Column

コラム

  • CDP運用:ユーザー権限管理方法について Treasure ...
  • CDP

CDP運用:ユーザー権限管理方法について Treasure Data編

はじめに

前回のコラムは一般的なCDPのユーザー権限管理について触れていきました。

今回はTreasure Dataにフォーカスし、Treasure Dataにおけるユーザー権限管理についてお話します。
Treasure Dataをご利用の方、Treasure Data導入をご検討の方の参考になれば幸いです。

※2022年4月執筆時点の情報となります。

Policy Based Permission(PBP)

Policy Based Permission(以下PBP)とは、ポリシーという役割グループを作成し、それごとに権限定義を行うことができるTreasure Dataの機能です。

作成したポリシーにユーザーを紐づけると、ポリシーで定義した権限が自動的にユーザーに付与されます。

これまで、Treasure Dataのデータベースにおいては各ユーザー×データベース毎に閲覧・編集権限をひとつひとつ付与しなければいけませんでしたが、PBPの新機能(Policy Based Database Permission)ではこれを役割単位で管理することができるようになり、格段と管理がしやすくなりました。

※PBPはTreasure Dataのオプション機能です。利用するにあたり契約が必要です。

Treasure Dataのユーザーと権限の種類

ユーザー権限管理では、まず役割と権限の設計、それに紐づくユーザーの整理をしていきます。

Treasure Dataには複数のユーザー、権限の種類があるため、それらを理解し、各ポリシーに適切なユーザー/権限を振り分ける必要があります。

Treasure Dataのユーザー、権限の種類は以下の通りです。

<ユーザーの種類>

  • Owner:最上位権限。全権限を保有。
  • Admin:管理者権限。ユーザー権限管理が可能。
  • User(一般ユーザー):実行可能アクションは権限設定によって制限される。

<設定可能な権限> ※PBPの場合

データベースにおける権限

  • Full Access(旧Adminと同等の権限):
    データベースの作成、またすべてのデータベースにおいて閲覧・処理実行・テーブル作成/削除等が可能
  • Limited Access(User向けの権限):
    • General Access(旧Full Accessと同等の権限):
      権限が与えられたデータベースにおいて、閲覧・SQL実行・テーブル作成/削除等が可能
    • Import Only:
      権限が与えられたデータベースにおいて、テーブル作成、テーブルへのデータインポートが可能
    • Query Only:
      権限が与えられたデータベースにおいて、SQL実行が可能
  • Manage Own Database:
    データベースを作成することができる権限(設定値:Yes/No)
  • Download Database:
    クエリ実行結果をダウンロードすることができる権限(設定値:Yes/No)

各機能における権限

  • Workflow:
    Workflow機能(外部連携/内部処理の自動化)が利用できる権限(設定値:View/Run/Edit)
  • Master Segment:
    顧客のプロファイル作成機能が利用できる権限(設定値:View/Full)
  • Audience Studio:
    外部連携用のセグメント作成機能が利用できる権限(設定値:None/Full Access/Limited Access)

上記のユーザー×権限の種類を組み合わせて役割権限を設計していきます。
各社ユーザーの定義は異なるかと思いますが、例えば以下のような形でポリシーを設計していきます。

権限設計イメージ

ポリシー:管理者

すべてのデータベース、機能においてフル権限を付与

  • ユーザー:Admin
  • 権限:
    • データベース:Full Access
    • Manage Own Database:Yes
    • Download Database:Yes
    • Workflow:View/Run/Editすべて
    • Master Segment:Full
    • Audience Studio:Full Access

ポリシー:分析担当者

分析に必要な一部データベース、機能のみの権限を付与

  • ユーザー:User
  • 権限:
    • データベース:Limited Access
      (データベース毎にGeneral Access/Import Only/Query Onlyを定義)
    • Manage Own Database:No
    • Download Database:Yes
    • Workflow:View
    • Master Segment:View
    • Audience Studio:None

場合によっては、一人のユーザーが複数のポリシーに跨ぐ場合も考えられます。
その際は、各権限の種類ごとに最も強い権限がユーザーに割り当てられます。

PBP設定方法

権限設計、紐づけるユーザーが決定したら、実際に設定していく段階に入ります。
PBPの設定方法は以下の通りです。

  1. ポリシーの作成
    Control Panel > Policiesから設定画面にアクセスします。
    「Actions」ボタンから「Create Policy」を選択し、ポリシー名と説明文を記入します。
PBP設定_ポリシー作成

 作成後、以下のようにポリシーの箱ができあがります。

PBP設定_ポリシー作成
  1. 権限を設定
    「PERMISSIONS」のタブから権限編集画面に遷移します。
    データベース、その他各機能の権限を選択し、設定します。
PBP設定_権限設定
  1. ユーザー設定
    「APPLIED TO」のタブからポリシーに紐づけたいユーザーを追加します。
PBP設定_ユーザー設定

このような形で、簡単に設定することができます。

PBP新機能有効化の注意点

すでにPBPを契約しており、新しいPolicy Based Database Permissionを利用したい場合は、Treasure Data側での有効化対応が必要になります。
Treasure Dataの担当者にご連絡ください。

有効化する際は、下記にご注意ください。

  1. 一度有効化したら戻せない
    新機能は一度有効化したら前のデータベース権限管理に戻すことはできないため、予めきちんと検討をした上で有効化してください。
  2. 移行初期は細かいポリシーが自動的にたくさん作成される
    旧データベース権限設定と、新機能の互換性を担保するために、細かいポリシーがたくさん作成されます。新規ポリシーを作成し権限設定・ユーザー設定を行ったら削除する必要があります。
PBP_細かいポリシー自動生成イメージ
  1. Download Databaseはポリシーに紐づくデータベースすべてに適用
    ユーザーが複数ポリシーに跨いで設定されている場合に要注意です。
    ポリシーA/Bにユーザーが跨いで設定され、
     ①ポリシーAではDownload Database:ON で
     ②ポリシーBではOFFの場合、
    ユーザーはポリシーA/B両方に含まれるデータベースに対してクエリのダウンロード権限を保有します。
    ポリシーAのみに権限付与されたデータベースに対してダウンロードできるわけではないため権限設計時はご注意ください。
  2. Owner/Adminのポリシー作成も必要
    これまではOwner/Adminであればデフォルト全データベースに対して閲覧編集権限がありましたが、新機能ではOwner/Adminに対してもデータベースポリシーを設定する必要があります。

さいごに

今回は、Treasure Dataのユーザー権限管理方法についてお話しました。

最新バージョンのPBPを活用することで、ユーザー権限管理業務を効率的に行うことが可能ですので、Treasure Dataをご利用の方は是非ご検討ください。

また、DataCurrentでは、CDP構築・運用・活用までワンストップで支援しています。
お困りごとありましたら是非ご相談ください。

》CDP構築/活用支援のサービス資料はこちら

CDP構築/活用支援サービス資料イメージ

本件に関するお問い合わせは下記にて承ります。
株式会社DataCurrent
info@datacurrent.co.jp

人気のコラムランキング

PICK UP

今、CMPは導入するべきか?

コラム

Treasure Data CDPを活用したOneID(統合ID)構築3 姓名突合での落とし穴

コラム

機械学習 | 「viz」×焼肉のたれの売上を肉の売上でシミュレーションしてみた

コラム

CMPツールの導入手順について

コラム

TOPへ
戻る