制限付きビューを利用したオブジェクトタイプの設定

制限付きビュー (RV) は、オントロジーデータに対する行レベルのアクセス制御を可能にします。これにより、データセット全体や特定のタイプのオブジェクトへのアクセス権を単純に付与するよりも、より細かいアクセス制御が可能になります。

制限付きビューはデータセットに似ていますが、データセット内の特定の行へのアクセスを制限します。制限付きビューはデータセットレベルで設定され、オントロジーオブジェクトは制限付きビューポリシーで定義された細かい権限を引き継ぎます。

制限付きビューを使用してオブジェクトタイプをバックアップする

オブジェクトタイプを制限付きビューでバックアップすることで、ユーザーが閲覧できる特定のオブジェクトを制御できます。例えば、ユーザーがポリシーの要件を満たし、制限付きビューの特定の行を閲覧できる場合、制限付きビューリソースへのアクセスがなくても、対応するオントロジーオブジェクトを閲覧できます。

データセットでバックアップされたオブジェクトタイプのオブジェクトを表示するには、データセットを表示できる必要があります。

• Object Storage V1（Phonograph）で制限付きビューによってバックアップされたオブジェクトタイプのオブジェクトを表示するには、オブジェクトタイプ自体を表示できる必要があります。制限付きビューを見る必要はありません。むしろ、その行の制限付きビューのマーキングと読み取りポリシーを満たすだけで済みます。
• Object Storage V2では、制限付きビューを見ることができる必要があります。

特定のオブジェクトをユーザーから制限する場合は、オントロジーマネージャーでオブジェクトタイプのバッキングデータソースとして制限付きビューを選択します。

セキュリティ設定

オントロジーマネージャーの Security タブには、Row Level Policies や Granular Permissions などの追加設定オプションが表示されます。Row Level Policies セクションは、近いうちに廃止される予定です。

Granular Permissions セクションでは、制限付きビューの追加設定が可能です。制限付きビューのポリシーを継承することをお勧めします。これはデフォルトの動作です。

これらのポリシーを設定して、ユーザーがオブジェクトの属性（オブジェクトのプロパティなど）に基づいて特定のオブジェクトのみを表示または編集できるようにする場合があります。たとえば、Europe（region 行にあります）のユーザーがヨーロッパのオブジェクトを表示および編集できるようにする場合があります。これは、制限付きビューのポリシーと異なる場合があります。

オブジェクトのプロパティにアクセスできるユーザーを定義する3つのポリシーがあります。

• Read: このポリシーは、制限付きビューのすべてのプロパティを閲覧できるユーザーを定義します。上記の例では、region 行とユーザーの属性（Europe）を比較して、ユーザーが閲覧できるオブジェクトを判断するポリシーになります。
• Edit property: このポリシーは、書き戻し用に設定されたプロパティのうち、どのプロパティを更新できるかを定義します。これは、粒子化された権限ポリシー定義で使用されていないプロパティです。上記の例では、このポリシーは name プロパティを編集できるユーザーを制御しますが、region プロパティを編集できるユーザーは制御しません。region プロパティはポリシーで使用されているためです。
• Edit policy property: このポリシーは、書き戻し用に設定されたプロパティのうち、粒子化された権限ポリシー定義で使用されているプロパティを更新できるユーザーを定義します。上記の例では、このポリシーは region プロパティを編集できるユーザーを制御します。