管理者設定 - ロール

ロール権限セットモデルセットを一緒に使用して、ユーザーが実行できる操作と表示できる内容を管理します。[管理者] パネルの [ユーザー] セクションの [ロール] ページでは、ロール、権限セット、モデルセットを表示、構成、割り当てできます。

右上の検索ボックスに検索語を入力して Enter キーを押すことで、特定のロール、権限セット、モデルセットを検索できます。

定義

  • ロールは、Looker の特定のモデルのセットに対して、ユーザーまたはグループに付与される権限を定義します。1つの権限セットを1つのモデルセットと組み合わせて、ロールを作成します。
  • 権限セットは、ユーザーまたはグループが実行できることを定義します。ユーザーまたはグループに割り当てる権限の組み合わせを選択します。有効に機能するには、ロールの一部として使用する必要があります。
  • モデルセットは、ユーザーまたはグループが表示できるデータと LookML フィールドを定義します。ユーザーまたはグループがアクセスできるようにするLookMLモデルの組み合わせを選択します。有効に機能するには、ロールの一部として使用する必要があります。

役割の割り当て

ロールは、1つの権限セットと1つのモデルセットを組み合わせたものです。組織内では、ユーザーやグループ(管理者、Looker デベロッパー、財務チームなど)の種類に基づいて名前をつけるのが一般的ですが、独自の命名規則に厳密に従うこともできます。

Lookerでは1人のユーザーが複数のロールを持つことができます。これは、会社で複数の役割を担うユーザーがいる場合や、モデルへのアクセスの複雑なシステムを作成する場合に便利です。

ロールの作成、編集、削除

ネットワークを作成するには、こちらの手順をご参照ください。

  1. [ロール] ページの上部にある [新しいロール] ボタンをクリックします。

  2. Looker に [新しいロール] ページが表示されます。ここで、次の設定を行うことができます。

    • 名前: ロールの名前を入力します。
    • 権限セット: ロールに関連付ける権限セットを選択します。
    • モデルセット: ロールに関連付けるモデルセットを選択します。
    • グループ: 必要に応じて、ロールを割り当てるグループを 1 つ以上選択します。
    • ユーザー: 必要に応じて、ロールを割り当てるユーザーを 1 人以上選択します。

  3. 必要なロールを構成したら、ページ下部にある [新しいロール] ボタンをクリックします。

ロールを作成した後は、[ロール] ページでロールの右側にある [編集] ボタンをクリックして編集できます。[Edit] をクリックすると、そのロールの [Edit Role] ページが表示され、名前、権限セット、モデルセット、グループまたはユーザーを編集できます。

ロールを削除するには、[ロール] ページでロールの右側にある [削除] ボタンをクリックします。

デフォルトの役割

Looker の新規インスタンスには、以下のデフォルト ロールが作成されます。各ロールには、同じ名前のデフォルト権限セットが含まれます。

  • 管理者
  • デベロッパー
  • ユーザー
  • 閲覧者

権限セット

権限セットでは、ユーザーまたはグループが実行できることを定義します。管理者は、Looker のデフォルトの権限セットを使用するか、権限の依存関係を考慮して元の権限セットを作成できます。

使用可能なすべての権限と権限の種類の詳細については、権限のリストをご覧ください。

デフォルト権限セット

新しいインストールについては、いくつかのデフォルト権限セットがLookerに用意されており、最初はこれらの権限セットから始めることができます。

権限セット 含まれる権限
管理者 すべての権限
デベロッパー access_data, can_create_forecast, clear_cache_refresh, create_custom_fields, create_table_calculations, deploy, develop, download_without_limit, explore, manage_spaces, mobile_app_access, save_content, schedule_look_emails, see_drill_overlay, see_lookml, see_lookml_dashboards,see_looks, see_pdts, see_sql, see_user_dashboards, send_to_integration, use_sql_runner

: see_pdts 権限は、Looker 21.18 以降で作成された Looker インストールのみのデベロッパーのデフォルトの権限に含まれます。see_pdts 権限が、インスタンスのデベロッパー権限セットに含まれているかどうかを確認するには、Looker UI の [管理者] パネルの [ロール] ページに移動します。
LookML Dashboardユーザー access_data, clear_cache_refresh, mobile_app_access, see_lookml_dashboards, send_to_integration
ユーザー access_data, can_create_forecast, clear_cache_refresh, create_custom_fields, create_table_calculations, download_without_limit, explore, manage_spaces, mobile_app_access, save_content, schedule_look_emails, see_drill_overlay, see_lookml, see_lookml_dashboards, see_looks, see_sql, see_user_dashboards, send_to_integration
LookML を表示できないユーザー access_data, can_create_forecast, clear_cache_refresh, create_custom_fields, create_table_calculations, download_without_limit, explore, manage_spaces, mobile_app_access, save_content, schedule_look_emails, see_lookml_dashboards, see_looks, see_user_dashboards, send_to_integration
閲覧者 access_data, clear_cache_refresh, download_without_limit, mobile_app_access, schedule_look_emails, see_drill_overlay, see_lookml_dashboards, see_looks, see_user_dashboards

