Skip to content
For Self-Managed AI Platform users running v11.1, see the on-premise platform documentation
データ > データ接続 > セキュアな構成の共有

セキュアな構成の共有

IT管理者が、データ接続のOAuthベースの認証パラメーターを設定し、機微情報に関するフィールドを公開せずに、他のユーザーと安全に共有できます。 これにより、ユーザーは、データ接続パラメーターについてIT部門に連絡することなく、データウェアハウスに簡単に接続できます。

IT管理者

本機能の提供について

必要なユーザーロール:組織管理者

前提条件

続行する前に、セキュアな構成タイプに応じて以下のパラメーターがあることを確認してください。

  • クライアントID
  • クライアントのシークレット
  • (オプション)スコープ
  • 認可エンドポイントのURL
  • トークンURL

OAuthプロバイダーがMicrosoft Entra IDの場合、以下の例を参照してください。

  • 認証エンドポイントURL:https://login.microsoftonline.com/<TENANT_ID>/oauth2/v2.0/authorize
  • トークンのURL:https://login.microsoftonline.com/<TENANT_ID>/oauth2/v2.0/token

SnowflakeやOktaを含むその他のOAuthプロバイダーについては、以下の例を参照してください。

  • 認証エンドポイントURL:https://<domain>/oauth/authorize
  • トークンのURL:https://<domain>/oauth/token-request

詳細については、 Snowflakeへの接続に関するドキュメントを参照してください。

  • サービスアカウントキー(json文字列)
  • ユーザー名(Snowflake接続時のみ必要)
  • 秘密鍵

詳細については、 Snowflakeへの接続に関するドキュメントを参照してください。

  • AWSアクセスキーID
  • AWSシークレットアクセスキー

詳細については、 AWS S3への接続に関するドキュメントを参照してください(プレビュー版の機能です)。

  • クライアントID
  • クライアントのシークレット
  • クライアントID
  • クライアントのシークレット
  • テナントID
  • クライアントID
  • クライアントのシークレット
  • スコープ
  • トークン

設定を作成

セキュアな構成を作成するには、以下のとおりです。

  1. 右上にあるユーザーアイコンをクリックして、セキュアな構成を選択します。

  2. セキュアな構成を追加をクリックします。

  3. セキュアな構成タイプでスキーマを選択し、セキュアな構成の表示名一意 の名前を入力して、データ接続に必要なパラメーターを入力します。

  4. 保存をクリックします。

設定の共有

データ接続を設定するときに、共有されるまで、他のユーザーは、セキュアな構成にアクセスできません。

セキュアな構成を共有するには、以下のとおりです。

  1. セキュアな構成ページで、設定の横にある共有アイコンをクリックします。

  2. 共有モーダルに、(1)へのアクセス権を付与したいユーザー(複数可)、グループ(複数可)、または組織 (複数可)を入力します。 次に、適切なユーザーロール(2)を選択し、共有(3)をクリックします。

    選択したロールによって、受信者が表示できる設定情報が決まることに注意してください。 以下の表では、各オプションについて説明します。

    役割 説明
    エンドユーザー
    コンシューマー セキュアな構成を追加モーダルで示された)機微情報に関するフィールドを表示できません。
    管理者
    エディター 機微情報に関するフィールドを表示および更新できます。
    オーナー 既存の構成の削除など、セキュアな構成に対してすべての権限を持っています。

Secure config exposure message

When Enable Secure Config Exposure is active for your organization, the Share modal displays a message that secrets from the shared secure configuration can be exposed. This means users who create credentials from this shared configuration can use those credentials as runtime parameters in custom models, applications, and jobs, and the actual secret values are injected into those runtimes. For details, see Using credentials from shared secure configs in runtimes.

Secure config exposure

Premium

Secure configuration exposure is a premium feature. この機能を有効にする方法については、DataRobotの担当者または管理者にお問い合わせください。

Required feature flag: Enable Secure Config Exposure

Enable Secure Config Exposure is an organization-level setting that allows the exposure of secure configuration values when they are shared with users and referenced by credentials used in runtime parameters. When this feature is enabled, secure configuration values are injected directly into the runtime parameters of a custom model, application, or job executed in the cluster. When this feature is disabled, the credential is injected using only the configuration ID, without exposing the underlying secure configuration values.

