役割と権限¶
DataRobotでは、顧客データを保護するためにアーキテクチャ、エンティティ認証、および承認レベルで多くのセキュリティレイヤーが導入されています。 このページのセクションでは、各レベルでの役割と権限の詳細を説明します。
一般的なアクセスガイダンス¶
アクセスは、役割と権限で構成されます。 役割はユーザーのアクセスを分類します。権限は役割に関連付けられた機能ベースの権利を指定します。
役割の定義¶
一般的に、役割のタイプには次のアクセス権があります。
| 役割 | アクセス |
|---|---|
| コンシューマー/オブザーバー | 読み取り専用 |
| エディター/ユーザー | 読み取り/書き込み |
| オーナー | 読み取り/書き込み/管理 |
役割の優先順位と共有¶
役割ベースのアクセス制御(RBAC)は、DataRobotアプリケーションへのアクセスを制御し、組織の管理者によって管理されます。 RBACの役割の名前は異なりますが、同じ読み取り/書き込み/管理権限が付与されます。 割り当てられた役割は、アプリケーションの使用時にユーザーに表示される項目およびユーザーがアクセスできるオブジェクトの両方を制御します。
RBACは共有ベースの役割の権限をオーバーライドします。 たとえば、管理者によってRBAC閲覧者の役割(読み取り専用アクセス権)が割り当てられた別のユーザーと共有するとします。そのユーザーにユーザー権限(読み取り/書き込みアクセス)を付与します。 ただし、閲覧者の役割が優先されるため、そのユーザーの書き込みアクセスは拒否されます。
単一のエンティティに複数の役割を割り当てることができます。最も寛容な役割が優先され、RBACに従って更新されます。 以下の点に注意してください。
-
データセットを組織で共有した場合、メンバーにはコンシューマーの役割が割り当てられます。 データセットはその組織のユーザーと共有され、エディターのロールが割り当てられます。 ユーザーにはエディター機能があります。 組織の他のメンバーはコンシューマーになります。
-
データセットをグループで共有した場合、メンバーにはオーナー権限が付与されます。 グループの1人のユーザーにコンシューマーアクセスのみを許可します。 そのユーザーをグループから削除し、ユーザーを個別に再割り当てして、権限を制限します。
プロジェクトの役割¶
下表では各役割に許可されている一般的な権限を説明しています。 以下の固有の役割と権限も参照してください。
| 機能 | オーナー | ユーザー | コンシューマー |
|---|---|---|---|
| 全てを表示する | ✔ | ✔ | ✔ |
| IDEの起動 | ✔ | ✔ | |
| 予測の作成 | ✔ | ✔ | |
| 特徴量セットの作成と編集 | ✔ | ✔ | |
| ターゲットの設定 | ✔ | ✔ | |
| キューからのジョブの削除 | ✔ | ✔ | |
| オートパイロットの実行 | ✔ | ✔ | |
| 他のユーザーとのプロジェクトの共有 | ✔ | ✔ | |
| プロジェクト名の変更 | ✔ | ✔ | |
| プロジェクトの削除 | ✔ | ||
| ホールドアウトのロックを解除 | ✔ | ||
| プロジェクトのクローン | ✔ | ✔ |
共有データ接続とデータアセットの役割¶
以下のユーザーロールは3段階の権限を表し、共用するデータの接続とソース(エンティティ)において異なるアクセス権をサポートしています。 エンティティを共有する場合、エンティティを共有するユーザーに役割を割り当てる必要があります。
備考
データベースドライバーを追加できるのは管理者だけです。
| ユーザーの役割 | 説明 |
|---|---|
| エディター | エンティティのアクティブユーザー。 この役割には、エンティティに基づく制約があります(読み取りおよび書き込み)。 |
| コンシューマー | エンティティのパッシブユーザー(読み取り専用)。 |
| オーナー | エンティティの作成者または割り当てられた管理者。 この役割には、最高レベルのアクセスおよび機能(読み取り、書き込み、および管理)があります。 |
AIカタログに関連するタスクを実行するために必要な役割を次の表に示します。 この表では、次の凡例を使用します。
| ユーザーの役割 | コード |
|---|---|
| コンシューマー | C |
| * データアクセスのあるコンシューマー | CA |
| エディター | E |
| * データアクセスのあるエディター | EA |
| オーナー | O |
| タスク | ユーザー権限 |
|---|---|
| データストア/データ接続 | |
| データ接続の表示 | C、CA、E、EA、O |
| 接続のテスト | C、CA、E、EA、O |
| データ接続からのデータソースの新規作成 | E、EA、O |
| スキーマとテーブルのリスト | E、EA、O |
| データ接続の編集と名前の変更 | E、EA、O |
| データ接続の削除 | O |
| データセット/データアセット | |
| メタデータおよびコラボレータの表示 | C、CA、E、EA、O |
| 共有 | コラボレーターは他のユーザーと共有し、役割を割り当てることができます(割り当てることのできる役割のレベルはコラボレーター自身の役割までです)。 たとえば、コンシューマーはコンシューマーの役割を割り当てることができますが、エディターの役割を割り当てることはできません。 オーナーはどの役割でも割り当てることができます。 |
| データサンプルのダウンロード | CA、EA、O |
| データセットをダウンロード | CA、EA、O |
| サンプルデータの表示 | CA、EA、O |
