はじめに

こんにちは、 Zaim でデータエンジニアをしている、 naoki85 です。
Zaim では BI ツールとして Looker を使用しています。
主なデータソースは BigQuery です。

さて、今回の記事は、グループベースの権限設定で少し苦労した話です。

本記事で伝えたいこと

最も伝えたいのは、グループベースの権限を管理したい場合は「クローズドシステム」を有効にするのがおすすめだ、ということです。
Looker のデフォルトでは All Users 権限にすべてのユーザーが所属しているうえ、至る所で All Users に対しアクセスが付与されています。
クローズドシステムという設定は、この All Users というグループを無効にし、各ユーザーには管理者が設定したグループを割り当てるようにするものです。

なおクローズドシステムを有効にするためには、Looker サポートに相談する必要があります。

クローズドシステムの設定するまでの経緯

他のグループの情報が見えてしまう

Looker の権限設定は別日に記事が出るようなので、ここでは Looker のドキュメントリンクのみ紹介します。

このドキュメントを読み、ぽちぽち設定しました。
確かに、許可したモデルのみ閲覧可能、許可したアクションだけ実行可能、などは確認できました。
ただ、フォルダ一覧に自分が所属するグループ、ロール以外のユーザーが表示され、違和感がありました。

はっきりと自分の想定と違うと分かったのは、ボードを作成して、そのアクセス権を設定しようとした時でした。
例え権限を絞ったユーザーだとしても、以下の手順で他のユーザーの情報が見えてしまいました。

1. ボードを作成する（この時点で、作成者には強い権限が付与される）。

2. ボードのアクセス管理のリンクを押下する。

3. グループまたはユーザーを追加するリンクを押下する。

4. 本来見えてほしくないユーザーまで見える。

Looker サポートに連絡

さすがに何か設定がおかしいのではないかと思い、ドキュメントを確認していたところ、記事冒頭にも記載したページにたどり着きました。

そこでサポートに連絡し、有効にしてもらいました。

設定後は権限設定の見直し

設定後は All Users の権限がなくなってしまうので、ユーザーが所属するグループ、およびフォルダのアクセス権限の見直してください。

最後に

今回のお話は、クローズドシステムを有効にしたお話でした。
グループベースで権限管理をしたい組織ではまず、この設定を有効にしていくと良いかと思います。

Zaim では、Looker を使用してデータの見える化を進めております。
一緒に基盤整備を進めてくれる仲間を募集中なので、気になった方はこちらのリンクも見てください！