ロール、権限セット、モデルセットを一緒に使用して、ユーザーが実行できる操作と表示できる内容を管理します。[管理者] パネルの [ユーザー] セクションの [ロール] ページでは、ロール、権限セット、モデルセットを表示、構成、割り当てできます。
右上の検索ボックスに検索語を入力して Enter キーを押すことで、特定のロール、権限セット、モデルセットを検索できます。
定義
- ロールは、Looker の特定のモデルのセットに対して、ユーザーまたはグループに付与される権限を定義します。1つの権限セットを1つのモデルセットと組み合わせて、ロールを作成します。
- 権限セットは、ユーザーまたはグループが実行できることを定義します。ユーザーまたはグループに割り当てる権限の組み合わせを選択します。有効に機能するには、ロールの一部として使用する必要があります。
- モデルセットは、ユーザーまたはグループが表示できるデータと LookML フィールドを定義します。ユーザーまたはグループがアクセスできるようにするLookMLモデルの組み合わせを選択します。有効に機能するには、ロールの一部として使用する必要があります。
役割の割り当て
ロールは、1つの権限セットと1つのモデルセットを組み合わせたものです。組織内では、ユーザーやグループ(管理者、Looker デベロッパー、財務チームなど)の種類に基づいて名前をつけるのが一般的ですが、独自の命名規則に厳密に従うこともできます。
Lookerでは1人のユーザーが複数のロールを持つことができます。これは、会社で複数の役割を担うユーザーがいる場合や、モデルへのアクセスの複雑なシステムを作成する場合に便利です。
ロールの作成、編集、削除
ネットワークを作成するには、こちらの手順をご参照ください。
- [ロール] ページの上部にある [新しいロール] ボタンをクリックします。
Looker に [新しいロール] ページが表示されます。ここで、次の設定を行うことができます。
必要なロールを構成したら、ページ下部にある [新しいロール] ボタンをクリックします。
ロールを作成した後は、[ロール] ページでロールの右側にある [編集] ボタンをクリックして編集できます。[Edit] をクリックすると、そのロールの [Edit Role] ページが表示され、名前、権限セット、モデルセット、グループまたはユーザーを編集できます。
ロールを削除するには、[ロール] ページでロールの右側にある [削除] ボタンをクリックします。
デフォルトの役割
Looker の新規インスタンスには、以下のデフォルト ロールが作成されます。各ロールには、同じ名前のデフォルト権限セットが含まれます。
- 管理者
- デベロッパー
- ユーザー
- 閲覧者
権限セット
権限セットでは、ユーザーまたはグループが実行できることを定義します。管理者は、Looker のデフォルトの権限セットを使用するか、権限の依存関係を考慮して元の権限セットを作成できます。
使用可能なすべての権限と権限の種類の詳細については、権限のリストをご覧ください。
デフォルト権限セット
新しいインストールについては、いくつかのデフォルト権限セットがLookerに用意されており、最初はこれらの権限セットから始めることができます。
これらの権限セットは、新しいロールを作成するときにオプションとして表示されます。いずれかの権限セットを選択すると、それに含まれる権限のリストが表示されます。
管理者権限セットを編集または削除したり、ロールに割り当てたりすることはできません。これは、管理者ロールにのみ割り当てられ、編集や削除もできません。管理者権限セットをユーザーまたはグループに付与する唯一の方法は、そのユーザーまたはグループに管理者ロールを追加することです。
権限セットの作成
権限セットを作成するには、[ロール] ページの上部にある [新しい権限セット] ボタンをクリックします。権限セットの名前を入力し、それに含める必要がある権限を選択できるページが表示されます。必要なセットを構成したら、ページ下部にある [新しい権限セット] ボタンをクリックします。
権限セットを作成した後で編集または削除するには、[ロール] ページの権限セットの右にある [編集] または [削除] ボタンをクリックします。
権限と依存関係
権限の中には、適切に機能するために他の権限に依存するものがあります。例えば、当然のことながら、LookMLで開発を行うユーザーはまずLookMLを表示できる必要があります。
権限セットを作成する際には、インデントされたリストに使用可能な権限が表示されます。権限が別の(親)権限の下にインデントされて表示されている場合、最初に親権限を選択する必要があります。権限リストは次のようになります。
☑️ access_data ☑️ see_lookml_dashboards ☑️ see_looks ☑️ see_user_dashboards
この例では、Looker ではインデントを使用して次のことを示します。
access_data
権限はいつでも選択できます。see_lookml_dashboards
権限とsee_looks
権限を付与するには、最初にaccess_data
権限を選択する必要があります。- The
see_user_dashboards
権限はsee_looks
権限に依存し、同様にaccess_data
権限に依存します。
