Looker(Google Cloud コア)は、Identity and Access Management(IAM)を使用して、一連の IAM ロールでユーザーと管理者のアクセス権をプロビジョニングします。Google Cloud IAM の詳細については、IAM のドキュメントをご覧ください。
Identity and Access Management(IAM)とは
IAM を使用すると、Google Cloud プロジェクトのリソースにアクセスできるユーザーを制御できます。IAM を使用すると、セキュリティに関する最小権限の原則を導入できるため、リソースに対する必要なアクセス権のみを付与できます。
IAM でのプリンシパルとは「誰」であるかを指します。プリンシパルは個々のユーザー、グループ、または Workspace ドメインになります。プリンシパルにはロールが付与されます。プリンシパルには、Looker(Google Cloud コア)と Google Cloud を使用してより全般的な操作を行える権限が付与されます。各ロールは、1 つ以上の権限をまとめたものです。権限は IAM の基本単位です。各権限により、プリンシパルは特定のアクションを実行できます。
たとえば、looker.instances.login 権限を持つプリンシパルは Looker(Google Cloud コア)インスタンスにログインできます。この権限は、Looker 管理者ロール(roles/looker.admin)や Looker インスタンス ユーザーのロール(roles/looker.instanceUser)など、いくつかの事前定義ロールに含まれています。
必要なロール
Looker(Google Cloud コア)IAM ロールの割り当てに必要な権限を取得するには、プロジェクト IAM 管理者(roles/resourcemanager.projectIamAdmin)IAM ロールをインスタンスが作成されたプロジェクトに付与するよう管理者に依頼してください。ロールの付与の詳細については、アクセスの管理をご覧ください。
必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。
IAM ロールと Looker ロール
Looker(Google Cloud コア)の権限は、IAM ロールと Looker ロールの 2 種類のロールで付与されます。
Looker(Google Cloud コア)IAM ロール: この種のロールでは、次の権限が付与されます。
- Looker(Google Cloud コア)に関する Google Cloud コンソール内のユーザー機能
OAuth と組み合わせて使用すると、次の機能も管理されます。
- ユーザーが Looker(Google Cloud コア)インスタンスにログインできる権限
- ユーザーが Looker(Google Cloud コア)インスタンスにログインすると付与されるデフォルトの Looker ロール
IAM ロールを付与する方法については、IAM のドキュメントをご覧ください。
Looker の役割: この種類のロールは、Looker(Google Cloud コア)インスタンスにログインした後ユーザーが行える操作を管理します。Looker ロールの付与方法については、ロールとグループのドキュメント ページをご覧ください。
Looker(Google Cloud コア)インスタンス内で割り当てられる Looker ロールは、IAM によって付与されるデフォルトの Looker ロールをオーバーライドします。
Looker(Google Cloud コア)の IAM ロール
Looker(Google Cloud コア)のユーザーは、次の 3 つの事前定義ロールが使用できます。これらのロールは Google Cloud プロジェクト レベルで付与され、Google Cloud プロジェクト内のすべての Looker(Google Cloud コア)インスタンスに対して均一にアクセスを制御します。
| ロール名 | 権限 |
|---|---|
Looker 閲覧者
すべての Looker(Google Cloud コア)リソースへの読み取り専用アクセス権。 |
looker.backups.get looker.backups.list looker.instances.get looker.instances.list looker.instances.login looker.locations.get looker.locations.list looker.operations.get looker.operations.list resourcemanager.projects.get resourcemanager.projects.list |
Looker インスタンス ユーザー
Looker(Google Cloud コア)インスタンスにログインするためのアクセス権。 |
looker.instances.get looker.instances.login resourcemanager.projects.get resourcemanager.projects.list |
Looker 管理者
すべての Looker(Google Cloud コア)リソースに対する完全アクセス権。 |
looker.backups.create looker.backups.delete looker.backups.get looker.backups.list looker.instances.create looker.instances.delete looker.instances.export looker.instances.get looker.instances.import looker.instances.list looker.instances.login looker.instances.update looker.locations.get looker.locations.list looker.operations.cancel looker.operations.delete looker.operations.get looker.operations.list resourcemanager.projects.get resourcemanager.projects.list |
少なくとも 1 つのプリンシパルが Looker 管理者(roles/looker.admin)IAM ロールを持っている必要があります。
必要な権限が事前定義された役割で提供されていない場合は、カスタムのロールを独自に作成することもできます。
次のステップ
- Looker(Google Cloud コア)ユーザー認証に Google OAuth を使用する
- Looker(Google Cloud コア)内のユーザーを管理する
- Looker(Google Cloud コア)インスタンスを構成する
- Looker(Google Cloud コア)管理設定
- Google Cloud コンソールから Looker(Google Cloud コア)インスタンスを管理する