| プロジェクト作成でのデータの使用 | CA、EA、O |
| カスタムモデルトレーニングでのデータセットの使用 | CA、EA、O |
| 予測でのデータセットの使用 | CA、EA、O |
| メタデータの変更 | E、EA、O |
| 新しいバージョンを作成(リモートまたはスナップショット)* | EA、O |
| 再読み込み** | EA、O |
| データセットの削除 | O |
*「リモート」は、データを検索する場所に関する情報(URLリンクなど)を指します。「スナップショット」は実際のデータです
** データセットが「リモート」の場合、スナップショットに変換されます
デプロイの役割¶
次の表では、各デプロイの役割の権限を定義します。
| 機能 | オーナー | ユーザー | コンシューマー |
|---|---|---|---|
| 予測の使用 | ✔ | ✔ | ✔* |
| API経由でのデータの取得 | ✔ | ✔ | |
| インベントリでのデプロイの表示 | ✔ | ✔ | |
| モデルの置換 | ✔ | ||
| デプロイ メタデータの編集 | ✔ | ||
| デプロイの削除 | ✔ | ||
| デプロイへのユーザーの追加 | ✔ | ✔ | |
| ユーザーの権限レベルの変更 | ✔ | ✔** | |
| 共有デプロイからのユーザーの削除 | ✔*** | ✔ |
* コンシューマーは、デプロイAPIルートを使用して予測を作成できますが、デプロイは、コンシューマーの予測のデプロイインベントリの一部にはなりません。
** コンシューマーまたはユーザーに対してのみ。
*** オーナーの役割を持つ別のユーザーが存在する場合にのみ自身を削除できます。
共有されたデプロイジョブの役割¶
すべてのユーザーは、自分で作成したジョブ定義とバッチジョブに対してフルアクセス権を持っています。しかし、共有されたジョブ定義とバッチジョブは、役割ベースのアクセス制御の対象となります。
次の表は、共有される予測ジョブ定義と監視ジョブ定義の権限をデプロイの役割ごとに定義しています。
| 機能 | オーナー | ユーザー | コンシューマー |
|---|---|---|---|
| 予測ジョブとジョブ定義の表示 | ✔ | ✔ | |
| 監視ジョブとジョブ定義の表示 | ✔ | ✔ | |
| 予測ジョブの定義を実行する | ✔ | ✔ | |
| 監視ジョブの定義を実行する | ✔ | ✔ | |
| 予測ジョブ定義のクローンを作成する | ✔ | ✔ | |
| 監視ジョブ定義のクローンを作成する | ✔ | ✔ | |
| 予測ジョブ定義の編集 | ✔ | ||
| 監視ジョブ定義の編集 | ✔ | ||
| 予測ジョブ定義の削除 | ✔ | ||
| 監視ジョブ定義の削除 | ✔ |
次の表は、共有されるバッチジョブの権限をデプロイの役割ごとに定義しています。
| 機能 | オーナー | ユーザー | コンシューマー |
|---|---|---|---|
| バッチジョブとログの表示 | ✔ | ✔ | |
| バッチジョブの再実行 | ✔ | ✔ | |
| ジョブからバッチジョブ定義を作成する | ✔ | ✔ | |
| ジョブからバッチジョブ定義を編集する | ✔ | ||
| バッチジョブの中止 | ✔ |
モデルレジストリの役割¶
次の表では、各モデルパッケージの役割の権限を定義します。
| オプション | 説明 | 可用性 |
|---|---|---|
| モデルパッケージの表示 | モデルターゲット、予測タイプ、作成日などからなるモデルパッケージのメタデータを表示します。 | オーナー、ユーザー、コンシューマー |
| モデルパッケージをデプロイ | 選択したモデルパッケージで新しいデプロイを作成します。 | オーナー、ユーザー、コンシューマー |
| モデルパッケージの共有 | プロジェクトの権限に関係なく共有機能を提供します。 | オーナー、ユーザー、コンシューマー |
| モデルパッケージの恒久的なアーカイブ | プロジェクトの権限に関係なく共有機能を提供します。 | オーナー |
カスタムモデルおよび環境の役割¶
次の表では、各カスタムモデルまたは環境の役割の権限を定義します。カスタム環境にはエディターの機能はありません。
備考
カスタム環境用のエディターロールはなく、カスタムモデル用のみです。
環境の役割と権限¶
| 機能 | オーナー | コンシューマー |
|---|---|---|
| 環境の使用および表示 | ✔ | ✔ |
| メタデータの更新および環境の新しいバージョンの追加 | ✔ | |
| 環境の削除 | ✔ |
モデルの役割と権限¶
| 機能 | オーナー | エディター | コンシューマー |
|---|---|---|---|
| モデルの使用および表示 | ✔ | ✔ | ✔ |
| メタデータの更新およびモデルの新しいバージョンの追加 | ✔ | ✔ | |
| モデルの削除 | ✔ | ✔ |
- すべてのロールは、認可トークンが埋め込まれたアプリケーションリンクを共有することで、アプリケーションを共有できます。
AIアプリのロール¶
次の表は、自動化されたアプリケーションでサポートされている各役割の権限を定義します。
| 機能 | オーナー | エディター | コンシューマー |
|---|---|---|---|
| 予測の作成 | ✔ | ✔ | ✔ |
| アプリケーションの非アクティブ化 | ✔ | ✔ | |
| DataRobotライセンスを持つその他のユーザーとのアプリケーションの共有 | ✔ | ||
| アプリケーションの削除 | ✔ | ||
| アプリケーションのアップグレード | ✔ | ✔ | |
| アプリケーションの設定の更新 | ✔ | ✔ |