Skip to content
Products
/
/
/
ポリシーベースのカラムレベルアクセス制御権限
Last updated

ポリシーベースのカラムレベルアクセス制御権限

ポリシーベースのカラムレベルアクセス制御権限を作成する際、特定のカラムに対するアクセス制御を定義し、そのポリシーを特定のユーザーに割り当てます。これらの権限を作成するには、ポリシーベースのカラムレベルアクセス制御機能を有効にする必要があります。

カラムのタグベース権限について

  • ポリシーを設定する前に、カラムのアクセシビリティの種類とその定義を理解することが重要です。タグを使用してユーザーが定義できるカラムのアクセシビリティには3種類あります:
    • None - ユーザーはカラムを表示することもクエリすることもできません
    • View - ユーザーはカラムを表示できます
    • Masked - ユーザーはハッシュ化された値でカラムを表示し、クエリすることができます
    • アクセシビリティはポリシー内のタグに割り当てられます。これは、タグが付けられたすべてのカラムが、そのタグに割り当てられたアクセシビリティを継承することを意味します。例えば、PII タグにアクセシビリティ None が割り当てられている場合、PII タグが付けられたすべてのカラムは、そのポリシーが割り当てられたユーザーに対して「None」のアクセシビリティを持ちます。
    • ポリシーには常に、デフォルトのカラムアクセシビリティとして「None」の初期設定があります。ユーザーはデフォルトのアクセシビリティを View に変更できます。デフォルトのアクセシビリティ設定は、以下のアクセシビリティを決定します:
      • すべてのカラムの初期状態
      • 新しいカラムおよびタグ付けされていないカラム
    • Email (Raw) などのデフォルトポリシータグは、設計上、削除や編集ができません

このトピックには以下が含まれます:

ポリシーベースのカラムレベルアクセス制御の有効化

ポリシーベースのカラムレベルアクセス制御機能が必要です。この機能の有効化については、カスタマーサクセス担当者にお問い合わせください。機能を有効にすると、Treasure Data は自動的に新しい権限ポリシー「Columns full」を作成し、既存のすべてのユーザーに適用します。これにより、初期状態と同様に、既存のすべてのユーザーがすべてのカラムにアクセスできることが保証されます。その後、管理者は「Columns full」ポリシーからユーザーを削除し、新しいポリシーで他のカラムレベルアクセス制御権限を割り当てることができます。

カラムレベル権限の設定原則

カラムレベルアクセス制御ポリシーを作成する際、管理者は以下の点を考慮する必要があります:

  • 望ましい目標は何か?このポリシーの主な目的は、カラムデータへのアクセスを許可することか、それとも防止することか?
  • ポリシーのデフォルトアクセシビリティは何か?すべてのタグに対して、アクセス不可(None)または表示アクセス(View)のどちらから始める方が適切か?
  • ポリシーがアクセスを提供または防止するカラムはどれか?

例えば、特定のタグが付いたカラムへのアクセスをブロックすることが目標の場合、以下の手順を推奨します:

  1. デフォルトのアクセシビリティを View に更新することから始めます。
  2. Reset all tags to default を選択して、すべてのタグのアクセシビリティをデフォルトのアクセシビリティと同じに設定します。 既存のすべてのポリシータグのアクセシビリティ設定が View に設定されます。この設定は、このポリシーが割り当てられたユーザーが、タグ付けされたカラムを含むすべてのカラムへの表示アクセス権を持つことを意味します。

上記の設定により、管理者は特定のタグのアクセシビリティを None に設定できます。

最初のカラムレベル権限ポリシーを作成する前に、カラムレベル権限設定の一般的なシナリオ を確認してください。

ポリシーベース権限の作成

  1. TD Console を開きます。

  2. Control Panel > Policies に移動します。

  3. Add Policy を選択します。

  4. ポリシーの説明的な名前を入力し、オプションで説明を含めます。

  5. Add Policy を選択します。

  6. Permissions を選択し、パネルの下部までスクロールします。

  7. 鉛筆アイコンを選択して、カラムレベルアクセス制御権限を追加します。

  1. 以下の表に従って権限を設定します。

フォームに入力する際、パラメーターの横に疑問符が表示されている場合は、それを選択して詳細情報を取得することを忘れないでください。

パラメーター説明
Policy default accessibilityNone(デフォルト):ユーザーはカラムを表示することもクエリすることもできません。
View:ユーザーはカラムを表示できます。
Masked:ユーザーはハッシュ化された値でカラムを表示し、クエリすることができます。
Tagタグ名。
Accessibility Typeカラムタグごとの none、view、または masked のアクセシビリティ権限。
New column accessibilityポリシーに新しいカラムを追加すると、そのカラムはポリシーのデフォルトアクセシビリティを継承します。
  1. Save を選択します。

ユーザーへのポリシーの適用

  1. APPLIED TO タブを選択します。
  2. Apply policy を選択してユーザーをポリシーに追加します。
  1. 左右のトグルキーを使用して、ユーザーをポリシーに追加または削除します。
  2. Save を選択します。

