Data Access Control で実現するより細かい権限制御

© 2025 Wantedly, Inc. Data Access Control で実現するより細かい権限制御 Japan
Datadog User Group Meetup #13@東京 2025-10-29 - Hayato Kawai (@fohte)

© 2025 Wantedly, Inc. ⾃⼰紹介名前 Fohte (ふぉーて) 川井颯人
(Hayato Kawai) 所属 • ウォンテッドリー株式会社 Infra Squad • JDDUG

© 2025 Wantedly, Inc. これまでの Datadog の権限 (ユーザー‧ロール) ユーザーロール
readonly write admin

© 2025 Wantedly, Inc. これまでの Datadog の権限 (ユーザー‧ロール) readonly write
admin ユーザーごとにこれらのロールを持たせられるこれによってユーザーごとに異なる権限を設定する (あるユーザーは admin, あるユーザーは readonly, ...)

© 2025 Wantedly, Inc. ロールごとに権限を決められる ✅ read ❌ write readonly
APM Logs ✅ read ❌ write

© 2025 Wantedly, Inc. ロールごとに権限を決められる ✅ read ✅ write APM
Logs ✅ read ✅ write write

© 2025 Wantedly, Inc. 機能ごとにも権限を変えられる ✅ read ❌ write APM
readonly APM Logs ❌ read ❌ write

© 2025 Wantedly, Inc. ウォンテッドリーでの権限設計 • Datadog は社員なら誰でも閲覧できるようにしている (SAML で動的にアカウントを作成)
◦ 閲覧しても困らない情報を入れる前提 • インフラチームは管理者権限を付与他の社員は write まで可能

© 2025 Wantedly, Inc. やりたいこと ✅ read/write Hire 開発チーム
APM (service:visit) ❌ read/write APM (service:hire) 社員 ✅ read/write ✅ read/write

© 2025 Wantedly, Inc. 誰でもアクセス可能なサービスもあれば ✅ read/write Hire 開発チーム
APM (service:visit) 社員 ✅ read/write

© 2025 Wantedly, Inc. プロダクトチームにしか閲覧させたくないものもある Hire 開発チーム ❌ read/write
APM (service:hire) 社員 ✅ read/write

© 2025 Wantedly, Inc. やりたいこと ✅ read/write Hire 開発チーム
APM (service:visit) ❌ read/write APM (service:hire) 社員 ✅ read/write ✅ read/write ロールだけではできない

© 2025 Wantedly, Inc. ロールだけでは細かい権限制御ができない「特定のデータ」などタグで制御したいが、ロールでは "APM Read"の
ような機能ごと・read/write でしか制御できない

© 2025 Wantedly, Inc. Data Access Control でできることデータセットに対して
権限を付与するロール or チーム (今回は割愛 ) を設定できるデータセットはクエリにマッチするもので設定する (例: 特定のタグを持つ trace ) 選べるサービス

© 2025 Wantedly, Inc. いままではチーム以外からのアクセスをブロックしたくてもできなかった Hire 開発チーム ✅ read/write
APM (service:hire) 社員 ✅ read/write 従来の方法ではアクセスできてしまう

© 2025 Wantedly, Inc. Data Access Control Data Access Control
でブロックできるようになる Hire 開発チーム ❌ read/write APM (service:hire) 社員 ✅ read/write 防げるようになる 🎉

Data Access Control で実現するより細かい権限制御

Data Access Control で実現するより細かい権限制御

Hayato Kawai

More Decks by Hayato Kawai

Featured

Transcript

© 2025 Wantedly, Inc. Data Access Control で実現するより細かい権限制御 Japan

© 2025 Wantedly, Inc. ⾃⼰紹介名前 Fohte (ふぉーて) 川井颯人

© 2025 Wantedly, Inc. Datadog の権限制御どうしてますか?

© 2025 Wantedly, Inc. これまでの Datadog の権限 (ユーザー‧ロール) ユーザーロール

© 2025 Wantedly, Inc. これまでの Datadog の権限 (ユーザー‧ロール) readonly write

© 2025 Wantedly, Inc. ロールごとに権限を決められる ✅ read ❌ write readonly

© 2025 Wantedly, Inc. ロールごとに権限を決められる ✅ read ✅ write APM

© 2025 Wantedly, Inc. 機能ごとにも権限を変えられる ✅ read ❌ write APM

© 2025 Wantedly, Inc. ウォンテッドリーでの権限設計 • Datadog は社員なら誰でも閲覧できるようにしている (SAML で動的にアカウントを作成)

© 2025 Wantedly, Inc. これだけだと難しいこともあるこれで十分では? → そうでない要件が発生したたとえば「あるプロダクトの情報は、そのプロダクトチームだけが閲覧できるようにしたい」という要件は達成できない

© 2025 Wantedly, Inc. やりたいこと ✅ read/write Hire 開発チーム

© 2025 Wantedly, Inc. 誰でもアクセス可能なサービスもあれば ✅ read/write Hire 開発チーム

© 2025 Wantedly, Inc. プロダクトチームにしか閲覧させたくないものもある Hire 開発チーム ❌ read/write

© 2025 Wantedly, Inc. やりたいこと ✅ read/write Hire 開発チーム

© 2025 Wantedly, Inc. ロールだけでは細かい権限制御ができない「特定のデータ」などタグで制御したいが、ロールでは "APM Read"の

© 2025 Wantedly, Inc. そこで救世主 Data Access Control が登場 (まだ

© 2025 Wantedly, Inc. Data Access Control でできることデータセットに対して

© 2025 Wantedly, Inc. いままではチーム以外からのアクセスをブロックしたくてもできなかった Hire 開発チーム ✅ read/write

© 2025 Wantedly, Inc. Data Access Control Data Access Control

© 2025 Wantedly, Inc. 実際にどうブロックされるのかクエリしてもなにも表示されなくなる 403 Forbidden より

© 2025 Wantedly, Inc. 最後に • ウォンテッドリーでの要件は実現できた 🎉 • 権限制御に困っている方・企業の皆さまは