これらの権限セットは、新しいロールを作成するときにオプションとして表示されます。いずれかの権限セットを選択すると、それに含まれる権限のリストが表示されます。

管理者権限セットを編集または削除したり、ロールに割り当てたりすることはできません。これは、管理者ロールにのみ割り当てられ、編集や削除もできません。管理者権限セットをユーザーまたはグループに付与する唯一の方法は、そのユーザーまたはグループに管理者ロールを追加することです。

権限セットの作成

権限セットを作成するには、[ロール] ページの上部にある [新しい権限セット] ボタンをクリックします。権限セットの名前を入力し、それに含める必要がある権限を選択できるページが表示されます。必要なセットを構成したら、ページ下部にある [新しい権限セット] ボタンをクリックします。

権限セットを作成した後で編集または削除するには、[ロール] ページの権限セットの右にある [編集] または [削除] ボタンをクリックします。

権限と依存関係

権限の中には、適切に機能するために他の権限に依存するものがあります。例えば、当然のことながら、LookMLで開発を行うユーザーはまずLookMLを表示できる必要があります。

権限セットを作成する際には、インデントされたリストに使用可能な権限が表示されます。権限が別の(親)権限の下にインデントされて表示されている場合、最初に親権限を選択する必要があります。権限リストは次のようになります。

☑️ access_data
  ☑️ see_lookml_dashboards
  ☑️ see_looks
    ☑️ see_user_dashboards

この例では、Looker ではインデントを使用して次のことを示します。

  • access_data 権限はいつでも選択できます。
  • see_lookml_dashboards 権限と see_looks 権限を付与するには、最初に access_data 権限を選択する必要があります。
  • Thesee_user_dashboards権限はsee_looks権限に依存し、同様にaccess_data権限に依存します。

子権限を選択するには、その前に親権限を選択する必要があります。

権限とLookerライセンス

Lookerライセンスでは、ユーザーは次の3タイプに分類されます。

  • 開発者(管理者)
  • 標準(製作者)
  • 閲覧者

ユーザーに与えられた権限によって、当該Lookerライセンスにおけるそのユーザーの分類が決まります。

権限リスト

次の権限は、モデルセットと予期しない方法で影響し合う場合があります。

Looker の IDE では、1つのプロジェクトに複数のモデルファイルを含めることができます。ユーザーに develop または see_lookml 権限を割り当て、そのユーザーにプロジェクトの一部である任意のモデルの閲覧を許可すると、そのユーザーはそのプロジェクト内のすべてのモデルに対して LookML を開発または表示できるようになります。ただし、許可されていないモデルをクエリすることはできません。

ユーザーに manage_models 権限を割り当てると、ユーザーはインスタンス内のすべてのプロジェクトに含まれるすべてのモデルにアクセスできるようになります。

ユーザーに manage_modelsets_restricted 権限を割り当てると、ユーザーはアクセス権を持つプロジェクト内の任意のモデルを割り当てることができます。

ユーザーに manage_project_connections_restricted または manage_project_connections 権限を割り当てると、ユーザーはモデルセットに含まれるプロジェクトに対して、プロジェクト スコープの接続を表示、編集、作成できます。

