Space ownerを凍結する場合のベストプラクティス
Space ownerはspace_administratorグループに所属していて、グループから外すことも、ユーザーとして削除することもできない認識です。
このようなDataiku Cloud全体にアクセス権限を持つ特権ユーザは運用上凍結扱いにして、環境を破壊しないような運用にしたいと考えております。
上記踏まえて2点教えてください。
・Space ownerを運用上利用しない(凍結する)場合はどのような支障が出ると想定されるでしょうか。Space ownerはspace_administratorsグループに所属するユーザーと同等の権限となる認識です。このグループをインシデント時などの緊急時のみシステム管理者ユーザーに割り当てるなどして、最小権限の運用として利用したいと考えていますが、Space ownerしかできない操作がある場合はこの想定が破綻していないか懸念しています。
(DataikuのポリシーとしてNamed userとして各ユーザーが実在する人物と紐づくことが必要な認識なので、代理ログインなども不可の認識です。)
・凍結するSpace ownerをシナリオの実行ユーザー(Run as user)、CodeEnv/CodeStudioTemplate/プロジェクトフォルダのOwnerに割り当てることは推奨されないでしょうか。
上記の前提でSpace ownerは普段ログインしない、退職・異動が長期間想定されない人物を割り当てる想定で、Owner/Run as userの変更が頻繁に起こる場合の運用負荷・変更時の障害リスクの低減ができないか検討しています。上記の想定が推奨されない場合、OwnerやRun as userのベストプラクティスとしてどのような役割のユーザーを割り当て、運用していくべきか教えていただきたいです。
Best Answers
-
Tsuyoshi Dataiker, PartnerAdmin, Dataiku DSS Core Designer, Dataiku DSS ML Practitioner, Dataiku DSS Adv Designer, Registered Posts: 449 Dataiker以下、回答させていただきます。
・Space ownerを運用上利用しない(凍結する)場合はどのような支障が出ると想定されるでしょうか。Space ownerはspace_administratorsグループに所属するユーザーと同等の権限となる認識です。このグループをインシデント時などの緊急時のみシステム管理者ユーザーに割り当てるなどして、最小権限の運用として利用したいと考えていますが、Space ownerしかできない操作がある場合はこの想定が破綻していないか懸念しています。
以下のドキュメントに記載の通り、「Space ownerはspace_administratorsグループに所属するユーザーと同等の権限、かつ削除不可(権限の委譲は可能)」というのはご認識の通りです。
Space ownerはタグ(フラグ)のような位置付けであり、行える操作はspace_administratorsと同等ですので、Space ownerに普段利用しないユーザーを割り当てたとしても、(必要な場合には他のユーザーに「space_administrators」グループを割り当てて処理を行うことが可能であれば)特に問題はないと考えられます。
考慮点として、普段利用しないユーザーであってもライセンス(ユーザープロファイル)の割り当ては必要です(その場合、管理用のユーザープロファイルである「Technical Account」をご利用いただくことは可能だと思います)。
また、Datiaku Cloudの場合、電子メールアドレスがログインIDになりますので、当該ユーザーの電子メールアドレスを用いて認証(SSO等)が可能である必要はあります。
・凍結するSpace ownerをシナリオの実行ユーザー(Run as user)、CodeEnv/CodeStudioTemplate/プロジェクトフォルダのOwnerに割り当てることは推奨されないでしょうか。
上記回答に記載の挙動をご理解いただいた上で、当該ユーザーをアイテムのOwnerに割り当てること自体は、特に問題ないものと考えられます。(もし、各アイテムに設定したOwnerをすべて別のユーザーに割り当てなければいけないような場合、各アイテムのAPIを呼び出すコードを作成して一括でOwnerを変更するなどの対応は必要となります。)
-
Tsuyoshi Dataiker, PartnerAdmin, Dataiku DSS Core Designer, Dataiku DSS ML Practitioner, Dataiku DSS Adv Designer, Registered Posts: 449 Dataiker
はい。以下リンクのドキュメントに記載のように、space_administrators グループは、デフォルトで提供されますが、独自に定義した他のグループに同様な権限を割り当てることは可能です。
このため、「Space administratorsでしかできないこと」は特に存在せず、「同様な権限を他のグループに割り当てた場合、そのグループに所属するユーザーが同様な処理を行うことは可能」ということになります。
Answers
-
ご回答ありがとうございます。
付随して確認となるなのですが、Space administratorsしかできない操作はございますでしょうか。
Space administoratorsを利用ユーザーには割り当てないケースを想定した場合に、環境管理をするシステム管理者のような操作ができなくならないかを懸念しております。
Groups & Permissionsの設定でグループに対してSpace administoratorsと同等の権限をカスタムで作成したグループにもつけられそうなので、Space administratorsでしかできないことはないと理解していますが、念のための確認となります。