セキュアかつスムーズなデータアクセス！Alteryxにおける認証情報管理の今をご紹介

セキュアかつスムーズなデータアクセス！ Alteryxにおける認証情報管理の今をご紹介 2023/7/20 アライアンス事業部安原朋紀 1

2 自己紹介氏名：安原朋紀（Yasuhara Tomoki）所属：クラスメソッド株式会社アライアンス事業部担当：Alteryx や Tableau に関する技術支援
DevelopersIO：https://dev.classmethod.jp/author/yasuhara-tomoki/

3 目次 1.データ分析の現状と接続・認証情報管理の課題 2.Alteryx における接続・認証情報の管理方法 3.DCM の概要とメリット 4.さいごに

5 データ分析の現状 • データソースの種類が多様化 ◦ データベース ◦ クラウドストレージ ◦ SaaS
アプリケーションなど

6 接続情報・認証情報の増加 • データソースの多様化に伴い、接続情報・認証情報も増加 ◦ 接続情報 ▪ データソースに接続するための詳細情報 • ホスト名、ポート番号、ドライバ名、エンドポイント
など ◦ 認証情報 ▪ ユーザーを識別し、そのユーザーがデータソースに対して権限を持っていることを証明するための情報 • ユーザー名、パスワード • アクセスキーなど ▪ １つのデータソースに複数の認証情報 • 読み取り専用アクセス • 読み書きアクセス • 特定のテーブルにのみ読み取りアクセスなど

7 接続情報・認証情報管理が煩雑化 • 管理者 ◦ 多数の接続情報・認証情報の管理 ◦ 情報の通知・共有 ◦ 認証情報の更新
→多くの情報を安全に管理しなければならない • ユーザー（Alteryx ユーザー） ◦ ワークフローごとに使用する接続・認証情報が異なる ◦ パワーユーザーほど多くの認証情報を使用する ▪ 読み取り専用アクセス ▪ 読み書きアクセス • ローカルデータを組み合わせた分析 • 一時テーブル・テーブルの作成 ◦ 迅速なデータ利活用には、データソースへのスムーズなアクセスが必要

9 Alteryx における接続・認証情報の管理方法 • ツール設定で管理 • データ接続の管理 • In-DB 接続の管理
• DCM（データ接続マネージャー）

10 Alteryx における接続・認証情報の管理方法 • ツール設定で管理 • データ接続の管理 • In-DB 接続の管理
• DCM（データ接続マネージャー）

11 ツール設定で管理 • 各ワークフローのツール設定に直接、接続・認証情報を記述する ◦ データ入力/出力ツール ◦ コネクタカテゴリのツールなど【データ入力ツール】
【Tableau 出力ツール】

12 ツール設定で管理 • 接続・認証情報の共有 ◦ ワークフローを共有することで、他の環境で実行可能 ◦ ODBC 接続の場合、他の環境でもドライバのインストール・共通の DSN
設定の構成が必要 ▪ DSN レス接続の場合、共通の DSN 設定の構成は不要 ※接続文字列を直接記述する

13 データ接続の管理

14 データ接続の管理 • 主に ODBC を使用する接続情報を管理する機能 ◦ 事前に作成した接続情報をデータ入出力ツールから指定可能

15 データ接続の管理 • 接続情報の共有 ◦ Alteryx Server 上で、他ユーザーへの接続情報の共有が可能 ▪ Designer
からログインすることで、接続情報の同期が可能 ◦ ODBC 接続の場合、他の環境でもドライバのインストール・共通の DSN 設定の構成が必要 ▪ DSN レス接続の場合、共通の DSN 設定の構成は不要 ※接続作成時に、接続文字列を直接記述する

16 In-DB 接続の管理

17 In-DB 接続の管理 • In-DB の接続情報は「In-DB接続の管理」機能で管理される ◦ 作成した接続情報をツールから指定する ◦ In-DB
での接続先情報は Alteryx 側で設定ファイルとして保持 ◦ 「データ接続の管理」で作成した接続を使用する場合、直接、接続文字列を記述する（GUIで選択することはできない） ◦ DSN レス接続時の対応は他の方法と同様 • 接続・認証情報の共有 ◦ 特定の接続情報をファイル（.indbc）として出力し、ワークフローと一緒に共有する ◦ ※ドライバのインストール、共通の DSN 設定だけではワークフローを他の環境に移してもそのまま実行できない参考：DevepoersIO「Alteryxにおけるデータ入出力の際とIn-DBを使った際とでのODBC接続の設定の違い」

