2022.04.22 コラム
CDP運用:ユーザー権限管理方法について Treasure Data編
はじめに
前回のコラムは一般的なCDPのユーザー権限管理について触れていきました。
今回はTreasure Dataにフォーカスし、Treasure Dataにおけるユーザー権限管理についてお話します。
Treasure Dataをご利用の方、Treasure Data導入をご検討の方の参考になれば幸いです。
※2022年4月執筆時点の情報となります。
Policy Based Permission(PBP)
Policy Based Permission(以下PBP)とは、ポリシーという役割グループを作成し、それごとに権限定義を行うことができるTreasure Dataの機能です。
作成したポリシーにユーザーを紐づけると、ポリシーで定義した権限が自動的にユーザーに付与されます。
これまで、Treasure Dataのデータベースにおいては各ユーザー×データベース毎に閲覧・編集権限をひとつひとつ付与しなければいけませんでしたが、PBPの新機能(Policy Based Database Permission)ではこれを役割単位で管理することができるようになり、格段と管理がしやすくなりました。
※PBPはTreasure Dataのオプション機能です。利用するにあたり契約が必要です。
Treasure Dataのユーザーと権限の種類
ユーザー権限管理では、まず役割と権限の設計、それに紐づくユーザーの整理をしていきます。
Treasure Dataには複数のユーザー、権限の種類があるため、それらを理解し、各ポリシーに適切なユーザー/権限を振り分ける必要があります。
Treasure Dataのユーザー、権限の種類は以下の通りです。
<ユーザーの種類>
- Owner:最上位権限。全権限を保有。
- Admin:管理者権限。ユーザー権限管理が可能。
- User(一般ユーザー):実行可能アクションは権限設定によって制限される。
<設定可能な権限> ※PBPの場合
データベースにおける権限
- Full Access(旧Adminと同等の権限):
データベースの作成、またすべてのデータベースにおいて閲覧・処理実行・テーブル作成/削除等が可能 - Limited Access(User向けの権限):
- General Access(旧Full Accessと同等の権限):
権限が与えられたデータベースにおいて、閲覧・SQL実行・テーブル作成/削除等が可能 - Import Only:
権限が与えられたデータベースにおいて、テーブル作成、テーブルへのデータインポートが可能 - Query Only:
権限が与えられたデータベースにおいて、SQL実行が可能
- General Access(旧Full Accessと同等の権限):
- Manage Own Database:
データベースを作成することができる権限(設定値:Yes/No) - Download Database:
クエリ実行結果をダウンロードすることができる権限(設定値:Yes/No)
各機能における権限
- Workflow:
Workflow機能(外部連携/内部処理の自動化)が利用できる権限(設定値:View/Run/Edit) - Master Segment:
顧客のプロファイル作成機能が利用できる権限(設定値:View/Full) - Audience Studio:
外部連携用のセグメント作成機能が利用できる権限(設定値:None/Full Access/Limited Access)
上記のユーザー×権限の種類を組み合わせて役割権限を設計していきます。
各社ユーザーの定義は異なるかと思いますが、例えば以下のような形でポリシーを設計していきます。
権限設計イメージ
<ポリシー:管理者>
すべてのデータベース、機能においてフル権限を付与
- ユーザー:Admin
- 権限:
- データベース:Full Access
- Manage Own Database:Yes
- Download Database:Yes
- Workflow:View/Run/Editすべて
- Master Segment:Full
- Audience Studio:Full Access
<ポリシー:分析担当者>
分析に必要な一部データベース、機能のみの権限を付与
- ユーザー:User
- 権限:
- データベース:Limited Access
(データベース毎にGeneral Access/Import Only/Query Onlyを定義) - Manage Own Database:No
- Download Database:Yes
- Workflow:View
- Master Segment:View
- Audience Studio:None
- データベース:Limited Access
場合によっては、一人のユーザーが複数のポリシーに跨ぐ場合も考えられます。
その際は、各権限の種類ごとに最も強い権限がユーザーに割り当てられます。
PBP設定方法
権限設計、紐づけるユーザーが決定したら、実際に設定していく段階に入ります。
PBPの設定方法は以下の通りです。
- ポリシーの作成
Control Panel > Policiesから設定画面にアクセスします。
「Actions」ボタンから「Create Policy」を選択し、ポリシー名と説明文を記入します。
作成後、以下のようにポリシーの箱ができあがります。
- 権限を設定
「PERMISSIONS」のタブから権限編集画面に遷移します。
データベース、その他各機能の権限を選択し、設定します。
- ユーザー設定
「APPLIED TO」のタブからポリシーに紐づけたいユーザーを追加します。
このような形で、簡単に設定することができます。
PBP新機能有効化の注意点
すでにPBPを契約しており、新しいPolicy Based Database Permissionを利用したい場合は、Treasure Data側での有効化対応が必要になります。
Treasure Dataの担当者にご連絡ください。
有効化する際は、下記にご注意ください。
- 一度有効化したら戻せない
新機能は一度有効化したら前のデータベース権限管理に戻すことはできないため、予めきちんと検討をした上で有効化してください。 - 移行初期は細かいポリシーが自動的にたくさん作成される
旧データベース権限設定と、新機能の互換性を担保するために、細かいポリシーがたくさん作成されます。新規ポリシーを作成し権限設定・ユーザー設定を行ったら削除する必要があります。
- Download Databaseはポリシーに紐づくデータベースすべてに適用
ユーザーが複数ポリシーに跨いで設定されている場合に要注意です。
ポリシーA/Bにユーザーが跨いで設定され、
①ポリシーAではDownload Database:ON で
②ポリシーBではOFFの場合、
ユーザーはポリシーA/B両方に含まれるデータベースに対してクエリのダウンロード権限を保有します。
ポリシーAのみに権限付与されたデータベースに対してダウンロードできるわけではないため権限設計時はご注意ください。 - Owner/Adminのポリシー作成も必要
これまではOwner/Adminであればデフォルト全データベースに対して閲覧編集権限がありましたが、新機能ではOwner/Adminに対してもデータベースポリシーを設定する必要があります。
さいごに
今回は、Treasure Dataのユーザー権限管理方法についてお話しました。
最新バージョンのPBPを活用することで、ユーザー権限管理業務を効率的に行うことが可能ですので、Treasure Dataをご利用の方は是非ご検討ください。
また、DataCurrentでは、CDP構築・運用・活用までワンストップで支援しています。
お困りごとありましたら是非ご相談ください。
》CDP総合支援サービス ~構想・構築・活用~ のサービス資料はこちら
本件に関するお問い合わせは下記にて承ります。
株式会社DataCurrent
info@datacurrent.co.jp