メインコンテンツまでスキップ
バージョン: User Guides (Cloud)

アクセス制御の説明

Zilliz Cloudは、Zilliz Cloud内のリソースへのアクセスを細かく制御するためにロールベースアクセス制御(RBAC)を実装しています。RBAC(ロールベースアクセス制御)は、ユーザーに直接ではなくロールに権限を付与するセキュリティ対策です。これらのロールにはリソースへの特定の権限が含まれており、ユーザーに付与されることで、ユーザーアクセス制御の効率的な管理が可能になります。

L1WGwjF2NhxLRXbcyl6cSroNnoc

Zilliz Cloud RBACアーキテクチャ

WVIgwWtMYhhTBIbgAdAcegDRnle

Zilliz Cloudは、2つのプレーン内でリソースを整理し、両方にわたってRBACを実装しています:

  • コントロールプレーン: このプレーンには、組織、プロジェクト、およびクラスターマネジメントが含まれます。アカウントユーザーには特定の組織およびプロジェクトロールが付与され、コントロールプレーンのリソースとやり取りする際はAPIキーを介して認証されます。

  • データプレーン: このプレーンには、クラスター、データベース、およびコレクションが含まれ、データアクセス管理に焦点を当てています。クラスターユーザーには適切なクラスターロールが付与され、データプレーンリソースとやり取りする際はAPIキーまたはユーザー名パスワードペアを使用して認証されます。

通常、各アカウントユーザーはクラスターユーザーに対応します。ただし、すべてのユーザーが両方のプレーンへのアクセスを必要とするわけではありません。場合によっては、請求管理者のようなコントロールプレーンアカウントユーザーが、請求管理目的だけでコントロールプレーンへのアクセスを必要とし、データプレーンへのアクセスを必要としないことがあります。逆に、一時的なクラスターユーザーを作成し、カスタマイズされたAPIキーを通じてデータプレーンリソースへのアクセスを許可することは、登録されたアカウントなしにデータアクセスを可能にすることができます。カスタマイズされたAPIキーの管理の詳細については、APIキーを参照してください。

ロールと権限

アカウントユーザーには組織ロールおよびプロジェクトロールが付与され、クラスターユーザーにはクラスター、データベース、およびコレクションへのアクセスを制御するクラスターロールが付与されます。以下の図は、Zilliz Cloudのロール階層を示しています。

TnkCwHx6jhk7UmbvYT7cVGlIn7b

  • 組織レベルで

    • 組織オーナーロールには、すべてのプロジェクトおよびクラスターにわたる包括的な権限が含まれます。

    すべての組織ロールの詳細については、組織ロールを参照してください。

  • プロジェクトレベルで

    • プロジェクト管理者ロールには、特定のプロジェクトのすべての権限およびすべてのクラスターにわたる権限が含まれます。

    • プロジェクト読み書きロールには、プロジェクトを表示し、そのリソースを管理する権限があります。

    • プロジェクト読み取り専用ロールには、プロジェクトを表示し、そのリソースを表示する権限があります。

    プロジェクトロールの詳細については、プロジェクトロールを参照してください。

  • クラスターレベルで

    • クラスターアドミンロールには、特定のクラスターのすべての権限が含まれます。

    • クラスター読み書きロールには、クラスターを表示し、そのすべてのリソースを管理する権限があります。

    • クラスター読み取り専用ロールには、クラスターを表示し、そのリソースを表示する権限があります。

    • さらに、カスタムロールは、データベースおよびコレクションなどのクラスターリソースへの権限を正確に管理するために、このレベルで作成できます。

    クラスターロールの詳細については、クラスターロールの管理(コンソール)を参照してください。

Zilliz CloudでRBACを実装

以下の図は、Zilliz CloudでRBACを実装するための完全なワークフローを示しています。

B8sbwgywghYn1tbMTOwcjg65nne

  1. ユーザーを作成: Zilliz Cloudのデフォルトユーザーdb_adminに加えて、新しいユーザーを作成し、ウェブコンソールまたはSDKを介してパスワードを設定してデータセキュリティを保護できます。

  2. ロールを作成: ウェブコンソールまたはSDKを使用して、カスタマイズされたロールを作成できます。ロールの特定の機能は、その権限によって決定されます。

  3. (オプション)権限グループを作成し、権限グループに権限を追加: 複数の権限を1つの権限グループに組み合わせて、ロールに権限を付与するプロセスを合理化します。Zilliz Cloudが提供する組み込み権限グループに加えて、SDKを使用して独自のカスタム権限グループを作成することもできます。

  4. ロールに権限または権限グループを付与: 権限または権限グループをこのロールに付与することで、ロールの機能を定義します。現在、ウェブコンソールでは組み込み権限グループのみをロールに付与できます。特定の権限またはカスタム権限グループをロールに付与するには、サポートチケットを作成してからSDKを使用してください。

  5. ユーザーにロールを付与: 特定の権限を持つロールをユーザーに付与して、ユーザーがロールの権限を持つようにします。1つのロールは複数のユーザーに付与できます。この手順は、ウェブコンソールまたはSDKを使用して完了できます。