すべてのプロダクト
Search

このプロダクト

    Data Security Center:アセットを管理するためのデータドメインの設定

    ドキュメントセンター

    Data Security Center:アセットを管理するためのデータドメインの設定

    最終更新日:Jan 07, 2025

    データドメインを使用して、ビジネス属性、組織構造、データ特性など、さまざまな側面からアセットを分類および管理できます。同じ属性を持つアセットを単一のデータドメインに追加して、アセットとアセット内の機密データを効率的に管理できます。このトピックでは、データドメイン機能を使用してアセットを分類および管理する方法について説明します。

    シナリオ

    • 多数のアセットが異なる部門に属しています。アセットは、効率的な管理のために部門ごとに割り当てる必要があります。

    • アセットは、異なるデータ管理者に割り当てる必要があります。データ管理者は、アセット権限管理を実装するために、権限の範囲内にあるアセットのみを管理できます。

    前提条件

    • Data Security Center (DSC) は、アセットへのアクセスを承認されています。詳細については、「アセットの承認」をご参照ください。

    • Resource Access Management (RAM) ユーザーを使用する場合は、AliyunYundunSDDPFullAccess ポリシーがRAMユーザーにアタッチされています。詳細については、「DSCへのアクセスをRAMユーザーに許可する」をご参照ください。

    背景情報

    DSCは、承認されたすべてのアセットを含むデフォルトのデータドメインを提供します。デフォルトでは、Alibaba CloudアカウントまたはAliyunYundunSDDPFullAccess ポリシーがアタッチされているRAMユーザーは、すべてのデータドメインとアセットを管理できます。アセットを分類し、データ管理者を指定するには、次の操作を実行します。

    • カスタムデータドメインを作成し、アセットを分類してカスタムデータドメインに追加し、データドメイン別にアセットの機密データ識別結果を表示します。詳細については、「機密データ識別結果の表示」をご参照ください。

    • RAMユーザーが特定のカスタムデータドメインとデータドメイン内のアセットのみを管理できるようにします。これにより、さまざまなタイプのアセットをきめ細かく管理できます。

    制限事項

    • アセットは1つのデータドメインにのみ追加できます。

    • カスタムデータドメインに追加されていないアセットは、デフォルトのデータドメインに属します。

    カスタムデータドメインを作成してアセットを分類および管理する

    カスタムデータドメインを作成する前に、ビジネスユニットまたは組織構造に基づいて、データドメインの名前と階層関係を計画することをお勧めします。最大3レベルのデータドメインを作成できます。次に、このセクションの手順に従って、カスタムデータドメインを作成し、階層関係を設定し、アセットを分類します。

    データドメインとアセットサイズに基づいて、次のいずれかの方法を使用して、データドメインとデータドメイン内のアセットを管理できます。

    単一のデータドメインを管理し、データドメインにアセットを追加する

    手順 1:データドメインを作成する

    1. DSCコンソール にログオンします。

    3. [カスタムデータドメイン] の横にある [追加] をクリックします。

    4. [データドメインの追加] ダイアログボックスで、データドメインの名前と説明を入力し、[OK] をクリックします。

    5. 次のいずれかの方法を使用して、複数のデータドメインを作成し、階層関係を設定します。

      • 上記の手順を繰り返して、複数のデータドメインを作成します。次に、データドメインをドラッグして位置を変更し、データドメインの階層関係を設定します。

      • 作成されたデータドメインの横にあるアセット数の上にポインターを移動し、更多图标 アイコンをクリックして、次のいずれかの操作を実行します。

        • [子ノードの追加] をクリックして、現在のデータドメインの子データドメインを作成します。最大3レベルのデータドメインを作成できます。

        • [兄弟ノードの追加] をクリックして、同じレベルのデータドメインを作成します。

    手順 2:データドメインにアセットを追加する

    カスタムデータドメインにアセットを追加するには、このセクションの操作を参照してください。

    カスタムデータドメインにアセットを追加する

    重要

    デフォルトのデータドメインにあるアセットのみを選択できます。

    1. 左側のデータドメインリストで、アセットを追加するデータドメインの名前をクリックします。

    2. [アセットの追加] をクリックします。

    3. [データアセットの追加] パネルで、追加するアセットを選択し、[OK] をクリックします。

    他のデータドメインから宛先データドメインにアセットを移動する

    1. 左側のデータドメインリストで、アセットを移動するデータドメインの名前をクリックします。

    2. アセットリストで、移動するアセットを見つけ、[アクション] 列の [移動] をクリックします。

      複数のアセットを選択し、リストの下にある [一括移動] をクリックすることもできます。

    3. 表示されるダイアログボックスで、ドロップダウンリストから宛先データドメインを選択し、[OK] をクリックします。

    次の手順

    データドメインを変更または削除するには、次の手順を実行します。

    2. [データドメインの設定] ページで、管理するデータドメインの横にあるアセット数の上にポインターを移動し、更多图标 アイコンをクリックして、ビジネス要件に基づいて次の操作を実行します。

