新規安全・障害
Cloudflare
セキュリティ
Cloudflare R2 Data Catalogがread-only token対応、Iceberg権限分離の落とし穴
R2 Data CatalogでAdmin Read only tokenが利用可能になり、query engineへread-write権限を渡す必要がなくなった。ただしvended credentialはR2 storage権限を継承するため、catalogとbucketの両方をread-onlyにする必要がある。
- 影響
- R2 Data CatalogをDuckDB、PyIceberg、R2 SQLなどから利用するdata platform・analytics team
- 対応
- query engine用tokenをAdmin Read onlyへ分離し、R2 Data Catalog ReadとR2 Storage Bucket Item Readの両permissionを確認する
- 期限
- 期限なし