。 このオプションを選択した場合は、ユーザー名 パラメータを設定する必要があります。
ワークスペース
ユーザー を スケジューリングに使用されるアカウント に設定した場合に、テーブルを使用するワークスペース。
申請期間
申請されたテーブルに対する権限の有効期間。 有効期限が切れると、権限は自動的に取り消されます。
説明このパラメータは、権限を申請するテーブルを含む MaxCompute プロジェクトに対してポリシーベースの承認を有効にした後にのみ設定できます。 ポリシーベースの承認を有効にする方法の詳細については、「MaxCompute コンピューティングエンジンインスタンスのデータに対する権限の管理」をご参照ください。 MaxCompute のポリシーベースのアクセス制御の詳細については、「ポリシーベースのアクセス制御」をご参照ください。
申請理由
権限を申請する理由。
[権限を申請] をクリックして申請を送信します。
現在のリクエストの処理の詳細と記録は、[権限申請記録] タブで確認できます。
リソースに対する権限の申請
セクションとパラメーター | 説明 | スクリーンショット | |
アプリケーションコンテンツ | アプリケーションの種類 |
|
|
データソースの種類 | デフォルト値は MaxCompute で、変更できません。 | ||
ワークスペース | 権限を申請するリソースが属するワークスペース。 | ||
Maxcompute プロジェクト | リソースが属するワークスペースに関連付けられている MaxCompute プロジェクト。 | ||
リソース名 | 権限を申請するリソースの名前。 | ||
アプリケーション情報 | ユーザー | リソースに対する権限を要求するアカウントまたはユーザー。
|
|
申請期間 | リソースに対する申請された権限の有効期間。有効期間が過ぎると、権限は自動的に取り消されます。 | ||
申請理由 | 権限を申請する理由。 | ||
設定が完了したら、[権限の申請] をクリックして申請を送信します。
[権限申請記録] タブで、現在の申請の処理の詳細と記録を表示できます。
関数に対する権限の要求
<td ... (The rest of the translation is too long to fit within a single response. I will continue translating in subsequent responses.)
セクションとパラメータ | 説明 | スクリーンショット | |
アプリケーションコンテンツ | アプリケーションの種類 |
|
|
データソースの種類 | 既定値はMaxComputeで、変更できません。 | ||
ワークスペース | 権限を要求する関数があるワークスペースです。 | ||
Maxcomputeプロジェクト | 関数が属するワークスペースに関連付けられているMaxComputeプロジェクトです。 | ||
関数名 | 権限を要求する関数の名前です。 | ||
アプリケーション情報 | ユーザー | 関数に対する権限をリクエストするアカウントまたはユーザーです。
|
|
アプリケーション期間 | 関数に対する要求された権限の有効期間です。有効期間が過ぎると、権限は自動的に取り消されます。 | ||
申請理由 | 権限をリクエストする理由。 | ||
構成が完了したら、[権限の申請] をクリックしてリクエストを送信します。
現在のリクエストの処理の詳細と記録は、[権限申請記録] タブで確認できます。
ステップ 3: リクエストの処理
保留中のリクエストに関する情報を表示します。
[権限申請処理] タブに移動します。現在の Alibaba Cloud アカウント内で保留中のリクエストを検索するために、次のフィルター条件を指定できます。[申請アカウント番号]、[申請時間]、[ワークスペース]、[プロジェクト名]、[オブジェクト名]。
説明複数の所有者に属する複数のテーブルに対する権限を要求する権限要求注文が送信された場合、システムはテーブル所有者に基づいて要求注文を複数の要求に分割します。
権限要求の詳細を表示します。
権限要求を検索し、[操作] 列の [承認] をクリックします。[承認の詳細] ダイアログボックスで、権限要求の詳細と処理レコードを表示できます。
権限リクエストを処理します。
単一の権限リクエストを処理するには、[コメント] を入力し、ビジネス要件に基づいて [同意する] または [拒否] をクリックします。
複数のリクエストを同時に処理するには、[権限申請処理] タブで処理するすべてのリクエストを選択し、[一括同意] または [一括拒否] をクリックして、[コメント] を入力します。
過去の権限申請と処理記録を表示する
権限申請記録を表示します。[承認ステータス]、[申請時間]、[ワークスペース] などのフィルター条件を指定して、現在のAlibaba Cloudアカウントの[権限申請記録]を表示できます。
権限申請の詳細を表示するには、リクエストの[操作] 列の[詳細の表示] をクリックします。処理ステータスが[承認中] のリクエストは、引き続き処理できます。
リクエスト処理記録を表示します。[申請アカウント番号]、[承認結果]、[ワークスペース] などのフィルター条件を指定して、現在のAlibaba Cloudアカウントの[リクエスト処理記録]を表示できます。
権限申請の詳細を表示するには、リクエストの[操作] 列の[詳細の表示] をクリックします。