LoginSignup
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 1 year has passed since last update.

@IQ_Bocchi(さの ちひろ)

Cloudera Data Platform - Public Cloud ロールの確認

Last updated at Posted at 2023-11-14

この記事について

Cloudera Data Platform 上の権限まわりで、確認することの多いポイントをメモします。

やりたいことができなかったり、AさんとBさんで見えている画面が違うという場合は、以下のどれかの権限が足りなかったり、異なっていたりするはずです。

思いつく限りのポイントを記載していきますが、網羅できていないかもしれないので、適宜追記していきます。

確認ポイント

A.ユーザー自体の権限

まず、Cloudera Data Platform 全体に対してユーザーが持っている権限を確認します。

ユーザー自体の権限は、B-1の環境に紐づくロールに寄せられたことにより deprecate(廃止) になっているものも多くあります。

ただし、 Power Role や Data Stuard の権限は引き続きユーザー自体の権限として残っています。

A-1. ユーザー権限

確認方法:

Management Console > User Management から、該当のユーザーの右側の三点マークをクリックし、Update Roles をクリックします。
image.png

意図した権限が付与されていない場合は、付与してUpdateします。
image.png

A-2. Workload Password の設定状況

Workload Password は、該当のユーザーがAPIを通じてデータレイクにアクセスする際の認証に必要となります。
このパスワードが設定されていないと、データレイクへのAPIを通じたアクセスができなくなり、エラーが起きる場合があります。

確認方法:

Management Console > User Management から、該当のユーザーのユーザー名をクリックします。

image.png

以下のメッセージが表示されていたら、Workload Password が設定されていません。

image.png

Workload Password が設定されていない場合は、必要に応じてパスワードを設定します。設定方法は以下のページで説明しています。

B. 環境に紐づく権限

上記Aでは、環境にかかわらず共通のユーザー権限を確認しました。
ここからは、特定の環境に紐づくユーザーロールを確認していきます。

B-1. 環境に紐づくユーザーロール

確認方法:

Management Console > Environment から、該当の環境名をクリックします。

image.png

Actions -> Manage Access をクリックします。

image.png

Access タブに、当該環境にアクセス権を持つグループ/ユーザーの一覧が表示されています。

image.png

想定されたグループ・ユーザーが、想定されたアクセス権を持っていることを確認します。

持っていない場合は、以下の手順を参考にアクセス権限を付与します。

B-2. ID Broker Mappings

ID Broker Mappings は、クラウドプロバイダ(AWS, Azure, GCP)のアクセスロールと Cloudera Data Platform のユーザーに互換性を持たせるための設定です。

この設定が漏れていると、クラウドプロバイダ側の資源へのアクセス(AWSのS3など)が参照できなかったり、アクセスエラーが発生する場合があります。

確認方法:

Management Console > Environment から、該当の環境名をクリックします。

image.png

Actions -> Manage Access をクリックします。

image.png

ID Broker Mappings タブを選択すると、ID Broker Mapping が設定されたユーザー・グループの一覧が表示されます。

image.png

上記の一覧で、意図したユーザーに ID Broker Mapping が設定されていることを確認します。

設定されていない場合は、以下の手順を参考に設定します。

C. グループの設定

権限をグループレベルで管理している場合は、グループの設定を確認します。

C-1. グループの権限設定

上記 A,B の権限が、ユーザーの属するグループに付与されているかを確認します。

C-2. グループへのユーザーの所属状況の確認

ユーザーが意図したグループのメンバーになっているかを確認します。

確認方法:

Management Console > User Management > Groups タブから、該当のグループ名をクリックします。

image.png

Members タブの一覧で、グループ内に意図したユーザーが漏れなく含まれていることを確認します。

image.png

含まれていない場合は、「Add a member」の入力欄から当該ユーザーを検索し、追加します。

image.png

D. Ranger の権限

CDP上の機能にはアクセスできるが、特定のDBやテーブルへのアクセスが拒否されるという場合は、Rangerの権限を確認します。

※ Ranger自体が Big Topic なので、確認方法についてはこちらとは切り出して別途記事を書きます。完了次第、こちらにリンクを掲載します。

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?