子権限を選択するには、その前に親権限を選択する必要があります。
権限とLookerライセンス
Lookerライセンスでは、ユーザーは次の3タイプに分類されます。
- 開発者(管理者)
- 標準(製作者)
- 閲覧者
ユーザーに与えられた権限によって、当該Lookerライセンスにおけるそのユーザーの分類が決まります。
ユーザーが管理者のデフォルトロール、または次の権限のうち 1 つ以上を持っている場合、そのユーザーはデベロッパー(管理者)ユーザーに分類されます。
開発者(管理者)権限を持っていなくても、以下の権限のうち少なくとも1つを持っている場合、ユーザーは標準(クリエイター)に分類されます。
ユーザーが
access_data
権限を持っているものの、デベロッパー(管理者)権限と標準(作成者)権限のいずれも持っていない場合、そのユーザーは閲覧者に分類されます。
権限リスト
次の権限は、モデルセットと予期しない方法で影響し合う場合があります。
Looker の IDE では、1つのプロジェクトに複数のモデルファイルを含めることができます。ユーザーに
develop
see_lookml
manage_models
manage_modelsets_restricted
manage_project_connections_restricted
manage_project_connections
develop
またはsee_lookml
権限を割り当て、そのユーザーにプロジェクトの一部である任意のモデルの閲覧を許可すると、そのユーザーはそのプロジェクト内のすべてのモデルに対して LookML を開発または表示できるようになります。ただし、許可されていないモデルをクエリすることはできません。ユーザーにmanage_models
権限を割り当てると、ユーザーはインスタンス内のすべてのプロジェクトに含まれるすべてのモデルにアクセスできるようになります。ユーザーに
ユーザーにmanage_modelsets_restricted
権限を割り当てると、ユーザーはアクセス権を持つプロジェクト内の任意のモデルを割り当てることができます。manage_project_connections_restricted
またはmanage_project_connections
権限を割り当てると、ユーザーはモデルセットに含まれるプロジェクトに対して、プロジェクト スコープの接続を表示、編集、作成できます。
権限は次の3つのタイプのいずれかに分類されます。
- モデル固有: このタイプの権限は、同じロールに含まれるモデルセットにのみ適用されます。この権限は、Lookerインスタンス全体ではなく、個々のモデルまたはモデルセットに適用されます。
- 接続固有: このタイプの権限は、接続レベルで適用されます。このタイプの権限を持つユーザーは、データアクセスのあるモデルに関連付けられた接続を使用する [管理者] パネルにページのコンテンツが表示されます。これは、データアクセス権限がない別のモデルでその接続が使用されている場合でも同様です。
- インスタンス全体: このタイプの権限は、Looker インスタンス全体に適用され、次の 3 つのタイプがあります。
- NN = コンテンツ アクセスなし、メニュー アクセスなし: これらの権限により、ユーザーは Looker インスタンス全体で特定の機能を実行できますが、ユーザーのロールのモデルセットに含まれていないモデルに基づくコンテンツにアクセスすることはできません。
- CN = コンテンツ アクセス、メニュー アクセスなし: これらの権限により、ユーザーは Looker インスタンス全体でコンテンツとクエリ情報にアクセスできます。ユーザーのロールのモデルセットに含まれていないモデルに基づくコンテンツとクエリにもアクセスできます。
- CM = コンテンツ アクセス、メニュー アクセス: これらの権限により、管理者メニューの一部が管理者以外のユーザーに公開され、ユーザーのロールのモデルセットに含まれていないモデルに基づくコンテンツとクエリに関する情報がユーザーに表示されるようになります。
次のリストは、Looker で利用できるすべての権限について、[管理者] セクションの [新しい権限セット] ページに表示される順に説明します。
権限 | 依存関係 | タイプ | 定義 |
---|---|---|---|
access_data |
なし | モデルに固有 | ユーザーは Looker のデータにアクセスできますが、管理者が指定したデータにのみアクセスできます。この権限は、ほぼすべての Looker 関数に必要です。この権限を持つユーザーは、特定のプロジェクトにある任意のモデルへのアクセス権が付与されると、そのプロジェクトの [データ] セクション内の任意のファイル(JSON カスタムマップ ファイルなど)にアクセスできます。 |
see_lookml_dashboards |
access_data |
モデルに固有 | ユーザーは、すべての LookML ダッシュボードが格納されている、LookML Dashboards のフォルダを表示できます。ダッシュボードを探索するには、ユーザーは関連するモデルに対する explore 権限が必要です。develop 権限もあるユーザーは、LookML ダッシュボードを作成できます。 |
see_looks |
