行レベルのアクセス制御の構成

ユーザー・アクセスに必要な行レベルのパーミッションを持つテーブルのあるDSEクラスターに対し、LCMで行レベル・アクセス制御(RLAC)を有効にします。

行レベル・アクセス制御(RLAC)では、ユーザー名や会社名など、テキストベースのパーティション・キーに適用されたフィルターと照合して、組織の権限管理ポリシーをテーブル内のデータに強制的に適用します。RLACを使用すると、テーブルのセキュリティを詳細に設定できるため、権限を付与されたユーザーのみがデータのサブセットを表示または変更できるようになります。RLAC機能は、マルチテナント・アプリケーションに便利です。

アクセスに必要な行レベルのパーミッションを持つテーブルのあるDSEクラスターに対し、LCMで行レベル・アクセス制御を有効にします。Lifecycle Manager(LCM)がプロビジョニングと管理を行うDSEクラスター用に構成されたRLACをLCMが認識し、RLACを使用できるようにするには、以下の手順を実行します。
注: RLACは、DSE 5.1以降およびLCM 6.1以降でサポートされています。

手順

  1. Lifecycle Managerのナビゲーション・メニューで[Config Profiles]をクリックします。
  2. 編集する構成プロファイルの[Edit]アイコンをクリックするか、プロファイルをまだ作成していない場合は[Add config profile]をクリックします。
  3. [Config Profile]ペインの[Cassandra]セクションで、[cassandra.yaml]をクリックします。[Security]ペインでは、以下の設定を確認します。
    1. [Authenticator]設定が[DseAuthenticator]であることを確認します。
    2. [Authorizer]設定が[DseAuthorizer]であることを確認します。

    LCM構成プロファイルのcassandra.yamlでオーソライザーとオーセンティケーターを設定する

  4. [Config Profile]ペインの[Cassandra]セクションで、[dse.yaml]をクリックします。
  5. [DSE Authorizer Options]ペインまでスクロールします。
    1. 権限管理オプションで[Enabled]を選択します。
    2. [allow_row_level_security]を選択します。

    LCM構成プロファイルのdse.yamlで[DSE Authorizer Options]の行レベルのセキュリティ設定を許可する

  6. [Save]をクリックし、構成プロファイルを保存します。

次のタスク

  • Lifecycle Managerの[Clusters]ワークスペースに移動し、クラスター、データ・センター、またはノードのレベルで適用する構成プロファイルを選択します。ノードはクラスターまたはデータ・センター・レベルから構成プロファイル設定を継承するか、優先されるノード・レベルで設定を保持することができます。
  • 構成ジョブを実行し、構成を該当するすべてのノードにプッシュします。
  • GRANTまたはREVOKE文を使用して、お使いの環境に応じて該当するテーブル行を制限し、該当するロール名にパーミッションを付与します。詳細については、DSE管理者向けドキュメントの「行レベルのパーミッションの設定」を参照してください。
  • 各ユーザー・ロールとしてログインし、クエリーを実行して結果が指定したアクセス・パーミッションを示していることを確認します。「」を参照してください。