Data Query の権限管理

Prev Next

VPC環境で利用できます。

NAVERクラウドプラットフォームのアカウント管理サービスである Sub Accountを使用して、Data Queryのアクセス権を様々な方法で設定できます。Sub Accountでは、管理および運用権限の設定のためにマネージド(System Managed)ポリシーとユーザー定義(User Created)ポリシーを提供します。

参考

Sub Accountは、ご利用の申し込みの際に別途料金が発生しない無料サービスです。Sub Accountの詳細は、NAVERクラウドプラットフォームポータルの サービス > Management & Governance > Sub Account メニューと Sub Account ご利用ガイドをご参照ください。

マネージドポリシー

マネージドポリシーは、ユーザーの便宜を図るために、NAVERクラウドプラットフォームが独自に定義したロールベースのポリシーです。Sub Accountで作成したサブアカウントでマネージドポリシーを付与すると、権限を付与されたサブアカウントは Data Queryが利用できます。Data Queryのマネージドポリシーについての簡単な説明は、次の通りです。

ポリシー名 ポリシーの説明
NCP_ADMINISTRATOR メインアカウントと同等の権限で、すべてのサービスにアクセスできる権限
NCP_INFRA_MANAGER すべてのサービスにアクセスできますが、コンソールの My Account課金情報と費用管理請求と決済管理 メニューのみアクセスできない権限
NCP_FINANCE_MANAGER Cost Explorer サービスとコンソールの My Account課金情報と費用管理請求と決済管理 メニューのみアクセスできる権限
NCP_VPC_DATA_QUERY_MANAGER VPCベースの Data Queryのすべての機能が利用できる権限
NCP_VPC_DATA_QUERY_VIEWER VPCベースの Data Queryの照会機能のみ利用できる権限

ユーザー定義ポリシー

ユーザー定義ポリシーは、ユーザーが直接作成できるポリシーです。Sub Accountで作成したサブアカウントにユーザー定義ポリシーを付与すると、権限を付与されたサブアカウントはユーザーが割り当てたアクションの組み合わせでのみ利用できるようになります。Data Queryのユーザー定義ポリシーについての簡単な説明は、次の通りです。

区分 アクション名 関連アクション リソースタイプ リソースタイプ別のグループ アクションの説明
View View/getDataSourceList - - DataSource Data Sourceリストを照会
View View/getDataSourceDetail View/getDataSourceList DataSource DataSource Data Sourceの詳細情報を照会
View View/getSavedQueryList - - Project myQueryリストを照会
View View/getSavedQueryDetail View/getSavedQueryList Project Project myQueryの詳細情報を照会
View View/getSavedQueryScheduleDetail View/getSavedQueryList
View/getSavedQueryDetail
Project Project myQuery Scheduleの詳細情報を照会
View View/getQueryHistoryList - - Project クエリ実行 Historyリストを照会
View View/getQueryHistoryDetail View/getQueryHistoryList Project Project クエリ実行 Historyの詳細情報を照会
View View/getDashboard - Project Project Dashboard照会
Change Change/subscribeProduct - - Project Data Queryサービスの利用または解約の申し込み
Change Change/setConfiguration ObjectStorage:View/getBucketList
ObjectStorage:View/getObjectList
Project Project クエリ結果の保存場所を設定
Change Change/createDataSource DataCatalog:View/getConnectionList
DataCatalog:View/getConnectionDetail
- DataSource Data Source追加
Change Change/deleteDataSource View/getDataSourceList
View/getDataSourceDetail
DataSource DataSource Data Source削除
Change Change/executeSelectQuery View/getDataSourceList
View/getDataSourceDetail
DataCatalog:View/getDatabaseList
DataCatalog:View/getDatabaseDetail
Project Project SELECT、EXPLAIN、DESCRIBE Queryを実行
Change Change/executeDMLQuery View/getDataSourceList
View/getDataSourceDetail
DataCatalog:View/getDatabaseList
DataCatalog:View/getDatabaseDetail
Change/executeSelectQuery
Project Project DML(INSERT、UPDATE、DELETE、MERGE、ANALYZE、ALTER_TABLE_EXECUTE) Queryを実行
Change Change/executeDDLQuery View/getDataSourceList
View/getDataSourceDetail
DataCatalog:View/getDatabaseList
DataCatalog:View/getDatabaseDetail
DataCatalog:Change/createDatabase
DataCatalog:Change/updateDatabase
DataCatalog:Change/deleteDatabase
Change/executeSelectQuery
Change/executeDMLQuery
Project Project DDL(DATA_DEFINITION) Queryを実行
Change Change/stopQuery View/getDataSourceList
View/getDataSourceDetail
DataCatalog:View/getDatabaseList
DataCatalog:View/getDatabaseDetail
Project Project Query実行停止
Change Change/executeDryRunQuery View/getDataSourceList
View/getDataSourceDetail
DataCatalog:View/getDatabaseList
DataCatalog:View/getDatabaseDetail
Project Project Query模擬実行
Change Change/createSavedQuery - Project Project myQuery作成
Change Change/updateSavedQuery View/getSavedQueryList
View/getSavedQueryDetail
Project Project myQueryをアップデート
Change Change/deleteSavedQuery View/getSavedQueryList
View/getSavedQueryDetail
Project Project myQuery削除
Change Change/createSavedQuerySchedule View/getSavedQueryList
View/getSavedQueryDetail
Project Project myQuery Schedule作成
Change Change/updateSavedQuerySchedule View/getSavedQueryList
View/getSavedQueryDetail
Project Project myQuery Scheduleをアップデート
Change Change/deleteSavedQuerySchedule View/getSavedQueryList
View/getSavedQueryDetail
Project Project myQuery Schedule削除
注意

特定のアクションに対する権限が付与されたとしても、関連する必須アクションに対する権限が一緒に付与されていない場合、ジョブは正常に行えません。このような問題を防ぐため、Sub Accountではアクション権限の付与時に、関連アクションに対する権限も自動的に一緒に付与される機能を提供します。ただし、自動的に一緒に付与された関連アクションの選択を解除すると、メインアカウントユーザーの意図とみなし、システムで強制的に含めないようにするため、権限設定の際はご注意ください。