ポリシーがデータに与える影響

ポリシーが設定されると、その設定に応じてデータの表示方法が異なります。

テーブルプレビュー

データの概要は、テーブルページおよびクエリエディターのテーブルプレビューで確認できます。ポリシーが設定されている場合、ユーザーの権限に応じて、各設定は以下のように動作します。

ポリシーデータ型結果
Noneすべて空白
Viewすべて生データが表示されます
MaskedStringハッシュ化されたデータが表示されます
その他Null

テーブルプレビューはデータ取り込み時のキャッシュを使用するメカニズムであるため、データ型はテーブル定義ではなく、インポート時の型に依存します。例えば、1 を文字列としてインポートした場合、テーブルプレビューはハッシュ化された値を表示します。col1 のデータ型を数値データ型に変更した後、クエリ結果は null になりますが、テーブルプレビューはハッシュ化されたデータを表示する場合があります。

クエリ結果

テーブルをクエリする場合、それぞれの権限に応じて以下のように動作します。

ポリシーデータ型結果
Noneすべてクエリは以下のように失敗します
Access Denied: Cannot select from columns [column_name] in table or view table_name
Viewすべてクエリはデータを返します
MaskedStringクエリはハッシュ化されたデータを取得します
Numericalクエリは null を取得します

カラムレベル権限設定の一般的なシナリオ

TD 管理者がポリシーでカラムレベルアクセス制御を設定する方法には、3つの一般的なシナリオがあります:

  1. 特定のタグが付いたカラムへの アクセス不可。例えば、PII タグが付いたカラムおよび Sensitive タグが付いたカラムへのアクセス不可。
  2. 特定のタグが付いたカラムへの アクセスのみ許可。例えば、Finance タグが付いたカラムへのアクセスのみ許可。
  3. アクセス不可とアクセス許可の組み合わせ。例えば、Finance タグが付いたカラムへのアクセスを許可、Sensitive タグが付いたカラムをマスク、PII タグが付いたカラムへのアクセス不可。

シナリオ A - 特定のタグが付いたカラムへのアクセス不可

以下の例では、Policy default accessibility を None から始め、デフォルトを View に変更し、特定のカラムをアクセス不可にするために None に変更します。

  1. TD Console を開きます。

  2. Control Panel > Policies に移動します。

  3. ポリシーを選択します。

  4. Permissions を選択します。

  5. Permissions パネルの下部までスクロールし、COLUMN LEVEL ACCESS CONTROL の鉛筆アイコンを選択します。

  6. policy default visibility を選択し、None から View に変更します。

  7. Reset All Tags To Default を選択して、すべてのタグのアクセシビリティをデフォルトのアクセシビリティと同じに設定します。すべてのタグが View と表示されます。

  8. Home Address タグのアクセシビリティタイプを View から None に更新します。

  9. Save を選択します。

シナリオ B - 特定のタグが付いたカラムへのアクセス

以下の例では、Policy default accessibility を None から始め、特定のカラムをアクセス可能にするために View に変更します。

  1. TD Console を開きます。
  2. Control Panel > Policies に移動します。
  3. ポリシーを選択します。
  4. Permissions を選択します。
  5. Permissions パネルの下部までスクロールし、COLUMN LEVEL ACCESS CONTROL の鉛筆アイコンを選択します。
  6. Policy default accessibility を None のままにします。
  1. Finance タグのアクセシビリティタイプを None から View に変更します。
  1. Save を選択します。

シナリオ C - 特定のタグが付いたカラムへのアクセスと制限付きアクセス

以下の例では、Policy default accessibility を None から始め、特定のカラムをアクセス可能にするために ViewMasked に変更します。

  1. TD Console を開きます。

  2. Control Panel > Policies に移動します。

  3. ポリシーを選択します。

  4. Permissions を選択します。

  5. Permissions パネルの下部までスクロールし、COLUMN LEVEL ACCESS CONTROL の鉛筆アイコンを選択します。

  6. Policy default accessibility を None のままにします。

  7. PII タグはデフォルトで None なので、そのままにします。

  8. Finance タグのアクセシビリティタイプを None から View に変更します。

  9. Security タグのアクセシビリティタイプを None から Masked に変更します。

  10. Save を選択します。

加算モデルとアクセシビリティ権限

ユーザーを複数のポリシーに割り当てた場合、そのユーザーのアクセシビリティ権限はポリシー割り当ての合計になります。以下の例を考えてみましょう:

  • ポリシー A は Finance タグのアクセシビリティを View として権限を付与します。
  • ポリシー B は Finance タグのアクセシビリティを None として権限を付与します。

権限の合計 Finance タグのアクセシビリティ = View と NoneFinance タグ = View となります。異なるポリシーで同じタグに対して2つの異なるアクセシビリティ権限が設定されている場合、最も許可度の高い権限がユーザーに付与されるアクセシビリティ権限となります。以下の情報は、各ユースケースで可能なすべての組み合わせとそのアクセシビリティ権限を示しています:

  • None + Masked = Masked

  • View + Masked = View

  • None + View = View

ユーザーのアクセシビリティ権限の確認

  1. TD Console を開きます。
  2. Control Panel > Users に移動します。
  3. ユーザーを選択します。
  4. Policies を選択します。
Previous page
Next page