Documentation
ドキュメントの検索
karat

+

K

APIリファレンス ↗
セキュリティとガバナンスデータ基盤のセキュリティ運用アプリケーションのセキュリティ
Warning

注: 以下の翻訳の正確性は検証されていません。AIPを利用して英語版の原文から機械的に翻訳されたものです。

運用アプリケーションのセキュリティ

オントロジーのリソースメタデータの認証モデルは、データソースに由来する権限からオントロジーロールに変わります。オントロジーロールへの移行に関するドキュメンテーションでは、移行を進めるための手順をステップバイステップで説明しています。オントロジーロールはまだすべての顧客に一般提供されていません。特定の Foundry のインストールに関する情報は、Palantir の担当チームにお問い合わせください。

data foundationの構築が終わったら、その上にオントロジーと Flight Alert Inbox アプリケーションを構築し始めることができます。目指すのは、運用ユーザーに価値あるワークフローを提供しつつ、セキュリティを明瞭かつ維持しやすくすることです。

オブジェクトデータはデータセットの権限を継承します

元データセットがすでにトランスフォームされているため、オントロジーにFlightFlight AlertDelayAircraftの4つのオブジェクトを作成することができます。これを行うには、新しいオブジェクトタイプを作成し、それぞれのオブジェクトに対してすでに構築した元データセットを選択します。このプロセスでは、データセットの列を新しいオブジェクトタイプのプロパティにマッピングします。元データセットの各列は新しいオブジェクトタイプのプロパティになり、元データセットの各行はオブジェクトタイプのインスタンスになります。したがって、オブジェクトタイプ内のデータは、元データセットの権限によって保護されます。

Aircraftオブジェクトのデータは、/Sky Industries/Aviation [オントロジー]/aircraftデータセットの権限によって保護されます。したがって、Aviation [オントロジー] - Viewer グループのユーザーは、Aviation [オントロジー] プロジェクトで Aircraft オブジェクトのデータを見ることができます。

オントロジービュー

必要なオブジェクトを作成した後、オブジェクト間の関連性に基づいて必要なリンクタイプを作成できます。以下は私たちのオントロジーです。

オントロジー内のオブジェクトリンク

ワークフロー全体をサポートするために、一部のオブジェクトに書き戻し機能を追加することをお勧めします。書き戻し機能では、既存のプロパティ値の編集(例えば、誤った値の修正やステータスプロパティの更新)だけでなく、新たなデータや決定のキャプチャも可能になり、これにより時間とともに価値が蓄積されます。

これを行うには、エディターセクションで書き戻しデータセットを生成するだけです。編集されたデータセットは元データセットと同じオントロジープロジェクト(例えば Aviation [オントロジー])に置くことを推奨します。これにより、オブジェクトの権限が統一されます。オブジェクトの編集の推奨方法は、アクションを使用することで、これはAPI経由でも呼び出すことができます。以下は書き戻しデータセットを持つ Flight Alert オブジェクトです。

書き戻しデータセットを持つ Flight alert オブジェクト

オントロジーデータへのユーザーアクセスは、すべてデータファウンデーションで作成し適用したグループによって管理されます。例えば、新しいユーザーを Aviation [オントロジー] - Viewer グループに追加するだけで、4つのオブジェクト:Flight, Flight Alert, Delay, Aircraftのデータすべてを見ることができます。

オントロジーの編集

オントロジー内の特定のオブジェクトタイプの設定を誰が編集できるかを制御するには、オントロジーロールを使用します。オントロジーロールを使用すると、各オントロジーリソース(オブジェクトタイプ、リンクタイプ、アクションタイプ)に直接ロールを適用できます。例えば、ユーザーがオントロジー内の Flight Alert オブジェクトを編集するためには、Flight Alert オブジェクトにオントロジー編集者ロールを持っているだけで、元データソースに対する任意の権限は必要ありません。これらの権限は、各オブジェクトタイプのセキュリティセクションで管理できます。

ユーザーやグループにオブジェクトタイプに対する役割を付与することは、オブジェクトタイプの定義とそのメタデータに対する権限だけを与え、データ自体に対する任意の権限は付与しません。データへの権限は、元データソースの権限によって管理されます。

