メインコンテンツまでスキップ
バージョン: User Guides (BYOC)

アクセス制御の説明

Zilliz Cloud は、Zilliz Cloud 内のリソースへのアクセスを細かく制御するために、ロールベースアクセス制御(RBAC)を実装しています。RBAC(ロール-Based Access Control)は、ユーザーに直接権限を付与するのではなく、ロールに権限を付与するセキュリティ対策です。これらのロールにはリソースに対する特定の権限が含まれており、ユーザーに付与されることで、ユーザーのアクセス制御を効率的に管理できます。

L1WGwjF2NhxLRXbcyl6cSroNnoc

Zilliz Cloud RBAC アーキテクチャ

WVIgwWtMYhhTBIbgAdAcegDRnle

Zilliz Cloud は、2 つのプレーン内でリソースを整理し、両方で RBAC を実装しています。

  • コントロールプレーン: このプレーンには、組織、プロジェクト、クラスター管理が含まれます。アカウントユーザー には特定の組織ロールとプロジェクトロールが付与され、コントロールプレーンのリソースと対話する際に API キー を使用して認証を行います。

  • データプレーン: このプレーンには、クラスター、データベース、コレクションが含まれ、データアクセス管理に焦点を当てています。クラスターユーザー には適切なクラスターロールが付与され、データプレーンのリソースと対話する際に API キー または ユーザー名とパスワードのペア を使用して認証を行います。

通常、各アカウントユーザーはクラスターユーザーに対応します。ただし、すべてのユーザーが両方のプレーンへのアクセスを必要とするわけではありません。場合によっては、請求管理者 のようなコントロールプレーンのアカウントユーザーは、請求管理の目的でコントロールプレーンのみにアクセスできればよく、データプレーンへのアクセスは不要です。逆に、一時的なクラスターユーザーを作成し、カスタマイズされた API キーを通じてデータプレーンのリソースへのアクセスを付与することで、登録済みアカウントがなくてもデータにアクセスできるようにできます。カスタマイズされた API キーの管理の詳細については、API キー を参照してください。

ロールと権限

アカウントユーザーには組織ロールとプロジェクトロールが付与され、クラスターユーザーにはクラスター、データベース、コレクションへのアクセスを制御するクラスターロールが付与されます。以下の図は、Zilliz Cloud におけるロールの階層を示しています。

TnkCwHx6jhk7UmbvYT7cVGlIn7b

  • 組織レベルで

    • 組織オーナーロールは、すべてのプロジェクトとクラスターにわたる包括的な権限を含みます。

    すべての組織ロールの詳細については、組織ロール を参照してください。

  • プロジェクトレベルで

    • プロジェクト管理者ロールには、特定のプロジェクトのすべての権限と、すべてのクラスターにわたる権限が含まれます。

    • プロジェクト読み書きロールには、プロジェクトを表示し、そのリソースを管理する権限があります。

    • プロジェクト読み取り専用ロールには、プロジェクトとそのリソースを表示する権限があります。

    プロジェクトロールの詳細については、プロジェクトロール を参照してください。

  • クラスターレベルで

    • クラスター管理者ロールには、特定のクラスターのすべての権限が含まれます。

    • クラスター読み書きロールには、クラスターを表示し、そのすべてのリソースを管理する権限があります。

    • クラスター読み取り専用ロールには、クラスターとそのリソースを表示する権限があります。

    • さらに、このレベルでは カスタムロール を作成でき、データベースやコレクションなどのクラスターリソースに対する 権限 を正確に管理できます。

    クラスターロールの詳細については、クラスターロールの管理(コンソール) を参照してください。

Zilliz Cloud での RBAC の実装

以下の図は、Zilliz Cloud で RBAC を実装するための完全なワークフローを示しています。

B8sbwgywghYn1tbMTOwcjg65nne

  1. ユーザーの作成: Zilliz Cloud のデフォルトユーザー db_admin に加えて、Web コンソール を使用するか、SDK を使用して新しいユーザーを作成し、データセキュリティを保護するためのパスワードを設定できます。

  2. ロールの作成: Web コンソール を使用するか、SDK を使用してカスタマイズされたロールを作成できます。ロールの具体的な機能は、その権限によって決定されます。

  3. (オプション)特権グループの作成と権限の追加: 複数の 権限 を 1 つの特権グループに結合して、ロールへの権限付与プロセスを簡素化できます。Zilliz Cloud が提供する組み込みの特権グループに加えて、SDK を使用して独自のカスタマイズされた特権グループを作成することもできます。

  4. 権限または特権グループをロールに付与: 権限または特権グループをロールに付与することで、ロールの機能を定義します。現在、Web コンソール では、組み込みの特権グループのみをロールに付与できます。特定の権限またはカスタマイズされた特権グループをロールに付与するには、サポートチケットを作成 し、代わりに SDK を使用してください。

  5. ユーザーにロールを付与: 特定の権限を持つロールをユーザーに付与することで、ユーザーはそのロールの権限を得られます。単一のロールを複数のユーザーに付与できます。このステップは、Web コンソール を使用するか、SDK を使用して完了できます。