UncountableのAPIは、セキュリティと権限管理を重視して設計されています。この文書では、APIが認証・認可・データアクセス権限をどのように扱うか、よくある質問への回答をまとめています。ユーザーは許可されたデータのみ操作できます。
概要
ロールベースアクセス制御(RBAC)とは
ロールベースアクセス制御(RBAC)とは、ユーザーの役割と割り当てられた権限に基づいてデータや操作へのアクセスを制限するセキュリティモデルです。Uncountableでは、これらの権限によってユーザーがアクセスできるプロジェクト、実験、データセットが決まります。
RBACはAPI利用にどのように適用されるか
Uncountableは、APIアクセスにもWebインターフェースと同じ権限ルールを適用します。ユーザーまたはロボットアカウントのどちらがAPIを呼び出しても、そのユーザーが閲覧・編集できるデータだけにアクセスが制限されます。
APIリクエストは誰が行えるか
APIリクエストは以下の方法で行えます。
- 個人ユーザーアカウントに紐づくAPIキー
- ロボットユーザー(サービスアカウント。統合や自動化タスク用) どちらのアカウントも通常ユーザーと同じロール・権限構造に従います。
FAQ(よくある質問)
APIはプロジェクトデータへのロールベースアクセスをどのように強制しますか?
APIの呼び出しは認証済みユーザーアカウント(個人またはロボット)を通じて行われ、応答はそのユーザーの権限に基づいてフィルタされます。ユーザーがプロジェクト・実験・データセットへのアクセス権を持たない場合、そのデータはAPI応答に含まれません。
APIリクエストはユーザーロールに基づいて自動的にフィルタできますか?
はい。Uncountableが自動的にフィルタ処理を行います。APIは認証ユーザーが閲覧できるデータのみ返すため、クライアント側で追加のフィルタロジックは不要です。
ユーザーが権限のないデータにアクセスしようとした場合はどうなりますか?
APIは「403 Forbidden」エラーを返します。これらの不正アクセス試行は内部で記録され、要望があれば顧客に報告できます。
アクセス制限はプロジェクト・実験・データセットなど細かい単位で設定できますか?
はい。Uncountable UIと同じ細かいレベルで権限設定が可能です。これにより、同じワークスペース内でも誰がどのデータにアクセスできるかを厳密に管理できます。
Hexなど外部ツールからAPIユーザー認証はどう行われますか?
UncountableはOAuth 2.0による安全な認証・認可をサポートしています。HexのようなツールはOAuthトークンを使って、ユーザーの代理でプロジェクトデータにアクセスできます。
APIがサポートする認証方式は?
- OAuth 2.0(統合やサードパーティツールで推奨)
- ベーシック認証(主にシンプルまたはレガシー用途に使用)
APIは監査目的でアクセスリクエストを記録しますか?
はい。すべてのAPIアクセスリクエストは記録されます。これらのログは、組織のSIEM(セキュリティ情報イベント管理)システムと共有して監査やモニタリングに利用できます。