Praktik terbaik ini mencerminkan rekomendasi yang dibagikan oleh tim lintas fungsional yang terdiri dari Looker berpengalaman. Insight ini berasal dari pengalaman bertahun-tahun bekerja dengan pelanggan Looker, mulai dari penerapan hingga kesuksesan jangka panjang. Praktik ini ditulis agar dapat digunakan oleh sebagian besar pengguna dan situasi, tetapi Anda harus menggunakan penilaian terbaik saat menerapkannya.
Keamanan database
Amankan database Anda dengan membatasi Looker ke akses minimum yang diperlukan:
- Konfigurasikan akses aman antara aplikasi Looker dan database Anda. Dokumentasi Looker memberikan beberapa rekomendasi, termasuk menambahkan IP Looker ke daftar yang diizinkan, mengenkripsi transmisi SSL, dan terhubung ke database melalui tunnel SSH.
- Siapkan izin akun database yang paling dikunci untuk Looker yang masih akan mengizinkan aplikasi menjalankan semua fungsi yang diperlukan. Lihat halaman dokumentasi Petunjuk konfigurasi database untuk mengetahui persyaratan penyiapan khusus database.
Keamanan produk
Batasi akses pengguna ke Looker ke fungsi minimum dan akses data yang diperlukan setiap pengguna:
- Siapkan autentikasi pengguna, baik menggunakan opsi nama pengguna/sandi native Looker atau, sebaiknya, menggunakan mekanisme autentikasi yang lebih andal seperti 2FA, LDAP, Google OAuth, atau SAML. Metode ini bersifat eksklusif dan bervariasi dalam tingkat keamanan. Google Oauth, misalnya, memungkinkan siapa saja di domain email Anda untuk login ke Looker.
- Jangan pernah memposting kredensial API secara publik. Kredensial API harus disimpan sebagai variabel lingkungan jika memungkinkan, dan tidak boleh dibagikan melalui dukungan email atau chat.
- Lakukan audit secara rutin terhadap link akses publik yang dibuat pengguna Anda, dan batasi izin untuk membuatnya sesuai kebutuhan. Jelajah Aktivitas Sistem berikut dapat melacak Tampilan publik:
https://<instance_name.looker.com>/explore/system__activity/look?fields=look.id,look.title,look.public,user.name&f[look.public]=Yes&limit=500&query_timezone=America%2FLos_Angeles&vis=%7B%22type%22%3A%22table%22%7D&filter_config=%7B%22look.public%22%3A%5B%7B%22type%22%3A%22is%22%2C%22values%22%3A%5B%7B%22constant%22%3A%22Yes%22%7D%2C%7B%7D%5D%2C%22id%22%3A0%2C%22error%22%3Afalse%7D%5D%7D&dynamic_fields=%5B%5D&origin=share-expanded
- Siapkan izin pengguna dan akses konten yang paling ketat yang masih memungkinkan pengguna melakukan pekerjaan mereka, dengan memperhatikan secara khusus siapa yang memiliki hak istimewa admin. Untuk penjelasan yang lebih menyeluruh tentang fitur ini, lihat Mengamankan folder Anda. Halaman Praktik Terbaik Panduan akses konten.
- Gunakan parameter
access_filter, bersama dengan atribut pengguna, untuk menerapkan keamanan data tingkat baris menurut pengguna atau grup pengguna. - Manfaatkan
access_grants, bersama dengan atribut pengguna, untuk mengontrol akses ke struktur LookML seperti Jelajahi, join, tampilan, dan kolom menurut pengguna atau grup. - Gunakan set model untuk menerapkan keamanan set data dalam model Looker. Pengguna tidak akan dapat melihat konten apa pun di luar set model yang ditetapkan.
- Hindari menetapkan pengguna ke peran satu per satu jika memungkinkan. Pengguna yang diberi peran individu dan peran berdasarkan keanggotaan grup mewarisi semua peran dari penetapan individu dan grup. Hal ini dapat mengakibatkan pengguna mengumpulkan izin di luar yang seharusnya mereka miliki. Praktik terbaiknya adalah menetapkan peran hanya berdasarkan keanggotaan grup jika memungkinkan.
- Sebagian besar pengguna harus menjadi Pelihat folder Bersama (kecuali dalam penyiapan sistem tertutup). Tindakan ini memastikan bahwa pengguna akan dapat melihat konten di Folder bersama dan subfolder apa pun yang dapat mereka akses. Memberi pengguna izin Akses Kelola, Edit di folder Bersama berarti mereka juga akan mempertahankan hak tersebut dalam semua subfolder. Sebaiknya buat perubahan di bagian yang lebih rendah dalam hierarki terlebih dahulu, LALU cabut akses di bagian yang lebih tinggi.
Keamanan konten
Terapkan jenis sistem Looker yang sesuai berdasarkan kontrol akses yang perlu Anda dukung:
- Seluruhnya terbuka: Tidak ada batasan siapa yang dapat melihat dan mengedit item dalam sistem. Grup Semua Pengguna harus ditetapkan ke Kelola Akses, Edit dalam folder root (disebut Dibagikan). Informasi selengkapnya tentang cara mengaktifkan sistem akses yang sepenuhnya terbuka dapat ditemukan di halaman dokumentasi Mengonfigurasi sistem yang sepenuhnya terbuka.
- Buka dengan batasan konten: Konten harus dikunci dengan cara tertentu, baik agar hanya orang tertentu yang dapat mengedit konten tertentu, atau agar konten tertentu sepenuhnya tidak terlihat oleh orang tertentu. Jika memungkinkan, rencanakan hierarki yang lebih datar, karena lebih mudah dikelola daripada folder bertingkat dalam. Untuk detail selengkapnya tentang cara menyiapkan sistem terbuka dengan batasan konten, lihat halaman dokumentasi Mengonfigurasi sistem terbuka dengan batasan.
- Sistem tertutup: Sistem ini sepenuhnya memisahkan konten di seluruh grup, sehingga pengguna dari grup yang berbeda bahkan tidak mengetahui keberadaan grup lainnya. Sistem tertutup paling cocok untuk penginstalan Looker multi-tenant. Sebelum Anda memilih opsi ini, pastikan untuk membaca diskusi tentang mengonfigurasi sistem tertutup di halaman dokumentasi Mendesain dan mengonfigurasi sistem tingkat akses. Setelah sistem tertutup diaktifkan, akan sulit untuk mengubah akses pengelolaan folder. Halaman dokumentasi ini memberikan informasi selengkapnya tentang cara mengaktifkan penyiapan untuk instance Looker.
Lihat dokumentasi kami untuk mengetahui informasi selengkapnya tentang Kontrol akses dan pengelolaan izin Looker atau tentang Mendesain dan mengonfigurasi sistem tingkat akses.