access_data |
モデルに固有 | ユーザーは、フォルダ内に保存済みの Look(ダッシュボードを除く)を表示できます。ユーザーがこれらの Look を探索するには、関連するモデルに対する explore 権限が必要です。フォルダで Look を表示するには、ユーザーは表示コンテンツ アクセス レベルも必要になります。 |
see_user_dashboards |
see_looks |
モデルに固有 | ユーザーはフォルダ内のユーザー定義のダッシュボードを表示できますが、ダッシュボードを探索するには、関連するモデルに対する explore 権限が必要です。フォルダでダッシュボードを表示するには、ユーザーは表示コンテンツ アクセスも必要です。フォルダに対する save_dashboards 権限とアクセスの管理、編集のコンテンツ アクセスの両方を持つユーザーは、そのフォルダにユーザー定義のダッシュボードを作成できます。 |
explore |
see_looks |
モデルに固有 | ユーザーは、Explore ページにアクセスして使用し、Look とダッシュボードを生成できます。この権限がないユーザーは、保存済みダッシュボードの表示のみ可能です(see_lookml_dashboards または see_user_dashboards が付与されている場合)。 |
create_table_calculations |
explore |
インスタンス全体 NN | ユーザーは、表計算を表示、編集、追加できます。 |
create_custom_fields |
explore |
インスタンス全体 NN | ユーザーはカスタム フィールドを表示、編集、追加できます。explore 権限のみを持つユーザーは、カスタムフィールドの表示のみ可能です。 |
can_create_forecast |
explore |
インスタンス全体 NN | ユーザーは、ビジュアリゼーションで予測を作成および編集できます。この権限のないユーザーは、アクセス権のあるコンテンツ内の既存の予測の表示のみ可能です。 |
can_override_vis_config |
explore |
インスタンス全体 NN | ユーザーはグラフ構成エディタにアクセスできます。このエディタでは、ビジュアリゼーションの Highchart API JSON 値の変更や、ビジュアリゼーションの外観と形式のカスタマイズができます。 |
save_content |
see_looks |
インスタンス全体 NN | この権限は、save_dashboards 、save_looks 、create_public_looks の親権限です。この権限は、save_dashboards または save_looks で付与する必要があります。 |
save_dashboards |
save_content |
インスタンス全体 NN |
24.4 で追加
ユーザーはダッシュボードを保存、編集できます。ダッシュボードから探索するには、ユーザーは関連するモデルに対する explore 権限が必要です。ユーザーがコンテンツをダウンロードするには、download_with_limit 権限または download_without_limit 権限、あるいは両方が必要です。 |
save_looks |
save_content |
インスタンス全体 NN |
24.4 で追加
ユーザーは Look を保存、編集できます。ユーザーがこれらの Look から探索するには、関連するモデルに対する explore 権限が必要です。ユーザーがコンテンツをダウンロードするには、download_with_limit 権限または download_without_limit 権限、あるいは両方が必要です。 |
create_public_looks |
save_content |
モデルに固有 | ユーザーは、保存済みの Look を一般公開としてマークできます。これにより、その Look へのアクセスを許可する URL が認証なしで生成されます。 |
download_with_limit |
see_looks |
モデルに固有 | ユーザーは、クエリを(CSV、Excel などの形式で)ダウンロードおよびスケジュール設定できますが、インスタンスでの大規模なダウンロードによるメモリの問題を防ぐために、5,000 以下の行制限を指定する必要があります。 |
download_without_limit |
see_looks |
モデルに固有 | download_with_limit と同じですが、ユーザーが行数制限を指定する必要はありません。クエリの種類によってはすべての結果をダウンロードまたはスケジュール設定するのにかなりのメモリが必要になる場合があり、パフォーマンスの問題が発生したり、さらには Looker インスタンスがクラッシュしたりすることもあります。 |
schedule_look_emails |
see_looks |