権限は次の3つのタイプのいずれかに分類されます。

  • モデル固有: このタイプの権限は、同じロールに含まれるモデルセットにのみ適用されます。この権限は、Lookerインスタンス全体ではなく、個々のモデルまたはモデルセットに適用されます。
  • 接続固有: このタイプの権限は、接続レベルで適用されます。このタイプの権限を持つユーザーは、データアクセスのあるモデルに関連付けられた接続を使用する [管理者] パネルにページのコンテンツが表示されます。これは、データアクセス権限がない別のモデルでその接続が使用されている場合でも同様です。
  • インスタンス全体: このタイプの権限は、Looker インスタンス全体に適用され、次の 3 つのタイプがあります。
    • NN = コンテンツ アクセスなし、メニュー アクセスなし: これらの権限により、ユーザーは Looker インスタンス全体で特定の機能を実行できますが、ユーザーのロールのモデルセットに含まれていないモデルに基づくコンテンツにアクセスすることはできません。
    • CN = コンテンツ アクセス、メニュー アクセスなし: これらの権限により、ユーザーは Looker インスタンス全体でコンテンツとクエリ情報にアクセスできます。ユーザーのロールのモデルセットに含まれていないモデルに基づくコンテンツとクエリにもアクセスできます。
    • CM = コンテンツ アクセス、メニュー アクセス: これらの権限により、管理者メニューの一部が管理者以外のユーザーに公開され、ユーザーのロールのモデルセットに含まれていないモデルに基づくコンテンツとクエリに関する情報がユーザーに表示されるようになります。

次のリストは、Looker で利用できるすべての権限について、[管理者] セクションの [新しい権限セット] ページに表示される順に説明します。

権限 依存関係 タイプ 定義
access_data なし モデルに固有 ユーザーは Looker のデータにアクセスできますが、管理者が指定したデータにのみアクセスできます。この権限は、ほぼすべての Looker 関数に必要です。

この権限を持つユーザーは、特定のプロジェクトにある任意のモデルへのアクセス権が付与されると、そのプロジェクトの [データ] セクション内の任意のファイル(JSON カスタムマップ ファイルなど)にアクセスできます。
see_lookml_dashboards access_data モデルに固有 ユーザーは、すべての LookML ダッシュボードが格納されている、LookML Dashboards のフォルダを表示できます。ダッシュボードを探索するには、ユーザーは関連するモデルに対する explore 権限が必要です。develop 権限もあるユーザーは、LookML ダッシュボードを作成できます。
see_looks access_data モデルに固有 ユーザーは、フォルダ内に保存済みの Look(ダッシュボードを除く)を表示できます。ユーザーがこれらの Look を探索するには、関連するモデルに対する explore 権限が必要です。フォルダで Look を表示するには、ユーザーは表示コンテンツ アクセス レベルも必要になります。
see_user_dashboards see_looks モデルに固有 ユーザーはフォルダ内のユーザー定義のダッシュボードを表示できますが、ダッシュボードを探索するには、関連するモデルに対する explore 権限が必要です。フォルダでダッシュボードを表示するには、ユーザーは表示コンテンツ アクセスも必要です。フォルダに対する save_dashboards 権限とアクセスの管理、編集のコンテンツ アクセスの両方を持つユーザーは、そのフォルダにユーザー定義のダッシュボードを作成できます。
explore see_looks モデルに固有 ユーザーは、Explore ページにアクセスして使用し、Look とダッシュボードを生成できます。この権限がないユーザーは、保存済みダッシュボードの表示のみ可能です(see_lookml_dashboards または see_user_dashboards が付与されている場合)。
create_table_calculations explore インスタンス全体 NN ユーザーは、表計算を表示、編集、追加できます。
create_custom_fields explore インスタンス全体 NN ユーザーはカスタム フィールドを表示、編集、追加できます。explore 権限のみを持つユーザーは、カスタムフィールドの表示のみ可能です。
can_create_forecast explore インスタンス全体 NN ユーザーは、ビジュアリゼーションで予測を作成および編集できます。この権限のないユーザーは、アクセス権のあるコンテンツ内の既存の予測の表示のみ可能です。
can_override_vis_config explore インスタンス全体 NN ユーザーはグラフ構成エディタにアクセスできます。このエディタでは、ビジュアリゼーションの Highchart API JSON 値の変更や、ビジュアリゼーションの外観と形式のカスタマイズができます。
save_content see_looks インスタンス全体 NN この権限は、save_dashboardssave_lookscreate_public_looks の親権限です。この権限は、save_dashboards または save_looks で付与する必要があります。
save_dashboards save_content インスタンス全体 NN 24.4 で追加 ユーザーはダッシュボードを保存、編集できます。ダッシュボードから探索するには、ユーザーは関連するモデルに対する explore 権限が必要です。ユーザーがコンテンツをダウンロードするには、download_with_limit 権限または download_without_limit 権限、あるいは両方が必要です。
save_looks save_content インスタンス全体 NN 24.4 で追加 ユーザーは Look を保存、編集できます。ユーザーがこれらの Look から探索するには、関連するモデルに対する explore 権限が必要です。ユーザーがコンテンツをダウンロードするには、download_with_limit 権限または download_without_limit 権限、あるいは両方が必要です。
create_public_looks save_content モデルに固有 ユーザーは、保存済みの Look を一般公開としてマークできます。これにより、その Look へのアクセスを許可する URL が認証なしで生成されます。
download_with_limit see_looks モデルに固有 ユーザーは、クエリを(CSV、Excel などの形式で)ダウンロードおよびスケジュール設定できますが、インスタンスでの大規模なダウンロードによるメモリの問題を防ぐために、5,000 以下の行制限を指定する必要があります。
download_without_limit see_looks モデルに固有 download_with_limit と同じですが、ユーザーが行数制限を指定する必要はありません。クエリの種類によってはすべての結果をダウンロードまたはスケジュール設定するのにかなりのメモリが必要になる場合があり、パフォーマンスの問題が発生したり、さらには Looker インスタンスがクラッシュしたりすることもあります。
schedule_look_emails see_looks モデルに固有 ユーザーは、ビジュアリゼーションを使用して、メールへのデータアクセスがある宛先に Looks、ダッシュボード、クエリを配信できます。ユーザーは、データグループがトリガーされ、キャッシュを管理し、関連する PDT が再構築した後に、配信が行われるようスケジュールできます。

