Treasure Data CDP<第12弾>Policy Based Permissionとは?
投稿者:朝井
NI+C マーケソリューションチームです:)
本Tech Blogでは、NI+Cで取り扱っているTreasure Data CDPを紹介していきます。
今回はTreasure Data CDPのセキュリティ機能である「Policy Based Permission」についてご紹介します!
Policy Based Permissionについて
Policy Based Permission(PBP)を平たく説明すると、
“Policyという権限管理グループごとにアクセスルールを設定して、権限管理を容易にするための機能”です。
イメージとしてはポリシーというルールを設定した箱を、各ユーザーに紐づけるといった感じで利用します。
最大の特徴として、ずばりTreasure Dataが提供する標準のセキュリティ機能よりも容易かつ細かい権限管理が可能です!
具体的な標準の権限管理との違いは、下記になります。
標準:各ユーザーの設定画面でポリシー設定する必要がある。権限管理できるのはDatabase、Workflow、Audience Studioのみ。
PBP:任意の条件のポリシーを一度作成してしまえば、各ユーザーを選択するだけで設定が紐づけられ、グループ単位での管理が可能となる。また、より細かい管理が可能となる(後の”Policy Based Permissionを設定して管理できる機能”で詳しくご紹介)。
それではユースケースと活用イメージを見てみましょう。
ユースケースと利点
PBPのユースケースとしては
・子会社や業務委託先のベンダーに割り当てる権限を制御したい
・部署ごとに権限を制御したい
・役職によって権限を制御したい
などが挙げられます。
また、利点として
・大量のユーザーを管理する際、一人ずつ権限設定を行うのではなく、グループポリシーで権限を管理することで管理コストを抑えることができる。
・組織での役割によって権限を管理することによって、意図しないデータへのアクセスや操作を防ぐことができる。
といったものが挙げられます。
さて、上記の通り、各ユーザーやグループに合わせた柔軟な権限設定が可能になることが分かりました。そんな今日のプライバシー規制に対するコンプライアンスの強化にもってこいなPolicy Based Permissionですが、具体的にTreasure Dataのどういった機能に適用することが可能なのでしょうか?
Policy Based Permissionを設定して管理できる機能
PBPを設定できる機能は以下の4つです。
Audience Studio
-標準のFull Access/None Accessに加え、Limited Accessの設定が可能。Limited Accessでは設定するマスターセグメントごとや、セグメント内のフォルダ単位などできめ細やかな制限が可能。
Workflow
-Workflowの各プロジェクト単位などで権限設定が可能。
Authentications
-外部サービスの認証設定の利用やデータソースの作成可否などの権限設定が可能。
Database
-Full Access/Limited Accessの設定が可能。
Limited Accessでは、
“Manage Own(データベースの新規作成、作成したDBの管理や削除可否)”
“Download(自分がアクセスできるテーブルのクエリ結果のダウンロード可否)”
という管理に加え、
管理者側で割り当てた任意のデータベースに対するアクセス権限の設定が可能。
設定してみましょう!
それでは早速、Treasure Dataのコンソール上からPBPを設定してみようと思います。
まずPBPを適用させるためには大きく3つの手順を辿ります。
1.ポリシーの作成
2.作成したポリシーに権限を設定
3.ユーザーにポリシーを適用
といった流れになります。
まずはコンソールを開き、画面左下の”ContorolPanel”にカーソルをあて、”Policies”をクリックしましょう。
すると↓のような画面が表示されるので、右上の”Actions”をクリックします。
すると↓のようなプルダウンが表示されるので”Create Policy”をクリックし・・・
画面中央にポップアップが表示されるので「ポリシー名」と「ポリシーの説明」を記入し、”Save”を押下します。
すると・・・
ポリシーの箱が出来上がりました!
ですが、これだけではこのポリシーに何の設定もしていません。次に権限の設定をしてみましょう。
上記の画面はそのままで、”PERMISSIONS”から権限設定することができます。
たとえばマーケティングチーム用に”AudienceStudio”のみ作成・閲覧・更新・削除可能なポリシーを設定したいな・・・といった場合は、↓のように”AUDIENCE STUDIO”のみFull Accessにする、といったことが可能です。
また、”?”マークにカーソルをあてるとどの機能が有効化あるいは制限されるか確認することができます。
アクセスできるデータベースも制限してみましょう。(今回は「asai_db」データベースにアクセス権限を付与)↓
さて、ここまで完了すればあとはユーザーにポリシーを紐づけるだけです!
“APPLIED TO”を開きます。ユーザーが紐づけられる前の画面は↓のような状態です。こちらでペンのマークをクリックします。
すると↓のような画面が出てきますので・・・(キャプチャでは”yuka”とあらかじめ検索欄に入れ、表示される名前を絞り込んでいます)
↓のように追加したいユーザーを選択し・・・
中央の>を押すと追加できます!設定からユーザーを解除したい場合は<を押してください。設定が終わりましたら右下の”Save”を押します。
無事紐づけられると、”USER LIST”にメールアドレスが表示されます!
これでPBPの設定から適用は完了です!
GUI上で見比べてみましょう!
GUI上で、アクセス制限しているユーザーとされていないユーザーの違いが分かりやすいDatabasesの一覧画面を見てみましょう。
たとえばAdminのページだと、”Databases”の画面の右上で123レコード見えていることが分かりますが、
先ほどのPolicyを付与したユーザーから同じ環境にログインすると・・・
権限を付与した「asai_db」データベースと、デフォルトで表示される2つのデータベース、計3データベースしか表示されなくなりました。
最後に
今回のブログはTreasure Dataのセキュリティオプション機能であるPolicy Based Permissionとは?というテーマでお送りしました。
紹介しきれなかった設定可能な権限管理の詳しい種類についても、またの機会にご紹介させていただければと思います!Treasure Dataのセキュリティ機能は目まぐるしく変わるプライバシー規制に対応するべく更新され続けているので、奥が深いです・・・
Treasure Data CDPにご興味を持たれた方はぜひ「こちら」からお問い合わせください
その他、Treasure Data CDP についての記事はこちら↓
セグメント作成について↓↓
Treasure Data CDP <第1弾>Audience Studio の機能でセグメント作成してみた!!
Activationについて↓↓
Treasure Data CDP <第2弾>Audience Studio の機能 Activation を使ってみた!
Predictive Scoring について↓↓
Treasure Data CDP <第3弾>Predictive Scoring のご紹介
データのインポートについて↓↓
Treasure Data CDP <第4弾>Treasure Data にデータをインポートしてみた
SQLを使ったデータの抽出方法について↓↓
Treasure Data CDP<第5弾>SQL を使ってデータ抽出してみた!
Treasure Workflowについて(前編)↓↓
Treasure Data CDP<第6弾>Treasure Workflow とは(前編)
Treasure Workflowについて(後編)↓↓
Treasure Data CDP<第7弾>Treasure Workflow とは(後編)
新機能 ジャーニーオーケストレーションについて↓↓
Treasure Data CDP<第8弾>新機能 ジャーニーオーケストレーション ご紹介
Server Side 1st Party Cookieについて↓↓
Treasure Data CDP<第9弾>Server Side 1st Party Cookieのご紹介
ジャーニーオーケストレーションの機能を使ったジャーニーの作成方法について↓↓
Treasure Data CDP<第10弾>【Journey Ohchestration】ジャーニーを作成してみよう!
Predictive Scoring 予測モデルの作成から実行について↓↓
Treasure Data CDP<第11弾>Predictive Scoringを使ってみた!