モデルに固有 | ユーザーは、ビジュアリゼーションを使用して、メールへのデータアクセスがある宛先に Looks、ダッシュボード、クエリを配信できます。ユーザーは、データグループがトリガーされ、キャッシュを管理し、関連する PDT が再構築した後に、配信が行われるようスケジュールできます。システム アクティビティ ダッシュボードを送信またはスケジュールするには、ユーザーはすべてのモデルへのアクセス権が必要です。create_alerts 権限も持つユーザーは、メールアラート通知を送信できます。 Looker 管理者は、管理パネルの設定ページのメールドメインの許可リストで、Looker ユーザーと埋め込みユーザーがメールを配信できるメールドメインを管理できます。この権限は、Lookerインスタンス全体ではなく、個々のモデルまたはモデルセットに適用されます。 |
schedule_external_look_emails |
schedule_look_emails |
モデルに固有 | ユーザーは、ビジュアリゼーションを使用して、メールへのデータアクセスがある宛先に Looks、ダッシュボード、クエリを配信できます。ユーザーは、データグループがトリガーされ、キャッシュを管理し、関連する PDT が再構築した後に、配信が行われるようスケジュールできます。システム アクティビティ ダッシュボードを送信またはスケジュールするには、ユーザーはすべてのモデルへのアクセス権が必要です。create_alerts 権限も持つユーザーは、メールアラート通知を送信できます。ユーザーは、管理パネルの設定ページのメールドメインの許可リストに許可リストに登録されたメール ドメインが含まれているかどうかに関係なく、任意のドメインをもつメールアドレスに、コンテンツ配信またはアラート通知をメールできます。この権限は、Lookerインスタンス全体ではなく、個々のモデルまたはモデルセットに適用されます。 |
create_alerts |
see_looks |
インスタンス全体 NN | ダッシュボード タイルから、アラートをcreate、複製、削除できます。他のユーザーが [一般公開] とマークしたアラートを表示および複製できます。Slack通知を送るダッシュボードタイルアラートが表示されるは、ユーザーはSlackにログインしていなければなりません。ユーザーは、[アラートの管理] ユーザーページで、所有するアラートを表示、編集、無効化、有効化できます。 メールアラート通知を送信するには、ユーザーに schedule_look_emails 権限または schedule_external_look_emails 権限が必要です。 |
follow_alerts |
see_looks |
インスタンス全体 NN | ユーザーはアラートを表示してフォローできます。フォローしたアラート、または受信者としてリストに記載されているアラートは、[アラートを管理] ユーザー ページで確認できます。 |
send_to_s3 |
see_looks |
モデルに固有 | ユーザーは、ビジュアリゼーションを使用して、Amazon S3 バケットへのデータアクセスがある宛先に、Look、ダッシュボード、クエリを配信できます。ユーザーは、データグループがトリガーされ、キャッシュを管理し、関連する PDT が再構築した後に、配信が行われるようスケジュールできます。この権限は、Lookerインスタンス全体ではなく、個々のモデルまたはモデルセットに適用されます。 |
send_to_sftp |
see_looks |
モデルに固有 | ユーザーは、ビジュアリゼーションを使用して、SFTP サーバーへのデータアクセスがある宛先に、Look、ダッシュボード、クエリを配信できます。ユーザーは、データグループがトリガーされ、キャッシュを管理し、関連する PDT が再構築した後に、配信が行われるようスケジュールできます。この権限は、Lookerインスタンス全体ではなく、個々のモデルまたはモデルセットに適用されます。 |
send_outgoing_webhook |
see_looks |
モデルに固有 | ユーザーは、ビジュアリゼーションを使用して、Webhook へのデータアクセスがある宛先に、Look、ダッシュボード、クエリを配信できます。ユーザーは、データグループがトリガーされ、キャッシュを管理し、関連する PDT が再構築した後に、配信が行われるようスケジュールできます。この権限は、Lookerインスタンス全体ではなく、個々のモデルまたはモデルセットに適用されます。 |
send_to_integration |
see_looks |
モデルに固有 | ユーザーは、ビジュアリゼーションを使用して、Looker Action Hub 経由で Looker と統合されたサードパーティ サービスへのデータアクセスがある宛先に、Look、ダッシュボード、クエリを配信できます。ユーザー属性を指定したカスタム アクションを使用している場合、アクションの配信先に Looker コンテンツを配信するためには、ユーザーはこの権限を持ち、かつ、指定されたユーザー属性に対して null 以外の有効なユーザー属性の値を持つ必要があります。この権限はデータ アクションとは無関係です。ユーザーは、データグループがトリガーされてキャッシュを管理し、関連する PDT を再構築した後に、配信が行われるようスケジュールできます。この権限は、Lookerインスタンス全体ではなく、個々のモデルまたはモデルセットに適用されます。 |
see_sql |
see_looks |
モデルに固有 | ユーザーは、クエリを探索し、クエリによって発生した SQL エラーを探索するときに、[SQL] タブにアクセスできます。 |
