
【 Alteryx One 】 クラウド環境でもセキュアに利用!プライベートデータストレージの設定方法
こんにちは。業務効率化ソリューション部のikumiです。
SaaSなどクラウド環境を利用するのにあたって、機密データの取り扱いについて気になるのではないでしょうか。AlteryxのクラウドプラットフォームであるAlteryx Oneでは、機密データをセキュアに保つための機能『プライベートデータストレージ』と『プライベートデータ処理』が用意されています。この2つの機能を有効化することで、機密データのすべてがお客様のインフラストラクチャにのみ保存されます。
本記事では、『プライベートデータストレージ』の機能の設定方法について紹介していきます。
Alteryx One におけるプライベートデータの取り扱い
Alteryxでは、プラットフォーム上で取り扱うデータを以下の2種類に区分します。
- 顧客データ
- データソースから取得されたあらゆるデータとそこから派生するデータ
- アプリケーションメタデータ
- ユーザー、ロールと権限、ワークフロー名など上記以外のすべてのデータ
そして、これらのデータを2種類のプレーンに分割して取り扱います。
- コントロールプレーン
- アプリケーションメタデータを保存
- データプレーン
- 永続ストレージ
- アップロード/主力ファイル、 データサンプル、一時ファイル・キャッシュなどを保存
- リレーショナルストレージ
- Auto Insights分析結果、Copilot会話履歴などを保存
- データ処理
- データソースへの接続、リアルタイムでのデータ変換・分析など、多くのジョブを実行します
- 永続ストレージ
プライベートデータストレージとは?
プライベートファイルストレージを使用すると、AlteryxのファイルストアであるADS(Alteryx Data Store)を独自のファイルストアに置き換えることができます。設定が完了すると、顧客データの 永続ファイルストレージ で管理されるデータはすべて独自のストレージに保存されます。
なおこの設定を行うと、ADS 保存されているすべてのファイルにアクセスできなくなりますので、ユーザーがデータセットの作成を開始する前に、プライベートデータストレージを設定する必要がある ので注意が必要です。
また、プライベートファイルストレージは、AWS S3、Azure ADLS、Google Cloud Storage (GCS) をサポートしていますが、選択するサービスによっては制約事項もあるのでこちらも注意が必要です。
プライベートデータ処理とは?
前提として、プライベートデータ処理の機能を有効化するには、エンタープライズエディションを契約していること、プライベートデータストレージの設定が行われていること が必要になります。
プライベートデータ処理を使用すると、Alteryxのデータ処理を専用のVPC内でき、リレーショナルストレージとデータ処理 に適用されます。設定が完了すると、データプレーン上でのアクティビティはすべて専用のVPC内で実行されるため、強固なセキュリティ環境を構築することができます。
プライベートデータストレージの設定をしてみた
今回は、プライベートデータストレージとしてAWS S3を使用しましたので、その手順について記載いたします。
前提として、作業者する人はAlteryx OneのWorkspace管理者のロールが割り当てられており、AWSコンソールでの作業ができる方が作業を行うようにしてください。
- AWS:まず、専用のAWS S3バケットの作成は既に作成済のものとします
- Alteryx:Workspace Admin画面に遷移し、
ストレージ
タブを選択- 今回は、初期画面でAWS S3の設定画面となっていました。おそらく、ADLSやGCSの設定をする場合SSOの設定が必要になるので、この設定をしていなかったからではないかと推測しています
- Alteryx:初期画面では、認証方法の選択とバケット名を入力
- 今回は、それぞれ以下を選択
Authentication Method
:Cross Account RoleS3 Backet Name
:作成した任意のバケット名
- 今回は、それぞれ以下を選択
- Alteryx:続いて、この後作成するロールにアタッチするポリシーを作成するため、ストレージの設定画面に表示されているJSONコードをコピー
- AWS:IAMコンソールから新規のポリシーを作成し、JSONエディタに先ほどコピーしたコードを貼り付けして
次へ
- AWS:任意のポリシー名やタグを設定
- Alteryx:設定画面に表示されている
アカウントID
と外部ID
をメモしておく - AWS:IAMコンソールから新規のロールを作成
- AWS:
信頼されたエンティティ タイプ
セクションでAWS アカウント
を選択し、それぞれ張り付ける
- AWS:許可ポリシーで、先ほど作成したポリシーを選択し、ロール名を入力してロールを作成
- AWS:ロール一覧から作成したロールを選択し、ARNの値をコピー
- Alteryx:コピーしたARNの値を以下に入力し、
完了
を押下
- Alteryx:設定完了し、画面が以下のように変わったことを確認
以上で、プライベートデータストレージの設定は完了です。
Alteryxのデータタブを確認すると、設定したS3ストレージが反映されているのと、S3側でも連携されていることを確認できました!
▽Alteryx画面
▽S3画面
さいごに
いかがでしたでしょうか。クラウドを利用場合、社内データ利用規約が厳しい企業も多いかと思いますので、是非本ブログも参考にしていただき、利用検討いただけると幸いです。
次は、さらにセキュアにするためにプライベートデータ処理についてブログを書いていきます!