概要
メタデータアクセスコントロール機能は、COMETA内のデータベース系アセットを、指定したチームだけが閲覧できるように設定する機能です。
この機能を利用することで、「特定のチームには機密情報を含むテーブルのメタデータを非表示にする」「部署ごとに関連するテーブルの情報だけを表示する」といった、柔軟な権限管理が可能になります。これにより、データガバナンスを強化し、ユーザーが必要な情報へより簡単にアクセスできるようになります。
各アセットへのアクセス可否に加えて、メタデータの編集や実データの閲覧にはCOMETAロールの設定が必要です。
詳しくは、各COMETAロールでできることを参照ください。
チームとは
各アセットへのアクセスルールは、ユーザー単位ではなくユーザーが所属するチーム単位で設定します。
TROCCOのチーム機能とは別の機能であり、設定も連携されません。
チームに所属するユーザーのロール
チームの編集・削除などの操作はチームロールによって制限されます。
- チーム管理者:チームの編集・削除・チームへのユーザー追加といったチームの管理が可能です
- チームメンバー:所属するチームのユーザー一覧を閲覧できます
アカウント特権管理者は、チームに所属していない場合でもチームの編集・削除などの操作が可能です。
なお、アカウント特権管理者はTROCCOと共通です。
詳しくは、アカウント特権管理者についてを参照ください。
チームの管理
新しいチームを作成する
チーム一覧画面で「チームの新規作成」をクリックし、チームを新規作成できます。
チームの作成は、アカウント管理者以上の権限が必要です。
権限の詳細については、各ユーザー権限でできることを参照ください。
基本情報
| 項目名 | 内容 |
|---|---|
| チーム名 | チームの名称を入力します。 |
| メモ | チームに関するメモを入力します。 |
所属ユーザー
「追加」をクリックし、所属ユーザーを追加します。
| 項目名 | 内容 |
|---|---|
| メールアドレス | 追加したいユーザーのメールアドレスを入力します。 |
| ロール | 「チーム管理者」または「チームメンバー」を選択します。ロールはユーザーを追加した後も変更可能です。 |
データストアアクセス管理者とは
特定のデータストアに紐づき、そのデータストア内のアセット(データベース、スキーマ、テーブル)に対して、どのチームがアクセスできるかを設定する責任者です。
データストアを新規に連携したユーザーが、自動的にそのデータストアの「データストアアクセス管理者」になります。
データストアアクセス管理者は、以下の操作権限を持ちます。
- アクセス許可・拒否ルールの作成と削除
- データストア内のすべてのアセットへのアクセス
- 自身が持つ「データストアアクセス管理者」の役割を他のユーザーに委譲
データストアアクセス管理者は、1データストアにつき1ユーザーです。
他のユーザーを管理者に設定したい場合は、管理者権限の委譲が必要です。
アクセスルールの仕組み
アセットがユーザーに表示されるかどうかは、以下のルールに基づいて決まります。
- 「拒否」は「許可」より強い
- 親アセットのルールは子アセットに継承される
- データストアにルールが何も設定されていない場合は非表示となる
基本ルール1:「拒否」は「許可」より強い
許可されたアセットのうち、拒否として指定されたアセットを除いたものが閲覧・操作可能になります。
基本ルール2:親アセットのルールは子アセットに継承される
親アセット(データベースなど)へのアクセスが許可されている場合、その子アセット(テーブル、カラムなど)へのアクセスもすべて許可されます。
ただし、明示的に拒否が設定された子アセットへのアクセスは、基本ルール1により拒否されます。
親アセット(データベースなど)へのアクセスが拒否されている場合、その子アセット(テーブル、カラムなど)へのアクセスもすべて拒否されます。
子アセットに明示的に許可が設定されていても、基本ルール1により拒否されます。
基本ルール3:データストアにルールが何も設定されていない場合は非表示となる
データストアにアクセスルールが何も設定されていない場合、アセットを閲覧・操作できるのは「データストアアクセス管理者」と「アカウント特権管理者」のみです。
他のすべてのユーザーにはアセットが表示されません。
新しく取り込まれたアセットには、デフォルトではルールが設定されていません。
そのため、明示的な許可ルールが設定されるまで、基本ルール3によりすべてのユーザーから非表示になり、「アカウント特権管理者」と「データストアアクセス管理者」のみが新しいアセットを閲覧できます。
ただし、親階層のアセットに対して許可のルールを設定している場合は、基本ルール2より自動的に許可対象になります。
- データベース単位で許可している場合:そのデータベース配下に新しく追加されたスキーマやテーブルが自動的に許可されます
- スキーマ単位で許可している場合:そのスキーマ配下に新しく追加されたテーブルが自動的に許可されます
メタデータアクセスコントロール機能のリリース以前に連携したデータストアについては、引き続きすべてのユーザーがアクセス可能です。
すべてのユーザーが所属するチームに対して、アクセス可否が「許可」に設定されています。
具体例
例1:スキーマ全体を許可し、一部のテーブルを拒否する
- ルールA:営業チームにスキーマXを許可
- ルールB:営業チームにスキーマX内のテーブルYを拒否
- 結果:営業チームは、スキーマX内のアセットを閲覧できますが、テーブルYだけは表示されません
例2:スキーマ全体を拒否し、一部のテーブルを許可しようとする
- ルールA:営業チームにスキーマXを拒否
- ルールB:営業チームにスキーマX内のテーブルYを許可
- 結果:営業チームは、スキーマX全体が拒否されているため、テーブルYを含むすべての関連アセットを閲覧できません
アクセスルールの管理
データストア連携管理からデータストア詳細画面を開き、アクセスルール設定からルールを管理します。
新しいルールを追加する
アクセスルール一覧ページで、「ルールを作成」ボタンをクリックし、ルールを作成します。
| 項目名 | 内容 |
|---|---|
| チーム | ルールを適用したいチームを選択します。 |
| アクセス可否 | 「許可」または「拒否」を選択します |
| プロジェクト / データベース | 対象となるデータストアのプロジェクトまたはデータベースを選択します。 「すべて」を選択すると、データストア全体が対象になり、子階層のアセットは選択できなくなります。 |
| データセット / スキーマ | 対象となるデータセットまたはスキーマを選択します。 「すべて」を選択すると、プロジェクト/データベース全体が対象になり、子階層のアセットは選択できなくなります。 |
| テーブル系アセット | 対象となるテーブルを選択します。 「すべて」を選択すると、データセット/スキーマ全体が対象になります。 |
アセットをチームに公開するには、少なくとも1件以上の「許可」ルールを設定する必要があります。
ルールの編集はできません。変更したい場合は、一度削除してから新しく作成してください。
ルールを削除する
アクセスルール一覧の、削除したいルールの行にあるゴミ箱マークのボタンから削除できます。
アクセスルールに設定したアセットがCOMETA上で削除された場合でも、設定したルールは保持されます。そのため、再度同じアセットが連携された場合には、以前に設定していたルールが自動的に適用されます。
BigQueryのテーブル名末尾にYYYYMMDD形式のサフィックスが付いているテーブルに対して設定したルールは、常に最新のテーブルに適用されます。(COMETAでは最新のテーブルのみを保持しています。)
データストアアクセス管理者を委譲する
データストア詳細画面の「アセットアクセス管理者」にある「委譲する」をクリックし、委譲先のユーザーを選択します。