ユーザー・ロールとアクセス権限について

各Studioユーザーには、ユーザー・ロールが割り当てられます。ユーザー・ロールによって、Studio内の機能に対するユーザーのアクセス権が決定します。

ユーザー・ロールおよびプロジェクト・ロール

Studioロールは、Studio全体のユーザー・ロールとプロジェクト固有のロールに分かれます。ユーザー・ロールは、管理者、パワー・ユーザー、制限付きユーザーおよびユーザーです。これらのロールは、データ・セットとプロジェクトにおけるStudioの機能、およびStudioの管理構成へのアクセスを制御します。プロジェクト固有のロールは、プロジェクト作成者およびプロジェクト制限付きユーザーです。これらのロールは、プロジェクト固有の構成とプロジェクト・データへのアクセスを制御します。すべてのStudioユーザーは、ユーザー・ロールを持っており、個別にまたはユーザー・グループのいずれかに割り当てられたプロジェクト固有のロールを持つこともできます。

管理者はユーザー・ロールを割り当てることができます。すべてのプロジェクトへのプロジェクト作成者アクセス権も持っており、プロジェクト・ロールの割当ても許可されます。

継承されたロール

Studioユーザーには、多数の割当て済ロールがあります。ユーザー・ロールに加えて、プロジェクト固有のロールを持ち、追加のロールを付与するユーザー・グループに属することもできます。このような場合、権限が直接割り当てられたかユーザー・グループから継承されたかどうかに関係なく、最も高い権限がStudioの各領域に適用されます。

ユーザー・ロール

ユーザー・ロールは次のとおりです。
ロール 説明
管理者

管理者には、Studioにおけるすべての機能への完全なアクセス権があります。

管理者は、次を行うことができます。
  • 「コントロール・パネル」へのアクセス
  • データ・セットとプロジェクトの作成および削除
  • プロジェクト内のデータの変換
  • すべてのプロジェクトの表示、構成および管理
パワー・ユーザー
パワー・ユーザーは、次を行うことができます。
  • データ・セットとプロジェクトの作成および削除
  • プロジェクト内のデータの変換
  • HDFSへのデータのエクスポートおよび新しいデータ・セットの作成
  • プロジェクト・ロールを持つプロジェクトの表示、構成および管理
  • 各自のアカウント情報の編集
パワー・ユーザーは、次を行うことができません。
  • 「コントロール・パネル」へのアクセス
ユーザー
ユーザーは、次を行うことができます。
  • データ・セットとプロジェクトの作成および削除
  • プロジェクト内のデータの変換
  • プロジェクト・ロールを持つプロジェクトの表示、構成および管理
  • 各自のアカウント情報の編集
ユーザーは、次を行うことができません。
  • 「コントロール・パネル」へのアクセス
  • HDFSへのデータのエクスポート
制限付きユーザー

これは、新しいユーザーのデフォルトのユーザー・ロールです。最も制限された権限を持ち、基本的に読取り専用ロールです。これは、新しいユーザーのデフォルトのユーザー・ロールです。

制限付きユーザーは、次を行うことができます。
  • 新しいプロジェクトの作成
  • カタログ内のデータ・セットの表示
  • プロジェクト・ロールを持つプロジェクトの表示、構成および管理
制限付きユーザーは、次を行うことができません。
  • 各自のアカウント情報の編集
  • 「コントロール・パネル」へのアクセス
  • 新しいデータ・セットの作成
  • プロジェクト内のデータの変換
  • HDFSへのデータのエクスポート
注意: パワー・ユーザー、ユーザーおよび制限付きユーザーは、デフォルトではプロジェクト・ロールを持っていませんが、「すべてのBig Data Discoveryユーザー」グループにロールを付与するすべてのプロジェクトにアクセスできます。次に示すプロジェクト・ロールを持つプロジェクトにもアクセスできます。

プロジェクト・ロール

プロジェクト・ロールは、プロジェクト・コンテンツおよび構成へのアクセス権限を付与します。個別のユーザーまたはユーザー・グループにプロジェクト・ロールを割り当てることができ、Big Data Discovery Studioでのユーザーのユーザー・ロールに関係なく、特定のプロジェクトへのアクセス権を定義します。次のロールがあります。

