OpsCenterのアクセス・ロールの概要
OpsCenterでは、ユーザーのカスタムのアクセス・ロールを詳細に定義できます。
DataStax Enterprise(DSE)では、ユーザーのカスタムのアクセス・ロールを詳細に定義できます。OpsCenterは、ユーザーにOpsCenter認証を使用してログインすることを要求するよう構成できます。特定の操作を実行するパーミッションを各ロールに付与し、ロールをユーザーに割り当てることができます。ユーザーは1つのロールのみに割り当てることができ、各ロールはすべてのクラスターに適用されます。
注: OpsCenter内でLDAPを使用して認証するには、LDAPユーザーのロールを定義する必要があります。LDAP認証を使用する場合、ユーザーには複数のロールを指定できます。ログイン時に、ユーザーが割り当てられる各ロールのすべてのパーミッションがマージされます。
管理者ロールの権限
管理者ロールはOpsCenterに組み込まれており、編集も削除もできません。認証を有効にすると、管理者ロールのみがデフォルトで自動的に作成されます。管理者ロールのユーザーのみが、ユーザーとロールを管理し、新しいクラスターを追加し、定義ファイルを手動で更新できます。
重要: 初回ログイン時に、デフォルトのパスワードadminを変更することを強く推奨します。
カスタム・ユーザー・ロールの権限
管理者ロールを割り当てられたユーザーのみが、ロールを管理できます。各ロールは、OpsCenterによって管理されるすべてのクラスターのパーミッションを表しています。ユーザーがパーミッションを持たないOpsCenter内の機能はグレイ表示され、そのログイン・ユーザーは使用できません。
OpsCenter APIを使用する場合、十分なパーミッションがないユーザーはAPIから
HTTP 401, Unauthorized応答を受け取ります。 注: クラスターを追加しても、既存のロールのパーミッションは自動的に追加されません。クラスターを追加した後、組織に応じた各ロールのパーミッションをクラスターに適用します。
重要: OpsCenter 6.5.3以降では、複数のユーザー・ロールをLDAP認証とともに使用する場合、OpsCenter APIを使用するカスタム・スクリプトおよびアプリケーションを更新する必要があります。OpsCenter APIを使用するカスタム・スクリプトまたはアプリケーションが複数のユーザー・ロールを考慮しておらず、1人のユーザーが複数のロールを持つ場合、
role属性が見つからないために、そのスクリプトまたはアプリケーションは失敗します。持っているロールが1つのみのユーザーには、1つのrole属性が提供されます。お使いのアプリケーションまたはスクリプトのユーザーが持つロールが1つのみである場合、引き続き使用するための更新は必要ありません。ロール・パーミッション
カスタム・ロールを定義するとき、ロールごとに特定のパーミッションを有効にすることができます。各ユーザーには、OpsCenterによって管理されるすべてのクラスターのパーミッションを含む1つのロールのみを割り当てることができます。LDAP認証を使用する場合、ユーザーには複数のロールを指定できます。選択したロールの各クラスターのパーミッションを表示するには、[Cluster]メニューを使用します。選択したロール内のユーザーのクラスターを非表示にするには、すべてのパーミッションの選択を解除します。
| パーミッション | 説明 |
|---|---|
| コア機能 | |
| クラスターの表示 | OpsCenter Monitoring(OpsCenterモニタリング)のUIのクラスター領域にクラスターを表示できます。 |
| エージェントのインストール | 自動または手動でエージェントをインストールまたはアップグレードできます。 |
| 接続設定の編集 | OpsCenterの監視対象のDSEクラスターについて、クラスター接続設定を編集できます。 |
| アラートの管理 | DSEクラスターの監視条件について、アラートを追加できます。 |
| クラスター構成 | パフォーマンス・サービスを構成できます。 |
| サービス | |
| バックアップ・サービス | バックアップと復元を実行できます。 |