      • [データドメインの変更] をクリックして、データドメインの名前と説明を変更します。

      • [削除] をクリックして、現在のデータドメインを削除します。子データドメインを持つデータドメインを削除するには、まず子データドメインを削除する必要があります。データドメインを削除すると、データドメイン内のアセットは自動的にデフォルトのデータドメインに移動されます。

    データドメインとアセットを一括管理する

    [dscデータドメインテンプレート.xlsx] という名前のデータドメインテンプレートファイルをダウンロードして変更し、データドメインとデータドメイン内のアセットを管理できます。

    データドメインファイル解析の説明

    データドメインテンプレートファイルがアップロードされると、DSC は、ファイル内のデータドメインとアセット情報を上から下に解析します。下部にある設定情報は、上部にある設定情報を上書きします。

    解析プロセス中に、システムはアセットが1つのデータドメインにのみ属することができるという原則に従います。

    • 同じデータドメインに異なるアセットが存在する場合、アセットはデータドメインに追加されます。

    • アセットが異なるデータドメインに存在する場合、アセットはファイルの下部にあるデータドメインに追加されます。

    • アセットがファイルに含まれていない場合、アセットは元のデータドメインに属します。

    例:

    • カスタムデータドメインがファイルの先頭に作成され、アセットがカスタムデータドメインに追加され、アセットもファイルの末尾にあるデフォルトのデータドメインに追加されます。この場合、カスタムデータドメインは作成されますが、アセットはデフォルトのデータドメインに追加されます。

    • ファイルの先頭にある既存のカスタムデータドメインとカスタムデータドメイン内のアセットを削除し、ファイルの末尾にあるデフォルトのデータドメインにアセットを追加しない場合、カスタムデータドメインとアセットは変更されず、削除されません。

    データドメインテンプレートファイルをアップロードする

    1. DSCコンソール にログオンします。

    3. [データ管理] ページの右上隅にある [一括管理] をクリックします。

    4. [一括管理] ダイアログボックスで、[dscデータドメインテンプレート.xlsx] をクリックしてテンプレートをダウンロードします。

      次の図はテンプレートを示しています。テンプレートには、[最初のデータドメイン][2番目のデータドメイン][3番目のデータドメイン][インスタンス名][インスタンスタイプ][インスタンスリージョン] の各列が含まれています。テンプレートには、既存のデータドメインとデータドメイン内のアセットに関する情報も含まれています。カスタムデータドメインが作成されている場合、カスタムデータドメインはファイルの先頭にあり、デフォルトのデータドメインはファイルの末尾にあります。既存のデータドメインにアセットが存在しない場合、データドメインはファイルに含まれません。

      image

    5. データドメインファイル解析の説明 に基づいて、データドメインとデータドメイン内のアセットに関する情報を変更します。次に、変更を保存します。

      例:

      • データドメインを作成する:管理するアセットの行を見つけ、[最初のデータドメイン] 列の値をカスタムデータドメイン名に変更します。ビジネス要件に基づいて、[2番目のデータドメイン] 列と [3番目のデータドメイン] 列の値を指定することもできます。たとえば、[最初のデータドメイン] 列の [デフォルトのデータドメイン] をカスタムデータドメイン名に変更できます。

      • 第1レベルのカスタムデータドメインを削除する:削除するデータドメインの行を見つけ、[最初のデータドメイン] 列の値を [デフォルトのデータドメイン] に変更します。データドメインに子データドメインが含まれている場合は、[2番目のデータドメイン] 列と [3番目のデータドメイン] 列の値も削除する必要があります。.

    6. [一括管理] ダイアログボックスで、[ローカルファイルのインポート] をクリックし、変更したテンプレートファイルをインポートして、[OK] をクリックします。

    カスタムデータドメインを作成し、データドメインにアセットを追加すると、データドメインの横にある数字は、データドメインとその子データドメイン内のアセットの総数を示します。

    特定のカスタムデータドメインのみを管理するRAMユーザーを承認する

    次の表に、データドメイン関連のポリシーを示します。

    ポリシー

    説明

    AliyunYundunSDDPFullAccess

    DSCのすべての権限。データドメインを管理する権限が含まれます。権限を持つRAMユーザーは、データドメインでサポートされているすべての操作を実行できます。

    AliyunYundunSDDPReadOnlyAccess

    DSCの読み取り専用権限。権限を持つRAMユーザーは、すべてのデータドメインを表示することのみが可能で、データドメインの変更、データドメインの削除、アセットの移動など、データドメインに対する他の操作は実行できません。