18 Alteryx における接続・認証情報の管理方法：まとめ • ツール設定で管理 ◦ データベース・コネクタカテゴリなどが対象 ◦ ワークフローを共有することで接続の共有も可能 •
データ接続の管理 ◦ 主に ODBC によるデータベース製品への接続が対象 ◦ Alteryx Server 経由で共有可能 • In-DB 接続の管理 ◦ In-DB 接続専用 ◦ 接続情報はファイル（.indbc）として共有 ◦ 「データ接続の管理」で作成した接続を使用する際は、接続文字列を記述する（GUI では選択できない） • ※いずれにおいてもODBC 接続時に DSN を指定する場合、各環境で同様の DSN の構成が必要

19 従来の方法の課題 • 従来の方法でもそれぞれメリットはあるが ◦ 各コネクタツールの接続情報は、一元管理できない ▪ SaaS のアクセスキーなどの管理
◦ 「データ接続の管理」で作成した接続情報を簡単に In-DB 接続から呼び出せない ▪ 接続文字列の記述が必要 • いずれの方法であっても ◦ 同一データソースで認証情報が異なる場合、異なる接続を作成する必要がある ◦ ODBC接続に DSN レス接続を使用する場合、接続文字列の記述が必要 ◦ 認証情報は、アプリケーション上に保持される DCM（データ接続マネージャー）だとどうか？

20 目次 1.データ分析の現状と接続・認証情報管理の課題 2.Alteryx における接続・認証情報の管理方法 3.DCM の概要と使用するメリット 4.さいごに

21 DCM の概要 • 接続・認証情報を一元管理するためのストレージ ◦ Version 2021.4 より利用可能 •
「データソース」と「資格情報」を定義し、その組み合わせを「接続（Connection）」として、データソースへの接続に使用する

22 DCM の概要：Version 2023.1 でのアップデート • DCM の使用が既定のオプションに【ユーザー設定】【データ入力ツール：設定】

23 DCM の概要：データ入力ツールからの接続例 • local の PostgreSQL に ODBC 接続

24 DCM の概要：データ入力ツールからの接続例 • 対象のテクノロジー（PostgreSQL）に関するデータソースがフィルタ表示される

25 DCM の概要：データ入力ツールからの接続例 • ワークフローの処理内容に応じて使用する認証情報を選択

26 DCM を使うメリット • DCM の特徴として、以下をご紹介 ◦ DCM がサポートするツール・コネクタ ◦
DSN レス接続の接続情報管理 ◦ 外部保管庫によるシークレットの管理 ◦ Alteryx Server との連携

27 DCM がサポートするツール・コネクタ

28 データベース製品以外の接続・認証情報管理 • DCM では、主要なデータベース製品の他に、ツールやコネクタが対応していれば、接続・認証情報の管理が可能 ◦ Amazon S3 ダウンロード/アップロード
◦ Tableau 出力ツールなど参考：DCM Supported Connectors and Tools

29 In-DB ツールも対応 • In-DB ツールも DCM に対応 ◦ 通常のデータ入力ツールと同様に、In-DB
接続の管理から GUI で呼び出し可能 ◦ ※接続先情報が設定ファイルとして保持される点は変わらない

30 DSN レス接続の接続情報管理

31 DSN レス接続の接続情報管理 • DCM でも ODBC 経由の接続を作成する際に、DSN レス接続によるデータソースの定義が可能
◦ DSN レス接続：ODBC データソースでの DSN の作成が不要 →接続の共有が容易

32 DSN レス接続の接続情報管理 • データソース作成時に、接続文字列の記述が不要 • 主要なデータベース製品は DSN レス接続に対応参考：DevelopersIO「DSN
レス接続のパターンと特徴 #Alteryx」【DCM】【ツール設定に記述・データ接続の管理・In- DB接続の管理】 GUI で各項目を入力するのみ odbc:DRIVER={MySQL ODBC 8.0 Unicode Driver}; server=XXXX; database=sampledb; USER=User; PASSWORD=XXXXXXXX; 接続文字列の記述が必要