see_lookml |
see_looks |
モデルに固有 | ユーザーは LookML への読み取り専用権限を持ちます。ユーザーは、管理パネルのLookML に移動するのリンクを表示するために、この権限が必要です。ユーザーが LookML を編集できるようにするには、ユーザーに develop 権限も付与する必要があります。注: この権限とモデルセットが予期しない方法で影響し合う場合があります。ユーザーに see_lookml 権限を付与し、プロジェクトの一部であるすべてのモデルを表示できるようにすると、プロジェクト内のすべてのモデルの LookML を表示できるようになります。ただし、許可されていないモデルをクエリすることはできません。 |
develop |
see_lookml |
モデルに固有 | ユーザーは、LookML に対してローカルな変更を加えることは可能ですが、deploy 権限を持っている場合を除き、すべての人にそれらの変更を適用することはできません。この権限は、[ヘルプ] メニューの [サポート] オプションを表示する場合や、Looker IDE のメタデータを表示するために必要です。ユーザーは、Explore の歯車メニューの [派生テーブルを再構築して実行する] オプションにアクセスするためにもこの権限が必要です。これはモデル固有ではないため、ユーザーが 1 つのモデルでこの権限を持っている場合は、すべてのモデルで派生テーブルを再構築して実行するにアクセスできます。注: この権限とモデルセットが予期しない方法で影響し合う場合があります。ユーザーに develop 権限を付与して、プロジェクトの一部である任意のモデルを表示できるようにすると、ユーザーは、プロジェクト内のすべてのモデルの LookML を開発できるようになります。ただし、許可されていないモデルをクエリすることはできません。 |
deploy |
develop |
インスタンス全体 NN | ユーザーは、ローカル LookML の変更内容を本番環境に push できるので、すべてのユーザーがその変更を利用できるようになります。 |
support_access_toggle |
develop |
インスタンス全体 NN | ユーザーは、Looker アナリストによる Looker インスタンスに対するアクセスを有効化または無効化できます。 |
manage_project_models |
develop |
モデルに固有 | ユーザーは、[モデル構成の編集] ページで、許可されたモデルのモデル構成を追加、編集、削除できます。モデルを構成する際に、ユーザーはプロジェクト スコープの接続のみを使用できます。注: この権限とモデルセットが予期しない方法で影響し合う場合があります。manage_project_models 権限を持つロールを作成すると、そのロールによって、そのロールのモデルセットのいずれかのモデルとプロジェクトを共有するすべてのモデルにアクセス権が付与されます。 |
use_global_connections |
manage_project_models |
モデルに固有 | ユーザーは、任意のプロジェクト スコープの接続またはインスタンス全体の接続で許可されたモデルを構成できます。 |
manage_project_connections_restricted |
develop |
モデルに固有の CM | ユーザーは [管理者] メニューの [接続] ページを表示できます。モデルセットに含まれている任意のプロジェクトに対して、プロジェクト スコープの接続を表示、編集、作成できます。ただし、編集できるのは次の接続設定のみです。
manage_project_connections_restricted 権限を割り当てると、ユーザーはモデルセットに含まれるプロジェクトに対して、プロジェクト スコープの接続を表示、編集、作成できます。 |
manage_project_connections |
manage_project_connections_restricted |
モデルに固有の CM | ユーザーは [管理者] メニューの [接続] ページを表示できます。モデルセットに含まれている任意のプロジェクトに対して、プロジェクト スコープの接続を表示、編集、作成できます。注: この権限とモデルセットが予期しない方法で影響し合う場合があります。ユーザーに manage_project_connections_restricted 権限を割り当てると、ユーザーはモデルセットに含まれるプロジェクトに対して、プロジェクト スコープの接続を表示、編集、作成できます。 |
use_sql_runner |
see_lookml |
モデルに固有 | ユーザーは、SQL Runner を使用して、許可された接続に対して生の SQL を実行できます。ユーザーは、download_with_limit または download_without_limit 権限があるかどうかに関係なく、SQL Runner の歯車アイコンの [ダウンロード] オプションから結果をダウンロードすることもできます。 |
clear_cache_refresh |
access_data |