システム アクティビティ ダッシュボードを送信またはスケジュールするには、ユーザーはすべてのモデルへのアクセス権が必要です。

create_alerts 権限も持つユーザーは、メールアラート通知を送信できます。

Looker 管理者は、管理パネルの設定ページのメールドメインの許可リストで、Looker ユーザーと埋め込みユーザーがメールを配信できるメールドメインを管理できます。

この権限は、Lookerインスタンス全体ではなく、個々のモデルまたはモデルセットに適用されます。
schedule_external_look_emails schedule_look_emails モデルに固有 ユーザーは、ビジュアリゼーションを使用して、メールへのデータアクセスがある宛先に Looks、ダッシュボード、クエリを配信できます。ユーザーは、データグループがトリガーされ、キャッシュを管理し、関連する PDT が再構築した後に、配信が行われるようスケジュールできます。

システム アクティビティ ダッシュボードを送信またはスケジュールするには、ユーザーはすべてのモデルへのアクセス権が必要です。

create_alerts 権限も持つユーザーは、メールアラート通知を送信できます。

ユーザーは、管理パネルの設定ページのメールドメインの許可リストに許可リストに登録されたメール ドメインが含まれているかどうかに関係なく、任意のドメインをもつメールアドレスに、コンテンツ配信またはアラート通知をメールできます。

この権限は、Lookerインスタンス全体ではなく、個々のモデルまたはモデルセットに適用されます。
create_alerts see_looks インスタンス全体 NN ダッシュボード タイルから、アラートをcreate複製、削除できます。他のユーザーが [一般公開] とマークしたアラートを表示および複製できます。Slack通知を送るダッシュボードタイルアラートが表示されるは、ユーザーはSlackにログインしていなければなりません。ユーザーは、[アラートの管理] ユーザーページで、所有するアラートを表示、編集、無効化、有効化できます。 メールアラート通知を送信するには、ユーザーに schedule_look_emails 権限または schedule_external_look_emails 権限が必要です。
follow_alerts see_looks インスタンス全体 NN ユーザーはアラートを表示してフォローできます。フォローしたアラート、または受信者としてリストに記載されているアラートは、[アラートを管理] ユーザー ページで確認できます。
send_to_s3 see_looks モデルに固有 ユーザーは、ビジュアリゼーションを使用して、Amazon S3 バケットへのデータアクセスがある宛先に、Look、ダッシュボード、クエリを配信できます。ユーザーは、データグループがトリガーされ、キャッシュを管理し、関連する PDT が再構築した後に、配信が行われるようスケジュールできます。

この権限は、Lookerインスタンス全体ではなく、個々のモデルまたはモデルセットに適用されます。
send_to_sftp see_looks モデルに固有 ユーザーは、ビジュアリゼーションを使用して、SFTP サーバーへのデータアクセスがある宛先に、Look、ダッシュボード、クエリを配信できます。ユーザーは、データグループがトリガーされ、キャッシュを管理し、関連する PDT が再構築した後に、配信が行われるようスケジュールできます。

この権限は、Lookerインスタンス全体ではなく、個々のモデルまたはモデルセットに適用されます。
send_outgoing_webhook see_looks モデルに固有 ユーザーは、ビジュアリゼーションを使用して、Webhook への