アドホックスキーマの属性ベースのアクセス制御のサポート
Adobe Experience Platformに取り込まれるデータは、エクスペリエンスデータモデル(XDM)スキーマによってカプセル化され、組織または法規制によって定義された使用制限の対象となる場合があります。
スキーマが指定されていない場合にクエリサービスを通じて CTAS クエリを実行すると、アドホックスキーマが自動的に生成されます。 機密性の高い個人データと個人を特定できる情報の両方へのアクセスを制御するために、アドホックスキーマの特定のフィールドやデータセットの使用を制限する必要が生じる場合が多くあります。 Adobe Experience Platformでは、属性ベースのアクセス制御機能を使用して、Platform UI を通じてスキーマフィールドにラベルを付けることができるので、このアクセス制御が容易になります。
ラベルはいつでも適用でき、データの管理方法を柔軟に選択できます。ただし、データが Platform に取得されるとすぐに、またはデータが Platform で使用できるようになるとすぐに、データにラベルを付けることがベストプラクティスです。
スキーマベースのラベル付けは、ユーザーまたはユーザーのグループに付与するアクセスをうまく管理するために、属性ベースのアクセス制御の重要なコンポーネントです。 Adobe Experience Platformでは、ラベルを作成して適用することで、アドホックスキーマの任意のフィールドへのアクセスを制限できます。
このドキュメントでは、クエリサービスを通じて生成されたアドホックスキーマのデータフィールドにラベルを適用することで、機密データへのアクセスを管理するチュートリアルを提供します。
はじめに
このガイドでは、Adobe Experience Platform の次のコンポーネントに関する作業を理解している必要があります。
- エクスペリエンスデータモデルl(XDM)システム:Experience Platform が顧客体験データを整理するための標準化されたフレームワークです。
- Schema Editor:Platform UI でスキーマやその他のリソースを作成および管理する方法について説明します。
- Data Governance:Data Governance を使用して、顧客データを管理し、データの使用に適用される規制、制限、ポリシーへのコンプライアンスを確保する方法について説明します。
- 属性ベースのアクセス制御:属性ベースのアクセス制御は、管理者が属性に基づいて特定のオブジェクトや機能へのアクセスを制御できるようにするAdobe Experience Platformの機能です。 属性は、アドホックまたは通常のスキーマフィールドに追加されるラベルなど、オブジェクトに追加されるメタデータであることがあります。 管理者は、ユーザーアクセス権限を管理する属性を含めた、アクセスポリシーを定義します。
アドホックスキーマの作成
クエリが実行され、結果が生成されると、アドホックスキーマが自動的に生成され、スキーマインベントリに追加されます。
データラベルを追加するには、Platform UI の左側のレールで スキーマ を選択して、 スキーマ ダッシュボードの「参照」タブに移動します。 スキーマインベントリが表示されます。
Platform UI のスキーマインベントリでアドホックスキーマを検出します discover-ad-hoc-schemas
Platform UI でアドホックスキーマの表示を有効にするには、フィルターアイコン(
使用可能なリストから、最近作成したアドホックスキーマの名前を選択します。 アドホックスキーマ構造のビジュアライゼーションが表示されます。
ガバナンスラベルの編集
アドホックスキーマのデータラベルを編集するには、「 ラベル 」タブを選択します。 ラベル ワークスペースでは、アドホックスキーマフィールドにラベルを適用、作成および編集し、UI を使用してアクセス権限を制御できます。 アドホックスキーマ内のすべてのフィールドはここに表されます。
スキーマまたはフィールドのラベルの編集
スキーマ全体のラベルを編集するには、鉛筆アイコン(
既存のフィールドにラベルを適用するには、リストから 1 つ以上のフィールドを選択し、右側のサイドバーで ガバナンスラベルを編集 を選択します。
ラベルを編集ポップオーバー
ラベルを編集 ポップオーバーが表示されます。 この表示では、UI を使用して既存のガバナンスラベルを作成または編集できます。
選択したスキーマまたはフィールドのラベルを作成または編集する方法に関するガイダンスのドキュメントを参照してください。
ラベルは、権限ワークスペースを使用して作成することもできます。 手順については、 権限ワークスペースでのラベルの作成に関するガイドを参照してください。
適切なレベルの属性ベースのアクセス制御が適用されると、ユーザーがアクセスできないデータにアクセスしようとすると、クエリサービスを介して実行されるすべてのクエリに次のシステム動作が適用されます。
-
スキーマ内のいずれかのフィールドへのアクセスが拒否された場合、そのユーザーは、制限されたフィールドに対する読み取りや書き込みができなくなります。 これは、次の一般的なシナリオに適用されます。
- 制限された列のみを含むクエリをユーザーが実行しようとすると、列が存在しないというエラーがスローされます。
- ユーザーが制限された列を含む複数の列を含むクエリを実行しようとすると、システムは制限されていないすべての列に対してのみ出力を返します。
-
ユーザーが計算フィールドへのアクセスを要求した場合、ユーザーは構成で使用されるすべてのフィールドにアクセスできる必要があり、アクセスできない場合、システムは計算フィールドへのアクセスを拒否します。
アドホックスキーマで ID またはプライマリ ID が設定されている場合、システムは関連するデータハイジーンリクエストに自動的に従い、ID 列に関連付けられているこれらのデータセット内のデータを消去します。
次の手順
このドキュメントでは、クエリサービス CTAS クエリを使用して作成されたアドホックスキーマにデータ使用ラベルを追加する方法について、より深く理解しました。 まだ行っていない場合は、次のドキュメントがクエリサービスのデータガバナンスの理解を深めるのに役立ちます。