    AliyunYundunSDDPDataManager

    DSCのデータドメインを管理する権限。

    権限を持つRAMユーザーは、DSCコンソールで同期されます。RAMユーザーが管理できるデータドメインの範囲を指定すると、RAMユーザーは範囲内のデータドメインとドメイン名内のアセットを表示および管理できます。たとえば、データドメインの変更、ドメイン名へのアセットの追加、ドメイン名からのアセットの移動などが可能です。

    Alibaba Cloudアカウントは複数のRAMユーザーを作成できます。特定のRAMユーザーにAliyunYundunSDDPDataManager ポリシーをアタッチし、RAMユーザーをDSCコンソールに同期して、RAMユーザーをデータ管理者として使用できます。次に、RAMユーザーが管理できるデータドメインの範囲を指定し、RAMユーザーが範囲内のデータドメインとドメイン名内のアセットを表示および管理できるようにします。たとえば、RAMユーザーが範囲内でデータドメインを変更したり、ドメイン名にアセットを追加したり、アセットを他のドメイン名に移動したりすることを許可できます。

    説明

    • AliyunYundunSDDPDataManagerとRAMユーザーに対する操作は、データドメインに対してのみ有効です。AliyunYundunSDDPFullAccess ポリシーがアタッチされているRAMユーザーは、データインサイト、データ監査、データマスキングなどのDSC の機能を使用するときに、すべてのアセットを表示できます。

    • AliyunYundunSDDPDataManager ポリシーをRAMユーザーにアタッチして、RAMユーザーが特定のカスタムデータドメインとデータドメイン内のアセットを表示および管理できるようにすることができます。RAMユーザーが特定のカスタムデータドメインとデータドメイン内のアセットを表示することのみを許可し、管理することはできません。AliyunYundunSDDPReadOnlyAccess ポリシーをRAMユーザーにアタッチすると、RAMユーザーはすべてのデータドメインを表示できます。

    手順 1:RAMユーザー情報を同期する

    重要

    • 同期するRAMユーザーには、AliyunYundunSDDPFullAccess ポリシーをアタッチする必要があります。

    • Asset Center > Data Management ページでは、同期されたRAMユーザーは、承認されたカスタムデータドメインとデータドメイン内のアセットのみを管理できます。

    1. [データ管理] ページで、[データ管理者] タブをクリックします。

    2. 既存のRAMユーザーがビジネス要件を満たしていない場合、またはより多くのRAMユーザーが必要な場合は、[ユーザーの作成] をクリックしてRAMユーザーを作成します。

      1. [ユーザーの作成] パネルで、[RAMコンソール] をクリックします。

      2. RAMコンソールの [ユーザーの作成] ページで、ユーザー情報を入力し、[OK] をクリックします。RAMユーザーの作成方法の詳細については、「RAMユーザーの作成」をご参照ください。

      3. DSCコンソールに戻ります。[ユーザーの作成] パネルで、[作成済み] をクリックします。

    3. RAMユーザーに、DSC のデータドメインを管理する権限を付与します。

      1. RAMコンソールのユーザーページ で、RAMユーザーを見つけ、[アクション] 列の [権限の追加] をクリックします。

      2. [権限の付与] パネルで、RAM ユーザーに権限を付与します。詳細については、「RAM ユーザーへの権限の付与」をご参照ください。

        [aliyunyundunsddpdatamanager] システムポリシーを選択する必要があります。[aliyunyundunsddpfullaccess] ポリシーがRAMユーザーにアタッチされていない場合は、[aliyunyundunsddpfullaccess] も選択する必要があります。

    4. DSCコンソールの データ管理者[アセットセンター] > [データ管理] ページの ユーザーの同期 タブに戻り、 をクリックします。

      DSC は、現在のAlibaba Cloudアカウント内で [aliyunyundunsddpdatamanager] ポリシーがアタッチされているすべてのRAMユーザーをデータ管理者リストに同期します。

    手順 2:RAMユーザーのデータドメインを設定する

    RAMユーザーを同期した後、RAMユーザーが管理できるカスタムデータドメインの範囲を設定する必要があります。

    1. [データ管理] タブで、管理するRAMユーザーを見つけ、[アクション] 列の [管理可能なデータドメインの編集] をクリックします。

    2. [管理可能なデータドメインの変更] パネルで、RAMユーザーのデータドメインを選択し、[OK] をクリックします。

    関連情報