Estas prácticas recomendadas reflejan las sugerencias de un equipo multidisciplinar de Lookers con experiencia. Estas estadísticas se basan en años de experiencia trabajando con clientes de Looker, desde la implementación hasta el éxito a largo plazo. Estas prácticas se han redactado para que funcionen en la mayoría de los casos y para la mayoría de los usuarios, pero debes aplicar tu mejor criterio a la hora de implementarlas.
Seguridad de la base de datos
Protege tu base de datos limitando el acceso de Looker al mínimo necesario:
- Configura el acceso seguro entre la aplicación Looker y tu base de datos. En la documentación de Looker se ofrecen varias recomendaciones, como añadir IPs de Looker a la lista de permitidas, cifrar las transmisiones SSL y conectarse a bases de datos a través de un túnel SSH.
- Configura los permisos de cuenta de base de datos más restrictivos para Looker que permitan a la aplicación realizar todas las funciones necesarias. Consulta la página de documentación Instrucciones de configuración de la base de datos para ver los requisitos de configuración específicos de cada base de datos.
Seguridad del producto
Limita el acceso de los usuarios a Looker a las funciones y los datos mínimos que necesiten:
- Configura la autenticación de usuarios. Puedes usar la opción nativa de nombre de usuario y contraseña de Looker o, preferiblemente, un mecanismo de autenticación más seguro, como 2FA, LDAP, OAuth de Google o SAML. Estos métodos se excluyen mutuamente y varían en cuanto al nivel de seguridad. Por ejemplo, Google OAuth permite que cualquier persona de tu dominio de correo inicie sesión en Looker.
- No publiques nunca credenciales de API. Las credenciales de la API deben almacenarse como variables de entorno siempre que sea posible y nunca deben compartirse por correo electrónico ni por chat de asistencia.
- Audita periódicamente los enlaces de acceso público que creen tus usuarios y restringe el permiso para crearlos según sea necesario. El Explore Actividad del sistema puede monitorizar los Looks públicos:
https://<instance_name.looker.com>/explore/system__activity/look?fields=look.id,look.title,look.public,user.name&f[look.public]=Yes&limit=500&query_timezone=America%2FLos_Angeles&vis=%7B%22type%22%3A%22table%22%7D&filter_config=%7B%22look.public%22%3A%5B%7B%22type%22%3A%22is%22%2C%22values%22%3A%5B%7B%22constant%22%3A%22Yes%22%7D%2C%7B%7D%5D%2C%22id%22%3A0%2C%22error%22%3Afalse%7D%5D%7D&dynamic_fields=%5B%5D&origin=share-expanded
- Configura los permisos de usuario y el acceso al contenido más restrictivos que permitan a los usuarios llevar a cabo su trabajo. Presta especial atención a quién tiene privilegios de administrador. Para obtener una explicación más detallada de estas funciones, consulta el artículo Protege tus carpetas. Una guía sobre el acceso al contenido en la página Prácticas recomendadas.
- Use el parámetro
access_filterjunto con los atributos de usuario para aplicar la seguridad de los datos a nivel de fila por usuario o grupo de usuarios. - Aprovecha
access_grants, junto con los atributos de usuario, para controlar el acceso a estructuras de LookML, como Exploraciones, combinaciones, vistas y campos, por usuario o grupo. - Usa conjuntos de modelos para aplicar la seguridad de los conjuntos de datos en el modelo de Looker. Los usuarios no podrán ver ningún contenido que no esté incluido en el conjunto de modelos que se les haya asignado.
- Siempre que sea posible, no asignes roles a los usuarios de forma individual. Los usuarios a los que se les asignan roles individuales y roles basados en la pertenencia a un grupo heredan todos los roles de las asignaciones individuales y de grupo. Esto puede provocar que los usuarios acumulen permisos que no deberían tener. La práctica recomendada es asignar roles basándose únicamente en la pertenencia a grupos siempre que sea posible.
- La mayoría de los usuarios deben tener permiso de lector en la carpeta compartida (excepto en las configuraciones de sistemas cerrados). De esta forma, los usuarios podrán ver el contenido de las carpetas compartidas y de las subcarpetas a las que tengan acceso. Si das a los usuarios el permiso de gestión de acceso y de edición en la carpeta compartida, conservarán esos derechos en todas las subcarpetas. Puede ser útil hacer los cambios en los niveles inferiores del árbol primero y, DESPUÉS, revocar el acceso en los niveles superiores.
Seguridad del contenido
Implementa el tipo de sistema de Looker adecuado en función de los controles de acceso que necesites admitir:
- Completamente abierto: no hay límites en cuanto a quién puede ver y editar elementos en el sistema. El grupo Todos los usuarios debe tener asignado el permiso Gestionar acceso y Editar en la carpeta raíz (llamada Compartido). Puede consultar más información sobre cómo habilitar un sistema de acceso completamente abierto en la página de documentación Configurar un sistema completamente abierto.
- Abrir con restricciones de contenido: el contenido debe estar protegido de alguna forma, ya sea para que solo determinadas personas puedan editarlo o para que cierto contenido sea completamente invisible para determinadas personas. Si es posible, planifica una jerarquía más plana, ya que es más fácil de gestionar que las carpetas anidadas. Para obtener más información sobre cómo configurar un sistema abierto con restricciones de contenido, consulta la página de documentación Configurar un sistema abierto con restricciones.
- Sistema cerrado: este sistema separa completamente el contenido de los grupos, lo que impide que los usuarios de diferentes grupos sepan de la existencia de los demás. Un sistema cerrado es la mejor opción para las instalaciones de Looker multiinquilino. Antes de elegir esta opción, lee la sección sobre configurar un sistema cerrado en la página de documentación Diseñar y configurar un sistema de niveles de acceso. Una vez que se habilita un sistema cerrado, es difícil cambiar el acceso a la gestión de carpetas. En esta página de documentación se ofrece más información sobre cómo habilitar una configuración para una instancia de Looker.
Consulta nuestra documentación para obtener más información sobre el control de acceso y la gestión de permisos de Looker o sobre cómo diseñar y configurar un sistema de niveles de acceso.