| ベスト・プラクティス・サービス | DSEクラスターを管理するために、Best Practice Service(ベスト・プラクティス・サービス)ルールを構成し、スケジュールできます。 |
| リペア・サービス | DSEクラスター上でリペアを実行するために、Repair Service(リペア・サービス)を起動、停止、構成できます。 |
| NodeSyncサービス | 権限を与えられたユーザーは、NodeSyncサービスのステータスにアクセスして設定を構成することができます。 |
| パフォーマンス・サービス構成 | パフォーマンス・サービスを構成できます。 |
| パフォーマンス・サービスCQLトレース | クエリー問題のトラブルシューティング時に低速CQLクエリーをトレースできます。 |
| ノード操作 | |
| 起動と停止 | ユーザーは、DSEノードを起動および停止することができます。リスト・ビューで使用できる[Other Actions]メニュー・オプション、または[Node Details]ビューの[Actions]メニューからノードを起動および停止します。 |
| クリーンアップ | ユーザーは、1つ以上のキースペースでクリーンアップを実行できます。 |
| コンパクト | ユーザーは、キースペースとそれらのテーブルでコンパクションを実行できます。メジャー・コンパクションは、やむを得ない理由がある場合を除き、推奨されません。 |
| ドレーン | ユーザーは、ノードをドレーンできます。[Drain]オプションは、[Node Details]ダイアログ・ビューの[Actions]メニューから使用でき、ノード上でDSEを再起動する場合にも使用できます。 |
| フラッシュ | ユーザーは、キースペースとそのテーブルをフラッシュできます。大きな動作中のmemtableが多数ある場合、キースペースをフラッシュすると、システム・パフォーマンスに影響する場合があります。 |
| ガーベージ・コレクション | ユーザーは、ノード上でガーベージ・コレクションを実行できます。GCを実行すると、レイテンシーが急増する原因になります。 |
| リペア | ユーザーは、リスト・ビューの選択したノード上で非定型のリペア操作を実行できます。 |
| データ | |
| スキーマの表示 | OpsCenter Monitoring(OpsCenterモニタリング)のデータ・ワークスペースでスキーマのCQL文を表示できます。テーブル、UDT、UDF、およびUDAを表示するには、スキーマの表示パーミッションが必要です。スキーマの表示パーミッションを持たないユーザーには、データ・ワークスペースに何らかの情報を表示するにはそのためのロール・パーミッションが必要であり、OpsCenter管理者に連絡してアクセス権限を取得する必要があることを示すメッセージが表示されます。 |
| スキーマの変更 | OpsCenterのデータ・ワークスペースでキースペース設定の編集、キースペースの削除、テーブルの削除を行うことができます。 |
| データのTRUNCATE | テーブルのデータをTRUNCATEすることができます。ロールにこのパーミッションが付与されていないユーザーの場合、[TRUNCATE]リンクはグレイ表示され、使用できません。 |
| クラスター・トポロジー | |
| ノードの追加 | 廃止予定。新規ユーザーは、Lifecycle Managerを使用して、既存のDSEクラスターにノードを追加します。管理者ロールを割り当てられたユーザーはLCMのすべての機能を使用できます。 |
| クラスターのバランス調整(非vnode) | 非vnodeクラスターのバランス調整を実行できます。vnodeには適用できません。 |
| 移動 | ノードを移動し、新しいトークンを入力し、そのノードに新しいトークンを割り当てることができます。ノードの移動操作時は、ノードは使用できず、クラスター・パフォーマンスに影響する可能性があります。vnodeには適用できません。[Move]オプションは、リスト・ビューの[Other Actions]メニュー、または[Node Details]ダイアログ・ビューの[Actions]メニューからアクセスできます。 |
| 使用廃止 | [Node Details]ダイアログ・ビューの[Actions]メニューからノードを使用廃止できます。 |
| トークンの削除 | APIを使用して、トークンを削除できます。 |