モデルに固有 | ユーザーはキャッシュを消去し、内部および埋め込みのダッシュボード、ダッシュボード タイル、Look、Explore を更新できます。see_user_dashboards 、see_lookml_dashboards 、explore のいずれかの権限を含む既存の権限セットに、clear_cache_refresh 権限が自動的に追加されます。clear_cache_refresh 権限は、どの埋め込みロールにも自動的に適用されるわけではありません。 |
see_drill_overlay |
access_data |
モデルに固有 | ユーザーは、ダッシュボード タイルにドリルダウンした結果を表示できますが、結果を探索することはできません。explore が付与されている場合、この権限も自動的に付与されます(この権限が選択されていない場合も同様です)。ユーザーは、ドリル結果を PNG 形式でダウンロードするには、explore 権限も必要です。 |
manage_spaces |
なし | インスタンス全体 CN | ユーザーは、フォルダの作成、編集、移動、削除を行うことができます。また、アクセス権の管理、編集 のコンテンツ アクセス権限も必要です。 |
manage_homepage |
なし | インスタンス全体 NN | ユーザーは、ビルド済みの Looker のホームページで、すべての Looker ユーザーに表示されるコンテンツを編集し、サイドバーに追加できます。 |
manage_models |
なし | インスタンス全体 CN | 各 LookML モデルは、[LookML プロジェクトの管理] ページで特定のデータベース接続のセットにマッピングされます。この権限を持つユーザーは、こうしたマッピングの設定、新しいプロジェクトの作成、プロジェクトの削除を行うことができます。この権限を付与された管理者以外のユーザーは、アクセス権限があるモデルで許可されたすべての接続にアクセスできるようになります。注: この権限とモデルセットが予期しない方法で影響し合う場合があります。ユーザーに manage_models 権限を割り当てると、ユーザーはインスタンス内のすべてのプロジェクトに含まれるすべてのモデルにアクセスできるようになります。 |
create_prefetches |
なし | インスタンス全体 | プリフェッチを使用しないことを強くおすすめします。代わりに データグループを使用することをおすすめします。 |
login_special_email |
なし | インスタンス全体 | その他のログイン メカニズム(Google、LDAP、SAML など)がインスタンスで有効になっている場合でも、ユーザーは従来のメールとパスワードの認証情報を使用してログインできます。これは、通常の認証システムに含まれていない可能性があるコンサルタントなどのユーザーに便利です。 |
embed_browse_spaces |
なし | インスタンス全体 NN | 署名付き埋め込みでコンテンツ ブラウザを有効にします。署名付き埋め込みを使用している場合は、save_content 権限を持つユーザーにこの権限を付与する必要があります。 |
embed_save_shared_space |
なし | インスタンス全体 | save_content 権限を持つユーザーが、組織の共有フォルダがある場合に、そこにコンテンツを保存することを許可します。save_content 権限はあるものの embed_save_shared_space 権限はないユーザーは、個人用埋め込みフォルダにのみコンテンツを保存できます。 |
manage_embed_settings |
なし | インスタンス全体 CM | 24.0 で追加 ユーザーは組み込みページの[プラットフォーム]セクション管理コンソールを編集できます。 |
manage_modelsets_restricted |
なし | モデルに固有の CM |
ベータ版 24.16
ユーザーは、ロールに含まれているモデルセットにモデルを追加または削除できます。注: この権限とモデルセットが予期しない方法で影響し合う場合があります。ユーザーに manage_modelsets_restricted 権限を付与し、プロジェクトの一部である任意のモデルにアクセスできるようにすると、ユーザーは、アクセス権を持つモデルセットにそのプロジェクト内のすべてのモデルを割り当てることができます。 |
manage_schedules |
なし | モデルに固有の CM | ベータ版 24.12 ユーザーは指定したモデルのスケジュールページでスケジュールを再割り当ておよび削除できます。この権限では、ユーザーは [スケジュール履歴] ページを表示することはできません。 |
manage_themes |
なし | インスタンス全体 CM | 24.0 で追加 ユーザーはテーマページの[プラットフォーム]セクション管理コンソールでテーマ設定を構成できます。この権限は、インスタンスでテーマが有効になっている場合にのみ利用できます。 |
manage_privatelabel |
なし | インスタンス全体 CM | 24.0 で追加 ユーザーは、[管理] メニューの [プラットフォーム] セクションにある [非公開ラベル] ページで非公開ラベル設定を構成できます。この権限は、インスタンスで非公開ラベルが有効になっている場合にのみ使用できます。 |
