Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Data Access Control で実現するより細かい権限制御
Search
Hayato Kawai
October 29, 2025
0
70
Data Access Control で実現するより細かい権限制御
Japan Datadog User Group Meetup#13@東京 で話した資料です。
https://datadog-jp.connpass.com/event/368663/
Hayato Kawai
October 29, 2025
Tweet
Share
More Decks by Hayato Kawai
See All by Hayato Kawai
Datadog が支える Wantedly のシステム運用
fohte
0
50
Devin や Cursor などの生成 AI ツール導入に向けて何を取り組んだのか
fohte
2
270
Datadog Network Monitoring を活用して NAT Gateway 課金を 80 % 削減した話
fohte
2
690
Trace Metrics と Istio Metrics でサービス健全性を監視する
fohte
0
480
段階的リリースを実現する kube canary
fohte
1
200
巨大 tfstate に立ち向かう技術
fohte
1
960
RubyKaigi で LT 初登壇したきっかけと感想
fohte
1
1.3k
Datadog Logs を活用して SLO 監視基盤を構築する
fohte
3
2.7k
The Journey of rubocop-daemon into RuboCop
fohte
1
1.4k
Featured
See All Featured
Scaling GitHub
holman
463
140k
Building Applications with DynamoDB
mza
96
6.7k
The Art of Delivering Value - GDevCon NA Keynote
reverentgeek
16
1.7k
Optimising Largest Contentful Paint
csswizardry
37
3.5k
Faster Mobile Websites
deanohume
310
31k
The Invisible Side of Design
smashingmag
302
51k
For a Future-Friendly Web
brad_frost
180
10k
Context Engineering - Making Every Token Count
addyosmani
8
310
Leading Effective Engineering Teams in the AI Era
addyosmani
7
670
Docker and Python
trallard
46
3.6k
BBQ
matthewcrist
89
9.9k
Learning to Love Humans: Emotional Interface Design
aarron
274
41k
Transcript
© 2025 Wantedly, Inc. Data Access Control で実現する より細かい権限制御 Japan
Datadog User Group Meetup #13@東京 2025-10-29 - Hayato Kawai (@fohte)
© 2025 Wantedly, Inc. ⾃⼰紹介 名前 Fohte (ふぉーて) 川井 颯人
(Hayato Kawai) 所属 • ウォンテッドリー株式会社 Infra Squad • JDDUG
© 2025 Wantedly, Inc. Datadog の 権限制御 どうしてますか?
© 2025 Wantedly, Inc. これまでの Datadog の権限 (ユーザー‧ロール) ユーザー ロール
readonly write admin
© 2025 Wantedly, Inc. これまでの Datadog の権限 (ユーザー‧ロール) readonly write
admin ユーザーごとにこれらのロールを持 たせられる これによってユーザーごとに 異なる権限を設定する (あるユーザーは admin, あるユーザーは readonly, ...)
© 2025 Wantedly, Inc. ロールごとに権限を決められる ✅ read ❌ write readonly
APM Logs ✅ read ❌ write
© 2025 Wantedly, Inc. ロールごとに権限を決められる ✅ read ✅ write APM
Logs ✅ read ✅ write write
© 2025 Wantedly, Inc. 機能ごとにも権限を変えられる ✅ read ❌ write APM
readonly APM Logs ❌ read ❌ write
© 2025 Wantedly, Inc. ウォンテッドリーでの権限設計 • Datadog は社員なら誰でも閲覧できるようにしている (SAML で動的にアカウントを作成)
◦ 閲覧しても困らない情報を入れる前提 • インフラチームは管理者権限を付与 他の社員は write まで可能
© 2025 Wantedly, Inc. これだけだと難しいこともある これで十分では? → そうでない要件が発生した たとえば「あるプロダクトの情報は、そのプロダクトチームだけが 閲覧できるようにしたい」という要件は達成できない
© 2025 Wantedly, Inc. やりたいこと ✅ read/write Hire 開発 チーム
APM (service:visit) ❌ read/write APM (service:hire) 社員 ✅ read/write ✅ read/write
© 2025 Wantedly, Inc. 誰でもアクセス可能なサービスもあれば ✅ read/write Hire 開発 チーム
APM (service:visit) 社員 ✅ read/write
© 2025 Wantedly, Inc. プロダクトチームにしか閲覧させたくないものもある Hire 開発 チーム ❌ read/write
APM (service:hire) 社員 ✅ read/write
© 2025 Wantedly, Inc. やりたいこと ✅ read/write Hire 開発 チーム
APM (service:visit) ❌ read/write APM (service:hire) 社員 ✅ read/write ✅ read/write ロールだけでは できない
© 2025 Wantedly, Inc. ロールだけでは細かい権限制御ができない 「特定のデータ」など タグで制御したいが、 ロールでは "APM Read"の
ような機能ごと ・read/write でしか 制御できない
© 2025 Wantedly, Inc. そこで救世主 Data Access Control が登場 (まだ
preview)
© 2025 Wantedly, Inc. Data Access Control でできること データセット に対して
権限を付与するロール or チー ム (今回は割愛 ) を設定できる データセットはクエリに マッチするもので設定する (例: 特定のタグを持つ trace ) 選べるサービス
© 2025 Wantedly, Inc. いままではチーム以外からのアクセスをブロックしたくてもできなかった Hire 開発 チーム ✅ read/write
APM (service:hire) 社員 ✅ read/write 従来の方法では アクセスできてしまう
© 2025 Wantedly, Inc. Data Access Control Data Access Control
でブロックできるようになる Hire 開発 チーム ❌ read/write APM (service:hire) 社員 ✅ read/write 防げるようになる 🎉
© 2025 Wantedly, Inc. 実際にどうブロックされるのか クエリしてもなにも 表示されなくなる 403 Forbidden より
404 Not Found っぽい挙動 RUM の例
© 2025 Wantedly, Inc. 最後に • ウォンテッドリーでの要件は実現できた 🎉 • 権限制御に困っている方・企業の皆さまは
ぜひ GA されたら利用してみてはいかがでしょうか
fohte
holman
mza
reverentgeek
csswizardry
deanohume
smashingmag
brad_frost
addyosmani
trallard
matthewcrist
aarron
