アクセス制御の説明
Zilliz Cloudは、Zilliz Cloud内のリソースへのアクセスを細かく制御するために、Role-Based Access Control(RBAC)を実装しています。RBAC(Role-Based Access Control)は、ユーザーに直接ではなく、ロールに権限を付与するセキュリティ対策です。これらのロールには、リソースに対する特定の権限が含まれており、ユーザーのアクセス制御を効率的に管理することができます。
Zilliz Cloud RBACアーキテクチャ
Zilliz Cloudは、2つのプレーン内でリソースを整理し、両方にRBACを実装しています。
-
**コントロールプレーン:**このプレーンには、組織、プロジェクト、クラスター管理が含まれます。アカウントユーザーには、特定の組織とプロジェクトの役割が付与され、コントロールプレーン上のリソースとやり取りする際にAPIキーを使用して認証されます。
-
**データプレーン:**このプレーンには、データアクセス管理に焦点を当てたクラスター、データベース、コレクションが含まれます。クラスターユーザーには適切なクラスターロールが付与され、データプレーンリソースとやり取りする際にAPIキーまたはユーザー名-パスワードペアを使用して認証されます。
通常、各アカウントユーザーはクラスターユーザーに対応します。ただし、すべてのユーザーが両方のプレーンにアクセスする必要はありません。Billing Adminのようなコントロールプレーンアカウントユーザーは、請求管理の目的でコントロールプレーンにアクセスするだけで、データプレーンにアクセスする必要がない場合があります。逆に、一時的なクラスターユーザーを作成し、カスタマイズされたAPIキーを介してデータプレーンリソースにアクセスできるようにすることができます。カスタマイズされたAPIキーの管理の詳細については、APIキーを参照してください。
役割と特権
アカウントユーザーには組織ロールとプロジェクトロールが付与され、クラスターユーザーにはクラスター、データベース、コレクションへのアクセスを制御するクラスターロールが付与されます。次の図は、Zilliz Cloudのロールの階層を示しています。
-
組織レベルで
- 組織オーナーの役割には、すべてのプロジェクトとクラスターにわたる包括的な権限が含まれます。
すべての組織の役割の詳細については、組織の役割を参照してください。
-
プロジェクトレベルで
-
プロジェクト管理者の役割には、特定のプロジェクトのすべての権限と、すべてのクラスター全体の権限が含まれます。
-
プロジェクトの読み書きの役割には、プロジェクトを表示し、そのリソースを管理する権限があります。
-
プロジェクト読み取り専用の役割には、プロジェクトとそのリソースを表示する権限があります。
プロジェクトの役割の詳細については、「プロジェクトの役割」を参照してください。
-
-
クラスタレベルで
-
クラスター管理者の役割には、特定のクラスターのすべての特権が含まれます。
-
クラスターの読み書きロールには、クラスターを表示し、そのすべてのリソースを管理する権限があります。
-
クラスター読み取り専用ロールには、クラスターとそのリソースを表示する権限があります。
-
さらに、このレベルでカスタムロールを作成して、データベースやコレクションなどのクラスターリソースへの特権を正確に管理できます。
クラスターロールの詳細については、「クラスタロールの管理(コンソール)」を参照してください。
-