ロール及びリソースロール

ユーザーには、Altus内のリソースへのアクセスとタスクの実行の許可が必要です。Altusの管理者は、ユーザーにタスクの実行権限を与えるためにロールを割り当てることができます。

ポリシーは、ロールに関連づけられた権限を定義します。ポリシーは、リソースへの権限を与えるポリシーの指定で構成されます。ロールを割り当てられたユーザーが実行できる操作は、そのロールに割り当てられたポリシーによって決まります。割り当てられたロールで許可されていない操作を行おうとしたユーザーには、permission deniedというエラーメッセージが返されます。

特定のリソースに関連づけられたロールは、リソースロールと呼ばれます。この種のリソースは、Altus Environmentを通じてのみ割り当てることができます。Altusには、以下の種類のロールがあります。

ロール
ロールは、特定のEnvironmentに関連づけられていないタスクをAltusで実行する権限を与えます。Altusの管理者は、ユーザーに対して明示的にロールを割り当てます。

Altusには、すぐに利用できる事前定義済みのロールがあります。Altusの管理者は、ユーザーがタスクを実行できるように適切なロール、もしくはロールの組み合わせを割り当てることができます。Altusの管理者は、事前定義済みのAltusロールや、事前定義済みのロールに関連づけられているポリシーを変更することはできません。

Altusの事前定義済みロールは以下のとおりです。
  • IAMUser アクセスキーの作成、割り当てられたロールの表示、Altusアカウント内のすべてのユーザーのリスト表示などを許可します。また、割り当てられた任意のリソースへの権限を与えます。
  • DataEngUser クラスターの表示、Environmentのリストの表示、ユーザーが投入したジョブのリストの表示を許可します。
  • PowerUser すべてのリソースに対するすべてのタスクの実行を許可します。

ユーザーをAltus管理者に設定するにはPowerUserロールをユーザーに割り当ててください。

ユーザーをdata engineeringユーザーにするには、DataEngUserロール及びIAMUserロールをユーザーに割り当ててください。

リソースロール

リソースロールは、特定のリソースに対する権限を与えます。ユーザーにEnvironmentを割り当てると、そのEnvironmentに割り当てられているリソースロールもそのユーザーに割り当てられることになります。リソースロールは、そのEnvironment内でユーザーが行えるタスクを決定します。

リソースロールは、必ずAltus Environmentに関連づけられています。

リソースロールのポリシーは、Environmentを通じてのみ見ることができます。

Altusは、Altus Environment内で以下のリソースロールを提供しています。
  • DataEngEnvironmentUser Altus Environmentに関連づけられたクラスターの作成及び削除の権限を許可します。また、Altus Environmentに関連づけられたクラスター内のジョブの表示、投入、終了の権限も許可します。

AltusでPowerUserロールを持たないユーザーアカウントをセットアップする際には、最低でも1つのEnvironmentをユーザーに割り当てなければなりません。そうしなかった場合、そのユーザーはAltus内で限られた権限しか持たないことになり、クラスターの作成やジョブの投入は行えません。

ロールとEnvironmentの組み合わせによって、Altus内でユーザーがタスクを実行し、管理者のAWSアカウント内のリソースにアクセスするのに必要な認可が提供されます。