Looker でグループベースの権限を設定するのに苦労した話
はじめに
こんにちは、 Zaim でデータエンジニアをしている、 naoki85 です。
Zaim では BI ツールとして Looker を使用しています。
主なデータソースは BigQuery です。
さて、今回の記事は、グループベースの権限設定で少し苦労した話です。
本記事で伝えたいこと
最も伝えたいのは、グループベースの権限を管理したい場合は「クローズドシステム」を有効にするのがおすすめだ、ということです。
Looker のデフォルトでは All Users 権限にすべてのユーザーが所属しているうえ、至る所で All Users に対しアクセスが付与されています。
クローズドシステムという設定は、この All Users というグループを無効にし、各ユーザーには管理者が設定したグループを割り当てるようにするものです。
なおクローズドシステムを有効にするためには、Looker サポートに相談する必要があります。
クローズドシステムの設定するまでの経緯
他のグループの情報が見えてしまう
Looker の権限設定は別日に記事が出るようなので、ここでは Looker のドキュメントリンクのみ紹介します。
このドキュメントを読み、ぽちぽち設定しました。
確かに、許可したモデルのみ閲覧可能、許可したアクションだけ実行可能、などは確認できました。
ただ、フォルダ一覧に自分が所属するグループ、ロール以外のユーザーが表示され、違和感がありました。
はっきりと自分の想定と違うと分かったのは、ボードを作成して、そのアクセス権を設定しようとした時でした。
例え権限を絞ったユーザーだとしても、以下の手順で他のユーザーの情報が見えてしまいました。
ボードを作成する(この時点で、作成者には強い権限が付与される)。
ボードのアクセス管理のリンクを押下する。
グループまたはユーザーを追加するリンクを押下する。
本来見えてほしくないユーザーまで見える。
Looker サポートに連絡
さすがに何か設定がおかしいのではないかと思い、ドキュメントを確認していたところ、記事冒頭にも記載したページにたどり着きました。
そこでサポートに連絡し、有効にしてもらいました。
設定後は権限設定の見直し
設定後は All Users の権限がなくなってしまうので、ユーザーが所属するグループ、およびフォルダのアクセス権限の見直してください。
最後に
今回のお話は、クローズドシステムを有効にしたお話でした。
グループベースで権限管理をしたい組織ではまず、この設定を有効にしていくと良いかと思います。
Zaim では、Looker を使用してデータの見える化を進めております。
一緒に基盤整備を進めてくれる仲間を募集中なので、気になった方はこちらのリンクも見てください!