Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Data Access Control で実現するより細かい権限制御
Search
Hayato Kawai
October 29, 2025
0
38
Data Access Control で実現するより細かい権限制御
Japan Datadog User Group Meetup#13@東京 で話した資料です。
https://datadog-jp.connpass.com/event/368663/
Hayato Kawai
October 29, 2025
Tweet
Share
More Decks by Hayato Kawai
See All by Hayato Kawai
Datadog が支える Wantedly のシステム運用
fohte
0
45
Devin や Cursor などの生成 AI ツール導入に向けて何を取り組んだのか
fohte
2
260
Datadog Network Monitoring を活用して NAT Gateway 課金を 80 % 削減した話
fohte
2
680
Trace Metrics と Istio Metrics でサービス健全性を監視する
fohte
0
480
段階的リリースを実現する kube canary
fohte
1
200
巨大 tfstate に立ち向かう技術
fohte
1
950
RubyKaigi で LT 初登壇したきっかけと感想
fohte
1
1.3k
Datadog Logs を活用して SLO 監視基盤を構築する
fohte
3
2.6k
The Journey of rubocop-daemon into RuboCop
fohte
1
1.4k
Featured
See All Featured
Being A Developer After 40
akosma
91
590k
Building Better People: How to give real-time feedback that sticks.
wjessup
369
20k
A better future with KSS
kneath
239
18k
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
addyosmani
9
930
Balancing Empowerment & Direction
lara
5
700
[RailsConf 2023] Rails as a piece of cake
palkan
57
5.9k
Context Engineering - Making Every Token Count
addyosmani
8
300
Learning to Love Humans: Emotional Interface Design
aarron
274
41k
The Language of Interfaces
destraynor
162
25k
The World Runs on Bad Software
bkeepers
PRO
72
11k
Performance Is Good for Brains [We Love Speed 2024]
tammyeverts
12
1.2k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
35
3.2k
Transcript
© 2025 Wantedly, Inc. Data Access Control で実現する より細かい権限制御 Japan
Datadog User Group Meetup #13@東京 2025-10-29 - Hayato Kawai (@fohte)
© 2025 Wantedly, Inc. ⾃⼰紹介 名前 Fohte (ふぉーて) 川井 颯人
(Hayato Kawai) 所属 • ウォンテッドリー株式会社 Infra Squad • JDDUG
© 2025 Wantedly, Inc. Datadog の 権限制御 どうしてますか?
© 2025 Wantedly, Inc. これまでの Datadog の権限 (ユーザー‧ロール) ユーザー ロール
readonly write admin
© 2025 Wantedly, Inc. これまでの Datadog の権限 (ユーザー‧ロール) readonly write
admin ユーザーごとにこれらのロールを持 たせられる これによってユーザーごとに 異なる権限を設定する (あるユーザーは admin, あるユーザーは readonly, ...)
© 2025 Wantedly, Inc. ロールごとに権限を決められる ✅ read ❌ write readonly
APM Logs ✅ read ❌ write
© 2025 Wantedly, Inc. ロールごとに権限を決められる ✅ read ✅ write APM
Logs ✅ read ✅ write write
© 2025 Wantedly, Inc. 機能ごとにも権限を変えられる ✅ read ❌ write APM
readonly APM Logs ❌ read ❌ write
© 2025 Wantedly, Inc. ウォンテッドリーでの権限設計 • Datadog は社員なら誰でも閲覧できるようにしている (SAML で動的にアカウントを作成)
◦ 閲覧しても困らない情報を入れる前提 • インフラチームは管理者権限を付与 他の社員は write まで可能
© 2025 Wantedly, Inc. これだけだと難しいこともある これで十分では? → そうでない要件が発生した たとえば「あるプロダクトの情報は、そのプロダクトチームだけが 閲覧できるようにしたい」という要件は達成できない
© 2025 Wantedly, Inc. やりたいこと ✅ read/write Hire 開発 チーム
APM (service:visit) ❌ read/write APM (service:hire) 社員 ✅ read/write ✅ read/write
© 2025 Wantedly, Inc. 誰でもアクセス可能なサービスもあれば ✅ read/write Hire 開発 チーム
APM (service:visit) 社員 ✅ read/write
© 2025 Wantedly, Inc. プロダクトチームにしか閲覧させたくないものもある Hire 開発 チーム ❌ read/write
APM (service:hire) 社員 ✅ read/write
© 2025 Wantedly, Inc. やりたいこと ✅ read/write Hire 開発 チーム
APM (service:visit) ❌ read/write APM (service:hire) 社員 ✅ read/write ✅ read/write ロールだけでは できない
© 2025 Wantedly, Inc. ロールだけでは細かい権限制御ができない 「特定のデータ」など タグで制御したいが、 ロールでは "APM Read"の
ような機能ごと ・read/write でしか 制御できない
© 2025 Wantedly, Inc. そこで救世主 Data Access Control が登場 (まだ
preview)
© 2025 Wantedly, Inc. Data Access Control でできること データセット に対して
権限を付与するロール or チー ム (今回は割愛 ) を設定できる データセットはクエリに マッチするもので設定する (例: 特定のタグを持つ trace ) 選べるサービス
© 2025 Wantedly, Inc. いままではチーム以外からのアクセスをブロックしたくてもできなかった Hire 開発 チーム ✅ read/write
APM (service:hire) 社員 ✅ read/write 従来の方法では アクセスできてしまう
© 2025 Wantedly, Inc. Data Access Control Data Access Control
でブロックできるようになる Hire 開発 チーム ❌ read/write APM (service:hire) 社員 ✅ read/write 防げるようになる 🎉
© 2025 Wantedly, Inc. 実際にどうブロックされるのか クエリしてもなにも 表示されなくなる 403 Forbidden より
404 Not Found っぽい挙動 RUM の例
© 2025 Wantedly, Inc. 最後に • ウォンテッドリーでの要件は実現できた 🎉 • 権限制御に困っている方・企業の皆さまは
ぜひ GA されたら利用してみてはいかがでしょうか
fohte
akosma
wjessup
kneath
addyosmani
lara
palkan
aarron
destraynor
bkeepers
tammyeverts
rmw
