BDDファイルへのユーザー・アクセスを制限するには、OSファイル権限を使用する必要があります。chmodやumask、その他同類のユーティリティを使用して権限を制御できます。
bddユーザーには、すべてのBDDファイルとディレクトリおよびDgraphデータベースに対して、読取りと書込み、場合によっては実行権限が必要です。他のユーザーにもこれらのアクセス権を付与できますが、そのユーザーが信頼できるユーザーであることを確認し、付与する権限についても十分に検討してください。
次のBDDユーティリティについては、特に注意が必要です。
bdd-adminスクリプトは、BDDコンポーネントの起動と停止やクラスタ構成の更新など、管理タスクの実行に使用されます。これはすべてのBDDノードの$BDD_HOME/bdd_admin/binに格納されています。ただし、管理サーバーからしか実行できないため、BDDクラスタのすべてのノードでパスワードなしのsudoが有効であるユーザーが実行する必要があります。
デフォルトで、bddユーザーのみがbdd-adminを実行できます。その他のユーザーがこれを実行できないようにすることをお薦めします。実行できてしまうと、侵入者によるデータ・アクセスのリスクが高まります。
bdd-adminスクリプトの詳細は、管理者ガイドを参照してください。
DP CLIユーティリティは、手動でまたはcronジョブを通じてデータ処理ワークフローを起動するために使用されます。デフォルトで、これを実行できるのはbddユーザーのみですが、他のユーザーにも実行権限を付与できます。ただし、これによりそれらのユーザーがデータにアクセスできる度合いが高まり、BDDで使用可能にするデータをこれらのユーザーが制御できるようになります。そのため、アクセス権を付与するユーザーは慎重に選択してください。
$BDD_HOME/dataprocessing/edp_cli/config/に格納されているDP CLIのホワイトリストとブラックリストへのアクセスも制限する必要があります。これらのファイルは、DP CLIで処理するハイブ表を決定します。詳細は、データ・セットのホワイトリストとブラックリストを参照してください。
DP CLIおよびホワイトリストとブラックリストの詳細は、データ処理ガイドを参照してください。
BDDシェルはBDDの内部の探索やHadoopとの相互作用、データ分析に使用されるプログラミング・シェルです。その他のBDDコンポーネントとは別にインストールする、オプションのコンポーネントです。
bddユーザーと、インストール時に定義した特定のOSグループのメンバーのみがBDDシェルを使用できます。BDDシェル・グループに後からユーザーを追加することもできますが、そのユーザーが信頼できるユーザーであることを確認し、付与する権限についても十分に検討してください。
BDDシェルの詳細は、BDDシェル・ガイドを参照してください。