オントロジーエディターロール

オブジェクトのインスタンスの制限

後から乗客データを組み込むことに決め、乗客データのパイプラインを統合して構築します。

コンプライアンス上の理由から、運用ユーザーには自分がいる国の乗客の情報だけを見せたいかもしれません(アメリカのユーザーはアメリカの乗客だけを見ることができ、ドイツのユーザーはドイツの乗客だけを見ることができるなど)。オブジェクトタイプがデータセットによって支えられているため、その権限はデータセット全体に結びついています。個々の行に対する権限を制限したい場合、制限付きビューによってオブジェクトタイプを支える必要があります。制限付きビューは、単一のデータセットの行毎の権限付きビューです。

制限付きビューを作成する際、以下の事前準備ステップを行う必要があります:

  1. グローバルグループ passenger-data-global-accessを作成し、すべての管理ユーザーにグローバルな乗客データへのアクセスを与えます。
  2. ユーザーが必要な地理的なユーザー属性(例:location:country - US)を持っていることを確認します。
  3. 制限付きビューのためのプロジェクトを作成し、**Customer Information [Restricted]**と呼びます。これにより、現在および将来にわたって顧客情報に関連するすべての制限付きビューが含まれます。これにより、入力データセットのバックアップとは別に制限付きビューへのアクセスを許可することができます。

ユーザー属性は、ユーザー管理 UI で手動で設定することも、SAML設定から自動的にマッピングすることもできます。

上記の事前準備を完了したら、制限付きビューの作成に進むことができます。入力データセットリソースに移動し、下記のように制限付きビューを作成を選択します。

制限付きビューの作成

制限付きビューウィザードはすべてのステップをガイドします。制限付きビューは、先ほど作成した新しいCustomer Information [Restricted] プロジェクトに保存します。

制限付きビューの作成ステップ1

制限付きビューの作成ステップ2

ポリシーは制限付きビューの核心部分であり、ユーザーがどの行を見ることができるかを決定します。この例では、以下のことを行います:

  • ユーザーの属性 location:country がデータセットの country 列の値と一致する行だけを表示する、または
  • ユーザーが passenger-data-global-access グループのメンバーである場合はすべての行を表示する。

以下は、具体的なポリシーの例です:

ポリシーの設定

ウィザードが完了すると、制限付きビューが作成されます。作成が完了したら、制限付きビューを使用して Passenger オブジェクトをバックアップします。オブジェクトタイプは自動的に制限付きビューポリシーを継承し、そのポリシーを使用してユーザーが見ることができるオブジェクトインスタンスを制限します。

制限付きビューを持つオブジェクトタイプ

データを Data Catalog に追加する

Data Catalogは、Foundry内のキュレーションされたコンテンツをブラウズできるビューです。Foundry内のすべてのデータセットは分析可能であり、適切な権限があれば、Data Catalog内のデータセットはユーザーにとって最も有用または関連性が高いと認識され、そこで簡単にアクセスできるように集められています。

オントロジーの構築が終わったら、オントロジーデータセットをすべて Data Catalog に追加することをお勧めします。特に、オントロジーの書き戻しデータセットはオブジェクトデータの正規のソースであるため、Data Catalog に追加することをお勧めします。

ユーザーにアプリケーションへのアクセスを許可する

FlightFlight AlertDelayAircraftPassengerオブジェクトの構築が終わった後、運用センターのための Flight Alert Inbox アプリケーションの構築を進めました。これは、Workshop documentationに従って行いました。オントロジーデータを編集できる人と Flight Alert Inbox アプリケーションを編集できる人とを分けるために、Flight Alert Inbox アプリケーション専用の新しいプロジェクトを作成します。新しいプロジェクトはFlight Alert Inboxという名前にします。

このプロジェクトにアクセスするには、ユーザーはすべてのアクセス要件を満たさなければなりません。プロジェクトに関連付けられたマーキングがないため、ユーザーは役割を持ち、Sky Industries の組織のメンバーである必要があります。

アクセス要件

運用消費者は、Flight、Flight Alert、Delay、Aircraft、および Passenger のデータを見るために Aviation [オントロジー] - Viewer グループに、Flight Alert Inbox アプリケーションを見るために Flight Alert Inbox - Viewer グループに追加されます。

アプリケーション開発者は、Flight、Flight Alert、Delay、Aircraft、および Passenger のデータを見るために Aviation [オントロジー] - Viewer グループに、Flight Alert Inbox アプリケーションを編集するために Flight Alert Inbox - Editor グループに追加されます。

パイプライン開発者は、Flight、Flight Alert、Delay、Aircraft、および Passenger データセットを編集するために Aviation [オントロジー] - Editor グループに追加され、その変更の下流のワークフローを見ることができるように Flight Alert Inbox - Viewer グループに追加されます。

ロールの付与