ロール 説明
プロジェクト作成者
プロジェクト作成者は、次を行うことができます。
  • プロジェクトの構成および管理
  • ユーザーおよびユーザー・グループの追加または削除
  • ユーザー・ロールおよびユーザー・グループ・ロールの割当て
  • プロジェクト・データの変換
  • プロジェクト・データのエクスポート
プロジェクト作成者は、次を行うことができません。
  • 新しいデータ・セットの作成
  • Big Data Discoveryの「コントロール・パネル」へのアクセス
プロジェクト制限付きユーザー
プロジェクト制限付きユーザーは、次を行うことができます。
  • プロジェクトの表示および構成済ページ内の移動
  • プロジェクト・ページおよびコンポーネントの追加および構成
プロジェクト制限付きユーザーは、次を行うことができません。
  • 「プロジェクトの設定」へのアクセス
  • 新しいデータ・セットの作成
  • データの変換
  • プロジェクト・データのエクスポート

データ・セットのアクセス・レベル

ユーザー・ロールおよびプロジェクト・ロールにより制御されるグローバル機能のアクセスとプロジェクト・レベルのアクセスに加えて、一部のデプロイメントではデータ・セット・レベルでのアクセス制御が必要な場合があります。データ・セットはBig Data Discoveryの基本的なコンポーネントであるため、これには事例ごとにデータ・セットへのアクセス権限を付与または拒否する必要があります。

注意: 個々のユーザーに「デフォルト・アクセス」の許可または「アクセス不可」を設定することはできず、ユーザー・グループに対してのみ設定できます。
アクセス・レベル 説明
アクセス不可(ユーザー・グループのみ) ユーザー・グループはデータ・セットにアクセスできません。このユーザーまたはグループに対してデータ・セットはカタログ内で表示されません。
デフォルト・アクセス(ユーザー・グループのみ) ユーザー・グループはデータ・セットに対するデフォルトのアクセス権限を持ちます。データ・セットのデフォルトのアクセス・レベルは、「Studio設定」ページの「コントロール・パネル」で、df.defaultAccessForDerivedDataSets設定を使用して設定されます。詳細は「Studio設定リスト」を参照してください。
読取り専用
データ・セットへの読取りアクセス権を持つユーザーは、次のことができます。
  • 検索結果内または「カタログ」の参照によるデータ・セットの確認
  • データ・セットの探索
  • データ・セットをプロジェクトに追加し、プロジェクト内でそれを変更する
読取り/書込み
データ・セットへの読取り権限に加え、書込みアクセス権を持つユーザーは、次のことができます。
  • 記述、検索可能なタグ、グローバル属性メタデータなど、データ・セット・メタデータの変更
  • データ・セットへのアクセス権の管理

ユーザーには別のユーザーによりアップロードされたデータ・セットに対するアクセス権がありません。ファイルのアップローダおよびStudio管理者のみがアクセス権を持っており、両者とも読取り/書込み権限レベルを持っています。

これらのアクセス・レベルの使用方法として、デフォルトのデータ・セット・アクセス権「読取り専用」に限定し、「デフォルト・アクセス」レベルを管理者以外のすべてのユーザー・グループに割り当てることができます。これにより、すべてのユーザーがデータ・セットをプロジェクトに追加し、そこで変更できるようになります。その後に、ユーザーがカタログを移動しやすいように属性メタデータとデータ・セットの詳細をグローバルに構成するために、データ・セットに対する読取り/書込みアクセス権を持つ「データ・キュレータ」グループを作成できます。グループは、グループのユーザーが持つ他のあらゆるアクセス権の上に、追加の権限レベルを効果的に設けます。

重要: データ・セットへのいかなるアクセス権も持たないユーザーでも、そのデータ・セットを使用するプロジェクトのプロジェクト制限付きユーザーまたはプロジェクト作成者であれば、データの探索はできます。プロジェクト作成者は、「変換」の操作を使用してデータ・セットの複製を作成し、その新しいデータ・セットへのアクセス権を取得できます。同様に、データ・セットへの読取り専用アクセス権を持つユーザーはデータ・セットを使用してプロジェクトを作成でき、その後に、デフォルトのデータ・セット権限に書込みアクセス権が含まれていれば、データに対して変換を実行できます。機密情報を扱っている場合は、プロジェクト・ロールとデータ・セットに対する権限を割り当てる際にこれを考慮してください。