役割ベースのアクセス制御¶
役割ベースのアクセス制御(RBAC)では、指定された特権を持つユーザーの役割を割り当てることにより、DataRobotアプリケーションへのアクセスを制御します。役割ベースの権限と役割間の関係により、ユーザーがアプリケーションを使用する特定の方法に適切な権限を簡単に割り当てることができます。
役割は、ユーザー権限で特定のユーザーに割り当てることや、グループ権限でグループ内のすべてのメンバーに割り当てることができます。割り当てられた役割は、アプリケーションの使用時にユーザーに表示される項目およびユーザーがアクセスできるオブジェクトの両方を制御します。RBACは加算方式であるため、ユーザーのアクセス許可は、ユーザーおよびグループレベルで設定されたすべてのアクセス許可の合計になります。次の役割を割り当てることができます。
- データサイエンティスト
- 閲覧者
- MLOps管理者
- アプリコンシューマー
- アプリ管理者
- プロジェクト管理者
- 予測のみ
- データ管理者
以下のオブジェクトも、DataRobotアプリケーションでRBACフレームワークを使用します。
- プロジェクト
- デプロイ
- データベース接続
- データセット
- データセットメタデータ
- カスタムモデルおよび環境
- 実行環境
- AIアプリケーション
- モデルパッケージ
このセクションでは、役割ベースのアクセス制御で各役割に適用されるアクセス許可について説明します。
アクセスの階層¶
各役割(=ロール)には、アプリケーション内で使用可能なさまざまなオブジェクトタイプに対する異なるレベルのアクセスが付与されます。
-
オブジェクトへの読み取りアクセスを持つユーザーは、アプリケーションの該当領域にアクセスして表示できますが、これらのオブジェクトを作成することはできません。
-
特定のオブジェクトタイプへの書き込みアクセスがあるユーザーは、そのアプリケーション領域でオブジェクトを作成できます。管理者権限以外に、書き込みアクセスに適用される制限はありません。
-
管理アクセスを持つユーザーは、そのユーザーの組織に属する特定のタイプのすべてのオブジェクトにアクセスできます。たとえば、プロジェクトへの管理者アクセス権を持っているユーザーは、組織内で作成されたすべてのプロジェクトの表示と編集を行うことができます。
-
アクセス許可のないユーザーは、該当するオブジェクトタイプにアクセスすることができません。これは、特定のアクセス許可に対して表示される赤い「X」ラベルで示されます。アプリケーションの該当する部分にアクセスすることや、そのタイプのオブジェクトを作成すること、およびそのタイプのオブジェクトにアクセスすることはできません。
データサイエンティスト¶
アクセス: AutoMLの使用とカスタムまたはリモートモデルの作成の両方によってプラットフォームでモデルを構築または追加できます。
注意: 運用システムに障害を及ぼすアクションは実行できません。このタイプのユーザーは、AIアプリケーションを構築することもできます。
閲覧者¶
アクセス: アクセスできるシステム全体のオブジェクトを表示できますが、データセットの表示以上のアクションは実行できません。
MLOps管理者¶
アクセス: システム上のすべてのMLOpsオブジェクト(デプロイ、モデルパッケージ、カスタムモデル、カスタム環境)にアクセスできます。
用途: 組織で作成されたMLOpsオブジェクトの使用状況とアクティビティのデバッグとレポート。
アプリコンシューマー¶
アクセス: 共有されているDataRobot AIを利用したアプリケーションを利用してビジネス上の意思決定を行うことができます。
アプリ管理者¶
アクセス: システム全体で作成されるすべてのAIアプリケーションに管理者権限でアクセスできます。
用途: 組織で作成されたAIアプリケーションの使用状況とアクティビティに関するデバッグとレポート。
プロジェクト管理者¶
アクセス: システム全体で作成されたすべてのモデリングプロジェクトにアクセスできます。
用途: 組織内で作成されたモデリングプロジェクトの使用状況とアクティビティに関するデバッグとレポート。
予測のみ¶
アクセス: 指定されたデプロイでのみ予測を作成できます。
データ管理者¶
アクセス: 管理者権限を持つシステム全体で作成されたすべてのデータセット(各データセットに関連付けられているすべてのメタデータを含む)にアクセスできます。
用途: AIカタログにプルされたデータアセットの使用状況とアクティビティに関するデバッグとレポート。
