データ カタログとデータ資産へのアクセスをセキュリティで保護する方法How to secure access to data catalog and data assets

重要

この機能は、Azure Data Catalog の Standard Edition でのみ使用できます。This feature is available only in the standard edition of Azure Data Catalog.

Azure Data Catalog では、データ カタログにアクセスできるユーザーと、そのユーザーがカタログのメタデータで実行できる操作 (登録する、注釈を付ける、所有権を取得する) を指定できます。Azure Data Catalog allows you to specify who can access the data catalog and what operations (register, annotate, take ownership) they can perform on metadata in the catalog.

カタログのユーザーとアクセス許可Catalog users and permissions

ユーザーまたはグループにデータ カタログへのアクセスを提供し、アクセス許可を設定するには、次のようにします。To give a user or a group the access to a data catalog and set permissions:

  1. データ カタログのホーム ページのツールバーで、 [設定] をクリックします。On the home page of your data catalog, click Settings on the toolbar.

    Azure Data Catalog ホーム ページの [設定] ボタン

  2. [設定] ページで、 [カタログ ユーザー] セクションを展開します。In the settings page, expand the Catalog Users section.

    Azure Data Catalog ユーザーの [追加] ボタン

  3. [追加] をクリックします。Click Add.

  4. 完全修飾ユーザー名またはセキュリティ グループの名前を、カタログに関連付けられている Azure Active Directory (AAD) に入力します。Enter the fully qualified user name or name of the security group in the Azure Active Directory (AAD) associated with the catalog. 複数のユーザーまたはグループを追加する場合は、区切り記号としてカンマ (`,’) を使用します。Use comma (`,’) as a separator if you are adding more than one user or group.

    Azure Data Catalog ユーザー - ユーザーまたはグループ

  5. テキスト ボックス外で Enter キーまたは Tab キーを押します。Press ENTER or TAB out of the text box.

  6. すべてのアクセス許可 ( [注釈][登録] 、および [所有権の取得] ) がこれらのユーザーまたはグループに既定で割り当てられていることを確認します。Confirm that all permissions (Annotate, Register, and Take Ownership) are assigned to these users or groups by default. これはつまり、ユーザーまたはグループがデータ資産を登録するデータ資産に注釈を付ける、およびデータ資産の所有権を取得することができることを意味します。That is, the user or group can register data assets, annotate data assets, and take ownership of data assets.

    Azure Data Catalog ユーザー - 既定のアクセス許可

  7. ユーザーまたはグループにカタログに対する読み取りアクセスのみを与えるには、そのユーザーまたはグループの [注釈] オプションをオフにします。To give a user or group only the read access to the catalog, clear the annotate option for that user or group. オフにすると、ユーザーおよびグループはカタログ内のデータ資産に注釈を付けられなくなりますが、表示は可能です。When you do so, the user or group cannot annotate data assets in the catalog but they can view them.

  8. ユーザーまたはグループによるデータ資産の登録を拒否するには、そのユーザーまたはグループの [登録] オプションをオフにします。To deny a user or group from registering data assets, clear the register option for that user or group.

  9. ユーザーがデータ資産の所有権を取得することを拒否するには、そのユーザーまたはグループの [所有権の取得] オプションをオフにします。To deny a user from taking ownership of a data asset, clear the take ownership option for that user or group.

  10. ユーザーまたはグループをカタログ ユーザーから削除するには、一覧の下部でそのユーザーまたはグループの x をクリックします。To delete a user/group from catalog users, click x for the user/group at the bottom of the list.

Azure Data Catalog カタログ ユーザー - ユーザーの削除の [X] アイコン

重要

ユーザーを直接追加してアクセス許可を割り当てるより、カタログ ユーザーにセキュリティ グループを追加することをお勧めします。We recommend that you add security groups to catalog users rather than adding users directly and assign permissions. その後、役割やカタログに対する必要なアクセスが一致するセキュリティ グループにユーザーを追加します。Then, add users to the security groups that match their roles and their required access to the catalog.

特別な考慮事項Special considerations

  • セキュリティ グループに割り当てられるアクセス許可は付加的な要素です。The permissions assigned to security groups are additive. 2 つのグループに 1 人のユーザーがいるとします。Say, a user is in two groups. 一方のグループには注釈を付けるアクセス許可がある一方で、もう一方のグループにはありません。One group has annotate permissions and other group does not have annotate permissions. その場合、ユーザーには注釈を付けるアクセス許可が付与されます。Then, user has annotate permissions.
  • ユーザーに明示的に割り当てられたアクセス許可は、そのユーザーが属するグループに割り当てられているアクセス許可をオーバーライドします。The permissions assigned explicitly to a user override the permissions assigned to groups to which the user belongs. 前の例で、ユーザーを明示的にカタログ ユーザーに追加し、注釈を付けるアクセス許可を割り当てていないとします。In the previous example, say, you explicitly added the user to catalog users and do not assign annotate permissions. そのユーザーは注釈を付けるアクセス許可が付与されているグループのメンバーであっても、データ資産に注釈を付けることができません。The user cannot annotate data assets even though the user is a member of a group that does have annotate permissions.

次のステップNext steps