行レベルのアクセス制御の構成
ユーザー・アクセスに必要な行レベルのパーミッションを持つテーブルのあるDSEクラスターに対し、LCMで行レベル・アクセス制御(RLAC)を有効にします。
行レベル・アクセス制御(RLAC)では、ユーザー名や会社名など、テキストベースのパーティション・キーに適用されたフィルターと照合して、権限管理ポリシーをテーブル内のデータに強制的に適用します。RLACを使用すると、テーブルのセキュリティを詳細に設定できるため、権限を付与されたユーザーのみがデータのサブセットを表示または変更できるようになります。RLAC機能は、マルチテナント・アプリケーションに便利です。
アクセスに必要な行レベルのパーミッションを持つテーブルのあるDSEクラスターに対し、LCMで行レベル・アクセス制御を有効にします。Lifecycle Manager(LCM)がプロビジョニングと管理を行うDataStax Enterprise(DSE)クラスター用に構成されたRLACをLCMが認識し、RLACを使用できるようにするには、以下の手順を実行します。
注: RLACは、DSE 5.1以降およびLCM 6.1以降でサポートされています。
手順
- Lifecycle Managerのナビゲーション・メニューで[Config Profiles]をクリックします。
- 編集する構成プロファイルの[Edit]アイコンをクリックするか、プロファイルをまだ作成していない場合は[Add config profile]をクリックします。
- [Config Profile]ペインの[Cassandra]セクションで、[cassandra.yaml]を選択します。
-
[Security]ペインで以下が選択されていることを確認します。
- [Authenticator]設定が[DseAuthenticator]であることを確認します。
- [Authorizer]設定が[DseAuthorizer]であることを確認します。
- [Config Profile]ペインの[Cassandra]セクションで、[dse.yaml]を選択します。
-
[DSE Authorizer Options]ペインまでスクロールして、以下の選択を行います。
- 権限管理オプションで[Enabled]を選択します。
- [allow_row_level_security]を選択します。
- [Save]をクリックし、構成プロファイルを保存します。
次のタスク
- Lifecycle Managerの[Clusters]ワークスペースに移動し、クラスター、データ・センター、またはノードのレベルで適用する構成プロファイルを選択します。ノードはクラスターまたはデータ・センター・レベルから構成プロファイル設定を継承するか、優先されるノード・レベルで設定を保持することができます。
- 構成ジョブを実行し、構成を該当するすべてのノードにプッシュします。
GRANT
またはREVOKE
文を使用して、お使いの環境に応じて該当するテーブル行を制限し、該当するロール名にパーミッションを付与します。詳細と例については、「行レベル・アクセス制御(RLAC)の設定」を参照してください。- 各ユーザー・ロールとしてログインし、クエリーを実行して結果が指定したアクセス・パーミッションを示していることを確認します。