注: 以下の翻訳の正確性は検証されていません。AIPを利用して英語版の原文から機械的に翻訳されたものです。

制限付きビューを利用したオブジェクトタイプの設定

制限付きビュー (RV) は、オントロジーデータに対する行レベルのアクセス制御を可能にします。これにより、データセット全体や特定のタイプのオブジェクトへのアクセス権を単純に付与するよりも、より細かいアクセス制御が可能になります。

制限付きビューはデータセットに似ていますが、データセット内の特定の行へのアクセスを制限します。制限付きビューはデータセットレベルで設定され、オントロジーオブジェクトは制限付きビューポリシーで定義された細かい権限を引き継ぎます。

制限付きビューを使用してオブジェクトタイプをバックアップする

オブジェクトタイプを制限付きビューでバックアップすることで、ユーザーが閲覧できる特定のオブジェクトを制御できます。例えば、ユーザーがポリシーの要件を満たし、制限付きビューの特定の行を閲覧できる場合、制限付きビューリソースへのアクセスがなくても、対応するオントロジーオブジェクトを閲覧できます。

データセットでバックアップされたオブジェクトタイプのオブジェクトを表示するには、データセットを表示できる必要があります。

  • Object Storage V1(Phonograph)で制限付きビューによってバックアップされたオブジェクトタイプのオブジェクトを表示するには、オブジェクトタイプ自体を表示できる必要があります。制限付きビューを見る必要はありません。むしろ、その行の制限付きビューのマーキングと読み取りポリシーを満たすだけで済みます。
  • Object Storage V2では、制限付きビューを見ることができる必要があります。

特定のオブジェクトをユーザーから制限する場合は、オントロジーマネージャーでオブジェクトタイプのバッキングデータソースとして制限付きビューを選択します。

Input datasource

セキュリティ設定

オントロジーマネージャーの Security タブには、Row Level PoliciesGranular Permissions などの追加設定オプションが表示されます。Row Level Policies セクションは、近いうちに廃止される予定です。

Row level policies

Granular Permissions セクションでは、制限付きビューの追加設定が可能です。制限付きビューのポリシーを継承することをお勧めします。これはデフォルトの動作です。

これらのポリシーを設定して、ユーザーがオブジェクトの属性(オブジェクトのプロパティなど)に基づいて特定のオブジェクトのみを表示または編集できるようにする場合があります。たとえば、Europeregion 行にあります)のユーザーがヨーロッパのオブジェクトを表示および編集できるようにする場合があります。これは、制限付きビューのポリシーと異なる場合があります。

オブジェクトのプロパティにアクセスできるユーザーを定義する3つのポリシーがあります。

  • Read: このポリシーは、制限付きビューのすべてのプロパティを閲覧できるユーザーを定義します。上記の例では、region 行とユーザーの属性(Europe)を比較して、ユーザーが閲覧できるオブジェクトを判断するポリシーになります。
  • Edit property: このポリシーは、書き戻し用に設定されたプロパティのうち、どのプロパティを更新できるかを定義します。これは、粒子化された権限ポリシー定義で使用されていないプロパティです。上記の例では、このポリシーは name プロパティを編集できるユーザーを制御しますが、region プロパティを編集できるユーザーは制御しません。region プロパティはポリシーで使用されているためです。
  • Edit policy property: このポリシーは、書き戻し用に設定されたプロパティのうち、粒子化された権限ポリシー定義で使用されているプロパティを更新できるユーザーを定義します。上記の例では、このポリシーは region プロパティを編集できるユーザーを制御します。

Granular permissions

オブジェクトタイプがアクションのみからの編集を受け付けるように設定されている場合、編集ポリシーは適用されません。アクションの権限について詳しくはこちら。

オブジェクトタイプが Object Storage V1(Phonograph)で登録された後にビューポリシーが変更された場合、オントロジーマネージャーのオブジェクトタイプの Datasources タブの Phonograph セクションにある Update ボタンを使用して登録を更新する必要があります。登録が更新されない場合、制限付きビューの最新データが、以前に登録されたポリシーに基づいて利用可能になる場合があります。Object Storage V2では、デフォルトで自動ポリシー伝播が利用可能です。