桃太郎で始めるRego入門‐今日から使えるRegoの基本編

© SmartHR, Inc. 桃太郎で始めるRego⼊⾨今⽇から使えるRegoの基本編⽵内健太 / X @bmf_san
SmartHR プロダクト基盤開発本部権限基盤ユニットアーキテクチャチーム 2025/12/19 第14回 SmartHR LT大会

1スライド10秒くらいで話します🙏 時間ｶﾞｶﾞｶﾞ 2

Regoとは • ポリシー（≒認可ロジック）を記述するための宣⾔型⾔語 • Open Policy Agentというポリシーエンジンで採⽤ 3

基本要素 • Input ：評価対象となる⼊⼒データ • Rule ：評価基準。ルール名は⾃由。 4

基本構⽂ # Input {"user": "admin"} # Policy allow if {
input.user == "admin" } 5 # Output {"allow": true}

桃太郎のストーリーで Regoの基本を紹介します！! 6

おばあさんの脳内 { "peach": { "size": "large", "from": "upstream", "content": "boy"
} } allow if { input.peach.size == "large" input.peach.from == "upstream" input.peach.content == "boy" } allow if { input.peach.has_special_mark == true } allow if { input.peach.size == "large" not input.peach.is_rotten } allow if { not input.peach.is_poisonous } {"allow": true} 10

おばあさんの脳内 # ルール内はAND：全ての条件を満たす必要がある allow if { input.peach.size == "large" #
大きい桃か？ input.peach.from == "upstream" # 川上から来たか？ input.peach.content == "boy" # 中身は男の子か？ } 11

おばあさんの脳内 # ルールとルールはOR：どれかのルールが成立すればOK allow if { input.peach.has_special_mark == true #
特別な印がある } 12

おばあさんの脳内 # NOT: 否定を使った条件 allow if { input.peach.size == "large"
not input.peach.is_rotten # 腐っていないことを確認 } 13

おばあさんの脳内 # undefinedのNOT: 属性が未定義ならtrueになる allow if { not input.peach.is_poisonous #
is_poisonousが未定義ならtrue } 14

おばあさんの脳内 allow if { input.peach.size == "large" input.peach.from == "upstream"
input.peach.content == "boy" } allow if { input.peach.has_special_mark == true } allow if { input.peach.size == "large" not input.peach.is_rotten } allow if { not input.peach.is_poisonous } 15 • (⼤きいかつ川上から来たかつ中⾝が男の⼦) • または (特別な印がある) • または (⼤きいかつ腐っていない) • または (毒がない)

おばあさんの脳内 allow if { input.peach.size == "large" input.peach.from == "upstream"
input.peach.content == "boy" } allow if { input.peach.has_special_mark == true } allow if { input.peach.size == "large" not input.peach.is_rotten } allow if { not input.peach.is_poisonous } 16 • (⼤きいかつ川上から来たかつ中⾝が男の⼦) または (特別な印がある) または (⼤きいかつ腐っていない) または (毒がない) 毒がなければTrue！

桃太郎の脳内 { "name": "dog", "traits": ["obedient", "serious", "good_natured"] } default
allow := false good_traits := [trait | trait := input.traits[_] trait in {"obedient", "serious", "good_natured"} ] allow if { count(good_traits) == 3 } 19 {"allow": true}

桃太郎の脳内 # デフォルトは拒否 default allow := false 20

桃太郎の脳内 # 配列内包表記：求める特性だけを抽出 good_traits := [trait | trait := input.traits[_]
trait in {"obedient", "serious", "good_natured"} ] 21

桃太郎の脳内 22 # 3つ全ての特性を持っているか判定 allow if { count(good_traits) == 3
}

桃太郎の脳内 23 • 従順で • 真⾯⽬で • いいやつ • だったら採⽤！
default allow := false good_traits := [trait | trait := input.traits[_] trait in {"obedient", "serious", "good_natured"} ] allow if { count(good_traits) == 3 }

桃太郎の脳内 { "user": {"origin": "peach"}, "targets": [{"type": "oni"}], "companions": ["dog"],
"fed_companions": [] } has_oni_target if { some target in input.targets target.type == "oni" } all_companions_fed if { count(input.companions) > 0 every companion in input.companions { companion in input.fed_companions } } allow if { input.user.origin == "peach" has_oni_target all_companions_fed } 26 {"allow": false}

桃太郎の脳内 # some量化子：ターゲットの中に少なくとも1体は鬼がいるか確認 has_oni_target if { some target in
input.targets target.type == "oni" } 27

桃太郎の脳内 # every量化子：全ての仲間がきびだんごを食べたか確認 all_companions_fed if { count(input.companions) > 0 every
companion in input.companions { companion in input.fed_companions } } 28

"fed_companions": [] } 29 {"allow": false} ⾷べてない！

"fed_companions": ["dog"] } 31 {"allow": true} ⾷べさせる！

まとめ • ANDやOR、NOTなどの演算 • defaultキーワード • 配列内包 [x | x
:= list[_]; 条件] • someやeveryの量化 • データとロジックは分離 33

Rego Playground 34 • 桃太郎の脳内を追体験できる！ • https://play.openpolicyagent. org/

めでたしめでたし 35

桃太郎で始めるRego入門‐今日から使えるRegoの基本編

桃太郎で始めるRego入門‐今日から使えるRegoの基本編

More Decks by bmf_san

Other Decks in Programming

Featured

Transcript