何かと自由度が高いLooker。
権限周りについても同様で、何をどうするとどうなるのかが複雑だったので整理しておく。
前提知識
権限によって制御されるものは3種類
- コンテンツアクセス(≒フォルダへのアクセス)
- 利用:フォルダに移動、フォルダ内のダッシュボード&ルックの一覧を表示が可能
- 管理: フォルダ内コンテンツの操作(ダッシュボードとルックの複製、移動、削除、名前変更)、フォルダ自体の管理(フォルダの名前変更、移動、削除)、他のユーザーとグループにフォルダへのアクセスを許可
- データアクセス:ModelやExplore、View等の単位でアクセスするための権限管理が可能
- 機能アクセス:データの表示やLookMLモデルの変更等、ユーザーがLookerで実行出来る「アクション」の種類を制御
デフォルト権限セットで出来ること抜粋(上位権限は下位権限を包含)
- Admin:すべて
- Developer:LookMLによるdevelop/deploy、SQL Runnerの利用
- User:Explore、LookML/SQLの閲覧、TableCalculationの作成、フォルダの作成(アクセスの管理権限が必要)
- Viewer:ダッシュボード等の閲覧、データのダウンロード
権限付与時の基本思想
- Lookerは自由度が高いものの、管理コストを考えるとできるだけシンプルに管理したい → デフォルト権限セットで管理
- データガバナンスは当面単一部署が請け負う
管理方法
- GroupにRoleを紐付け、アカウントをGroupに追加/削除する方法をとる
- terraformによる管理にするかSDKによる管理にするかは検討中
参考記事
https://dev.classmethod.jp/business/business-analytics/looker-access-control-and-permission-management/
https://dev.classmethod.jp/business/business-analytics/looker-role-permissionset-modelset-and-create-user/