33 外部保管庫によるシークレットの管理

34 外部保管庫によるシークレットの管理 • 外部保管庫 ◦ Version 2022.3 以降 ◦ 外部の保管庫からシークレットを取得し、ワークフローで使用
→ 認証情報・アクセスキーなどのシークレットがアプリケーションに存在しないため、より安全に！ • サポートされている保管庫 ◦ Hashichorp Vault ◦ CyberArk Conjur ◦ AWS Secrets Manager ※Version 2023.1 以降参考：DCM 外部保管庫

• AWS Secrets Manager ◦ 管理者：外部保管庫にシークレットを保管 ◦ ユーザー：DCM で以下を設定 ①：外部保管庫にアクセスするための接続（IAM
アクセスキー） ②：外部保管庫の認証情報を使用する接続参考：公式Doc「AWS Secrets Manager Configuration」、DevelopersIO「[Ver 2023.1 新機能] DCM の外部保管庫として AWS Secrets Manager が利用可能になりました」 35 外部保管庫：イメージ管理者 ① ② ユーザー • シークレットの管理をAWSに任せられる ◦ 暗号化 ◦ ローテーション • Alteryx は、外部保管庫への接続・認証情報を保持

36 外部保管庫：例（データソースとして S3を使用）【IAM アクセスキー認証】【Assume Role】・S3 にアクセスする権限を持つユーザーの IAMア
クセスキーを Secrets Manager から取得・Assume Role に必要なアカウントID、Role名を Secrets Manager から取得 • 対応するツールで必要な認証情報を取得可能

37 Alteryx Server との連携

38 Alteryx Server との連携：DCM の同期 • DCM は Alteryx Server
のユーザーと同期が可能 ◦ DCM を同期したユーザーは、Alteryx Server 上で、DCM を含むワークフローの実行が可能 Server：https://XXXX/gallery User：ServerUser1 ServerUser1は、DCM を含むワークフローを実行できる

39 Alteryx Server との連携：接続（Connection）の共有 • 接続の共有 ◦ Alteryx Server
上のあるユーザーが、他ユーザーの DCM で定義された接続（Connection）を含むワークフローを実行可能とする参考：Maveryx Community「How to: Set up DCM for Designer and Server」、DevelopersIO「Alteryx の DCM の概要」 Server：https://XXXX/gallery User：ServerUser1 ・ServerUser2 に DCM を含むワークフローを共有・ServerUser2 に対象の「接続」を共有 ↓ ServerUser2は、このワークフローを実行できる ※ワークフローを共有しただけでは、ServerUser1 の接続情報を利用できないため、実行不可

40 Alteryx Server との連携：DCM の複数ユーザー間での共有 • DCM の共有 ◦ ※前提
▪ DCM はユーザー個人の接続・認証情報の管理場所 ◦ 同じ DCM を複数の Designer 端末と同期することも可能 ▪ Server ユーザー１に対して、複数の Designer 端末 ▪ 各端末で DCM を変更すると、再同期時に上書きされるので、扱いには注意が必要 • Designer では DCM を編集しないなど • DCM はバックアップの取得も可能

41 DCM の特徴まとめ • DCM の特徴 ◦ データベース以外の接続・認証情報を管理可能 ◦ ODBC接続時の
DSN レス接続の設定も可能かつ容易 ◦ 外部保管庫による認証情報の管理 ◦ Alteryx Server との連携（DCM の同期・接続の共有） →ユーザー単位での利用であれば、従来の管理方法に加え上記の機能も備えるため、よりスムーズかつ安全なアクセスが可能 • Alteryx Server を利用できる環境であれば、Designer の複数端末との DCM 同期も可能 →DSN レス接続を使用すれば、接続の共有はより容易に

43 さいごに • Alteryx における接続・認証情報管理の方法は複数ある ◦ ツール設定で管理 ◦ データ接続の管理 ◦
In-DB接続の管理 ◦ DCM • 各管理機能を有効に使えればユーザーが、安全にストレスなくデータソースに接続できます • 各組織に合った方法を選択し、ユーザーによるデータ利活用の促進を！

セキュアかつスムーズなデータアクセス！Alteryxにおける認証情報管理の今をご紹介

セキュアかつスムーズなデータアクセス！Alteryxにおける認証情報管理の今をご紹介

More Decks by TomokiYasuhara

Other Decks in Technology

Featured

Transcript