see_alerts |
なし | インスタンス全体 CM | ユーザーは [管理者] セクションで [アラート] と [アラートの履歴] ページにアクセスでき、Looker インスタンスのすべてのアラートを表示できます。ユーザーは、[アラート] 管理ページから、他のユーザーが所有するアラートの表示、フォロー、編集、自己割り当て、無効化を行えます。アラートのビジュアリゼーション([アラートの詳細] ページにある)から表示または探索する、またはそのダッシュボードに移動するには、ユーザーにアラートの元となるコンテンツへのアクセス権が付与されている必要があります。この権限では、ユーザーはダッシュボードタイルからアラートを表示、作成、フォロー、削除することはできません。 |
see_queries |
なし | インスタンス全体 CM | ユーザは、Looker の [管理者] セクションで [クエリ] ページを表示できます。この権限を付与されても、ユーザーは [クエリ] ページでクエリを終了することはできません。 |
see_logs |
なし | インスタンス全体 CM | ユーザーは、Looker の [管理者] セクションで [ログ] ページを表示できます。 |
see_users |
なし | インスタンス全体 CM | ユーザーは Looker の [管理者] セクションで [ユーザー] ページを表示できます(ただし [グループ] ページは表示できません)。この権限を付与されても、ユーザーは新しいユーザーの作成、API資格情報の表示や作成、パスワードのリセット、ユーザーや権限の変更を行うことはできません。この権限を付与されたユーザーは、クローズド システムであっても、インスタンスにあるすべてのグループのすべてのユーザーを表示できます。ユーザーはすべてのグループ名とロール名を表示できますが、これらは一部の会社では機密情報として扱われます。 |
sudo |
see_users |
インスタンス全体 CM | ユーザーは、[ユーザー] ページの [Sudo] ボタンをクリックして、別のユーザーの sudo を操作できます(つまり、別のユーザーの権限として機能し権限を一時的に継承します)。sudo 権限では、管理者以外のユーザーが sudo を管理者として使用することはできませんが、管理者以外のユーザーが sudo を使用して権限を昇格させる可能性があるため、注意が必要です。 |
manage_groups |
see_users |
インスタンス全体 CM | 24.0 で追加 ユーザーは、[管理] メニューの [ユーザー] セクションの [グループ] ページでグループを作成、編集、削除できます。ただし、[管理者] ロールと関連付けられているグループを除きます。 |
manage_roles |
manage_groups |
インスタンス全体 CM | 24.0 で追加 ユーザーは、[管理] メニューの [ユーザー] セクションの [ロール] ページでロールを作成、編集、削除できます。ただし、[管理者] ロールを除きます。ただし、権限セットやモデルセットの作成、編集、削除は依然としてできません。 |
manage_user_attributes |
see_users |
インスタンス全体 CM | 24.0 で追加 ユーザーは、 [管理] メニューの [ユーザー] セクションにある [ユーザー属性] ページを作成、編集、追加できます。 |
see_schedules |
なし | インスタンス全体 CM | ユーザーは、Looker の [管理者] パネルから、[スケジュール] と [スケジュール履歴] を表示できます。この権限を付与されても、ユーザーは[スケジュール] ページと [スケジュール履歴] ページで他のユーザーのスケジュールを再割り当て、編集、削除できません。 |
see_pdts |
なし | 接続固有 | ユーザーは、Looker の [管理者] セクションの [永続的な派生テーブル] ページを表示し、データアクセスできるモデルに関連付けられた接続を使用するプロジェクトからの PDT に関する情報を確認できます。この権限は、新規 Looker インストール用の デベロッパー のデフォルトの権限セットに含まれています。この権限は、Looker インスタンス全体や、個々のモデルやモデルセットではなく、ユーザーがデータアクセスできる接続に適用されます。 |
see_datagroups |
なし | モデルに固有 | ユーザーは、Looker の [管理者] セクションで [データグループ] ページを表示できます。ユーザーは、データアクセスできるモデルで定義されたデータグループについて、接続名、モデル名、その他の情報を表示できます。この権限は、Looker インスタンス全体や接続へのアクセスではなく、個々のモデルやモデルセットに適用されます。 |
update_datagroups |
see_datagroups |
モデルに固有 | ユーザーは、Looker の [管理者] セクションの [データグループ] ページで、データグループのトリガーやキャッシュのリセットを行うことができます。see_datagroups 権限を持つユーザーと同様に、update_datagroups 権限を持つユーザーは、データアクセスできるモデルを使用するプロジェクトで定義されたデータグループを表示できます。この権限は、Looker インスタンス全体や接続へのアクセスではなく、個々のモデルやモデルセットに適用されます。 |
