Lookerの役割(ロール)ではGA4やGTMのような編集者や閲覧者などシンプルな区分けで用意されています。
Lookerがデフォルトで用意しているものとしては、GA4やGTMのように管理者、開発者、ユーザー、閲覧者のように4つに大きく分けられます。
ただLookerはこの4つに対してよりカスタマイズして権限を追加したり、削除したりすることもできたりするため、かなりカスタマイズができる点が特徴です。
GCPのようにソリューションごとに細かく設定できる感じで、Lookerでも同じようなことができたりします。
この4つのロールをカスタマイズすることができるので、そうなるとカスタマイズ性・柔軟性が高まりますが、より複雑性が増します。
ここではそんな複雑なLookerの権限周りについて自分なりにまとめてみましたので、説明できればと思います。
Lookerのデフォルトの役割(ロール)について
まず基本的なLookerのロールについて紹介します。
Lookerのロール
Lookerではさまざまなロールがあります。
- Admin
- Developer
- Standard User
- Viewer
契約の段階ではDeveloper、Standard User、Viewerのみですが、使えるロールにAdminが追加されます。
Adminは契約の段階で使用できるユーザー数を決めるのではなく、Developerの数の中でAdmin設定が可能になります。
例えば、Developerの契約数が10であれば、Admin/Developerに対して計10ユーザーに権限付与することが可能になります。
その10のうちであれば、AdminとDeveloperを振り分けることができます。
Developer2名にしてAdminを8名にすることもできれば、
Developer9名にしてAdminを1名にすることもできます。(Adminは全ての管理設定ができるので、最低1名は必要になります。(おそらく笑))
Lookerの各ロールの権限
そもそも役割(ロール)と権限について説明します。
Lookerでは役割をロール、権限をパーミッションと言ってます。
ロールとパーミッションはGCPと同じ意味なので、GCPに精通している方は飛ばして問題ないです!
ロールはあくまでユーザーの役割であって、その中でもそのユーザーはこういったことができる権利がパーミッションです。
例に挙げるとすると学校では、校長、先生という役割があります。
校長先生は、基本的に全ての先生に対して何かの助言をいうことができるという権限。
先生は、校長先生に対してというよりは生徒に教えることができるという権限。(もちろん校長先生が生徒に教えることもできるかもしれないですが)
このように役割はその人を示し、権限はその役割に対して行える行動になります。
Developer権限だと以下のように管理画面で「設定」が見れなくなるので、さまざまなLookerの設定であったり、スケジュール履歴、ユーザー管理権限、APIなどそういったものが全て見れなくなり、設定ができなくなります。
権限はもっと細かいですが、よく使われる重要なLookerの権限周りについて整理します。
| ロール | 具体的な権限 |
|---|---|
| Admin |
|
| Developer |
|
| Standard User |
|
まず第一にLookerのデフォルトの権限について説明します。
上でも記載した通り、Lookerでは
Admin
Developer
Standard User
Viewer
の4つがあります。
それぞれでできることとしては主に、
Admin:全ての管理画面の操作が可能になる。
Developer:左上の管理者メニューが見れなくなる。 → 管理者の部分はLookerのさまざまな設定(データソース設定やユーザー管理など)が可能だが、それができなくなる。データソースの接続もできなくなる。
Standard User:左上の開発メニューと一番下のDeveloper Modeが見れなくなる。 → 開発ができないので、LookMLにアクセスもできなくなる。
Viewer:ダッシュボード作成等もできない。閲覧するだけ。
となります。
LookerはGCPと同じように、
Admin(役割)にはAdminが行える行動(権限)があって、
Developer(役割)にはDeveloperが行える行動(権限)があるということです。
そして、この役割に対して権限を色々とカスタマイズすることがLookerではできます。
ダッシュボードをPCにダウンロードできないようにしたい場合は、without_downloadというpermissionをチェックアウトすれば良い。
このようにセキュリティ観点的にダウンロードできないようにするなどを、制限できたりできます。
もちろんカスタマイズをすることも良いと思いますが、かなり管理が大変になります。
さらにそのテストなども行わないといけないので、できる限りはデフォルトのロールを使うことをお勧めします!
各ロールのデフォルトの権限について
Looker
Developerは以下のような権限がデフォルトで付与されています。
Standard Userでは以下のような権限がデフォルトで付与されています。
デフォルトではStandard UserではDevelopの部分がDisableになっていて、このユーザーにはLookMLプロジェクトの開発ができない状態になっています。。
ですがStandard UserにDevelop権限付与することができ、開発させることができます。
でもそうしたら、DeveloperとStandard Userって何が違うの?って話になりますが、
以下の条件から、DeveloperはDevelop権限がある場合、そのユーザーはDeveloperとして数えられてしまうので、Standard UserからDeveloperに昇格してしまうので、要注意です。金額に跳ね上がります。
参考リンク:LookerのDeveloper昇格条件
Lookerの権限一覧は以下で確認できます。
https://cloud.google.com/looker/docs/admin-panel-users-roles?hl=ja