Secret exposure in runtimes

Enable Secure Config Exposure causes secret values to be exposed in the container's runtime. When this feature is enabled for your organization, any credential created from a shared secure configuration and used as a runtime parameter in a custom model, application, or job exposes actual secret values (such as access keys and tokens) by injecting them into the runtime. Those secrets are then present in the container's runtime and can be accessed by custom code. Do not enable or use this capability unless you accept the risks inherent in exposing secrets in an uncontrolled container runtime. Use only when necessary and with appropriate governance.

When Enable Secure Config Exposure is active, the Share modal shows a warning that the secret might be exposed so admins are aware that shared configs can be used in this way. Organization administrators control whether Enable Secure Config Exposure is enabled.

セキュアな構成の管理

セキュアな構成を作成したら、以下の操作を実行できます。

既存の設定を更新するには、更新する設定の名前をクリックします。 設定名の下に表示されるフィールドを更新して、保存をクリックします。

既存の設定を削除するには、削除したい設定の横にあるアクションメニュー をクリックし、削除を選択します。

既存の設定から資格情報を作成するには、設定の横にあるアクションメニュー をクリックし、資格情報を作成を選択します。

その後、 新しい資格情報を定義し、データ接続を関連付けることができます。

共有セキュア設定へのアクセスを無効にするには、設定の横にある共有アイコンをクリックし、ユーザー、グループ、または組織の横にあるXをクリックします。

ユーザー

共有されたセキュアな構成を使用すれば、必須フィールドへの入力や、機微情報に関するフィールドの公開の可能性といった煩わしさを感じることなく、外部のデータベースやデータレイクにすばやく接続できます。

データ接続に関連付けられたセキュアな構成を削除するには、 保存されたデータ資格情報に関するドキュメントを参照してください。

前提条件

セキュアな構成でデータ接続を追加する前に、IT管理者が、データ接続を共有する必要があります。

セキュアな構成の関連付け

DataRobotには資格情報を作成する以下のオプションがあるため、どこでもセキュアな構成を適用できます。

共有されたセキュアな構成から資格情報を作成する場合、一意の名前で資格情報を保存し、それらの資格情報に関連付けるデータ接続を選択します。

アプリ内通知から共有されたセキュアな構成を使用して資格情報を作成するには:

  1. ページ上部の通知センターを開きます。

  2. セキュアな構成が共有されました通知で、資格情報を作成をクリックします。

  3. 資格情報を追加モーダルで、表示名の下に資格情報の一意の名前を入力します。

  4. 保存をクリックします。 資格情報管理ページが開き、新しい資格情報が強調表示されます。

  5. 関連付けられた接続を追加をクリックします。

  6. セキュアな構成に関連付けるデータ接続を選択し、接続するをクリックします。

  7. データベース資格情報でサインインします。

資格情報管理ページからセキュアな構成を追加する場合、最初に資格情報を追加してから、その資格情報に関連付けるデータ接続を選択します。

  1. 右上にあるユーザーアイコンをクリックして、資格情報管理を選択します。

  2. 新規追加をクリックします。

  3. 以下のように、使用可能なフィールドに入力します。

    • セキュアな構成に関連付けられた資格情報タイプを選択します。
    • 共有されたセキュアな構成をクリックします。
    • ドロップダウンから、セキュアな構成を選択します。
    • 一意の表示名を入力

  4. 保存してサインインをクリックします。

  5. 関連付けられた接続を追加をクリックします。

  6. セキュアな構成に関連付けるデータ接続を選択し、接続するをクリックします。

  7. データベース資格情報でサインインします。

データ接続ページからセキュアな構成を追加する場合、最初にデータ接続を選択してから、資格情報を追加します。

  1. 右上にあるユーザーアイコンをクリックして、データ接続を選択します。

  2. データ接続を選択。

  3. 資格情報を選択し、+ 資格情報を追加をクリックします。

  4. 資格情報を追加モーダルで、+ 新規作成をクリックします。

  5. 以下のように、使用可能なフィールドに入力します。

    • セキュアな構成に関連付けられた資格情報タイプを選択します。
    • 共有されたセキュアな構成をクリックします。
    • ドロップダウンから、セキュアな構成を選択します。
    • 一意の表示名を入力

  6. 保存してサインインをクリックし、データベース資格情報でサインインします。