see_system_activity |
なし | インスタンス全体 CM | ユーザーは、システム アクティビティの Explore とダッシュボード、および 内部の i__looker データベースにアクセスして、使用状況、履歴、および Looker インスタンスに関するその他のメタデータを確認できます。 |
mobile_app_access |
なし | インスタンス全体 NN | ユーザーは、Looker モバイルアプリを使用してモバイル デバイスでインスタンスにログインできます。ユーザーが Looker モバイルアプリにログインできるようにするには、Looker の管理者セクションの全般設定ページのモバイル アプリケーション アクセスオプションを最初に有効にする必要があります。mobile_app_access 権限は、新規または既存の権限セットに追加でき、Looker のデフォルトの権限セット全体の一部です。 |
モデルセット
モデルセットは、ユーザーまたはグループが表示できるデータと LookML フィールドを定義します。各モデルセットは、ユーザーまたはグループにアクセス権を付与する対象の LookML モデルをリストしたものです。モデルセットは次の2つの役割を果たすものとして考えることができます。
- モデルセットは、LookML内のどのモデルに権限が適用されるかを制御します(それらの権限がモデル固有である場合)。
- モデルセットは、ユーザーが見ることができるデータやLookMLフィールドを制限します(それぞれのモデルは特定のデータベース接続に接続され、特定のLookMLフィールドを含むため)。
モデルセットの作成
モデルセットの作成方法:
[ロール] ページの上部にある [新しいモデルセット] ボタンをクリックします。
Looker に [新しいモデルセット] ページが表示されます。新しいモデルセットの名前を入力します。
新しいモデルセットに含める必要があるモデルを選択します。
ページの下部にある [新規モデルセット] ボタンをクリックします。新しいモデルセットが、[ロール] ページの [モデルセット] セクションに表示されます。
保留中のプロジェクトに含まれるモデルは、新しいモデルセットページとモデルセットの編集ページのモデルリストに表示されます。
モデルを削除または名前変更しても、そのモデルを含むモデルセットは変更されません。モデルが削除されたり、名前が変更された場合、Looker 管理者も [モデルセットの編集] ページを使用して、関連付けられているモデルセットからそのモデル名を削除することをおすすめします。削除されたモデルの名前をモデルセットから削除すると、同じ名前の新しいモデルがそのモデルセットに意図せず含まれるのを防ぐことができます。
モデルの詳細については、モデル パラメータのドキュメント ページをご覧ください。
複数のモデルおよびモデルセットの作成
次の例は、複数のモデルセットを使用してデータへのアクセスを制限する方法を示しています。マーケティングとサポートという 2 つのチームがあるシナリオを考えてみましょう。この例では、これら 2 つのチームにモデル全体へのアクセス権がないため、チームごとに個別のモデルを作成します。データアクセスを分離するには、次の手順を行います。
- モデルを 2 つの新しいモデルにコピーします。
- 新しいモデルのうちの 1 つめには、マーケティング チームがアクセスできるビュー、フィールド、Explore のみを含めます。
- この新しいモデルのみが含まれるモデルセットをモデルチーム用に作成します。
- マーケティング チーム用の新しいロールを作成します。このロールには、この新しいモデルセットとマーケティング チームに対する適切な権限を含めます。
- この新しいロールをマーケティング チームのグループに割り当てます。
- 手順 2~5 を繰り返して、サポートチームの 2 つ目のモデルを構成します。
モデルセットの編集
モデルセットを作成したら、次の手順で編集します。
[ロール] ページで、編集するモデルセットの右側にある [編集] ボタンをクリックします。
Looker に [モデルセットの編集] ページが表示されます。必要に応じて、[名前] フィールドにモデルセットの新しい名前を入力します。
[モデル] セクションで、モデルセットに対してモデルを追加または削除します。
ページの下部にある [モデルセットの更新] ボタンをクリックします。
保留中のプロジェクトに含まれるモデルは、新しいモデルセットページとモデルセットの編集ページのモデルリストに表示されます。
モデルを削除または名前変更しても、そのモデルを含むモデルセットは変更されません。モデルが削除されたり、名前が変更された場合、Looker 管理者も [モデルセットの編集] ページを使用して、関連付けられているモデルセットからそのモデル名を削除することをおすすめします。削除されたモデルの名前をモデルセットから削除すると、同じ名前の新しいモデルがそのモデルセットに意図せず含まれるのを防ぐことができます。
モデルセットの削除
モデルセットを削除するには、[ロール] ページで、削除するモデルセットの右側にある [削除] をクリックします。