役割ベースのアクセス制御¶
役割ベースのアクセス制御(RBAC)では、指定された特権を持つユーザーの役割を割り当てることにより、DataRobotアプリケーションへのアクセスを制御します。 役割ベースの権限と役割間の関係により、ユーザーがアプリケーションを使用する特定の方法に適切な権限を簡単に割り当てることができます。
役割は、ユーザー権限で特定のユーザーに割り当てることや、グループ権限でグループ内のすべてのメンバーに割り当てることができます。 割り当てられた役割は、アプリケーションの使用時にユーザーに表示される項目およびユーザーがアクセスできるオブジェクトの両方を制御します。 RBACは加算方式であるため、ユーザーのアクセス許可は、ユーザーおよびグループレベルで設定されたすべてのアクセス許可の合計になります。
追加のユーザーロール
権限は、ユーザーのグループと個々のユーザーに対して設定できます。 ユーザーの権限は、以下の和と等しくなります。
- そのユーザーに設定されている権限
- 所属するグループに設定されている権限
たとえば、グループレベルで割り当てられたロールではA
が許可されてもB
は許可されず、ユーザーレベルで割り当てられたロールではB
が許可されてもA
は許可されないとします。 この場合、A
(グループレベルで許可)とB
(ユーザーレベルで許可)の両方にアクセスできます。
グループはB
にアクセスできませんが、個々のユーザーはB
にアクセス可能です。また、A
へのアクセス権を取り消すには、グループ全体で削除するか、個々のユーザーをグループから削除する必要があります。
次の役割を割り当てることができます。
- データサイエンティスト
- 閲覧者
- MLOps管理者
- アプリコンシューマー
- アプリ管理者
- プロジェクト管理者
- 予測のみ
- データコンシューマー
- データ管理者
以下のオブジェクトも、DataRobotアプリケーションでRBACフレームワークを使用します。
- プロジェクト
- デプロイ
- データベース接続
- データセット
- データセットメタデータ
- カスタムモデルおよび環境
- 実行環境
- AIアプリケーション
- モデルパッケージ
このセクションでは、役割ベースのアクセス制御で各役割に適用されるアクセス許可について説明します。
アクセスの階層¶
各役割(=ロール)には、アプリケーション内で使用可能なさまざまなオブジェクトタイプに対する異なるレベルのアクセスが付与されます。
-
オブジェクトへの読み取りアクセスを持つユーザーは、アプリケーションの該当領域にアクセスして表示できますが、これらのオブジェクトを作成することはできません。
-
特定のオブジェクトタイプへの書き込みアクセスがあるユーザーは、そのアプリケーション領域でオブジェクトを作成できます。 管理者権限以外に、書き込みアクセスに適用される制限はありません。
-
管理アクセスを持つユーザーは、そのユーザーの組織に属する特定のタイプのすべてのオブジェクトにアクセスできます。 たとえば、プロジェクトへの管理者アクセス権を持っているユーザーは、組織内で作成されたすべてのプロジェクトの表示と編集を行うことができます。
-
アクセス許可のないユーザーは、該当するオブジェクトタイプにアクセスすることができません。 これは、特定のアクセス許可に対して表示される赤い「X」ラベルで示されます。 アプリケーションの該当する部分にアクセスすることや、そのタイプのオブジェクトを作成すること、およびそのタイプのオブジェクトにアクセスすることはできません。
データサイエンティスト¶
アクセス:AutoMLの使用とカスタムまたはリモートモデルの作成の両方によってプラットフォームでモデルを構築または追加できます。
注意: 運用システムに障害を及ぼすアクションは実行できません。 このタイプのユーザーは、AIアプリケーションを構築することもできます。
オブジェクト | 管理 | 読み取り | 書き込み |
---|---|---|---|
アプリケーション | ✔ | ✔ | |
カスタム環境 | ✔ | ||
カスタムモデル | ✔ | ✔ | |
データセットデータ | ✔ | ✔ | |
データセット情報 | ✔ | ✔ | |
デプロイ | ✔ | ||
エンタイトルメント定義 | |||
エンタイトルメントセット | |||
モデルパッケージ | ✔ | ✔ | |
予測環境 | ✔ | ||
プロジェクト | ✔ | ✔ | |
登録済みのモデル | ✔ | ✔ |
閲覧者¶
アクセス:アクセスできるシステム全体のオブジェクトを表示できますが、データセットの表示以上のアクションは実行できません。
オブジェクト | 管理 | 読み取り | 書き込み |
---|---|---|---|
アプリケーション | ✔ | ||
カスタム環境 | ✔ | ||
カスタムモデル | ✔ | ||
データセットデータ | ✔ | ||
データセット情報 | ✔ | ||
デプロイ | ✔ | ||
エンタイトルメント定義 | |||
エンタイトルメントセット | |||
モデルパッケージ | ✔ | ||
予測環境 | ✔ | ||
プロジェクト | ✔ | ||
登録済みのモデル | ✔ |
MLOps管理者¶
アクセス:システム上のすべてのMLOpsオブジェクト(デプロイ、モデルパッケージ、カスタムモデル、カスタム環境)にアクセスできます。
用途:組織で作成されたMLOpsオブジェクトの使用状況とアクティビティのデバッグとレポート。
オブジェクト | 管理 | 読み取り | 書き込み |
---|---|---|---|
アプリケーション | ✔ | ✔ | |
カスタム環境 | ✔ | ✔ | ✔ |
カスタムモデル | ✔ | ✔ | ✔ |
データセットデータ | ✔ | ✔ | |
データセット情報 | ✔ | ✔ | |
デプロイ | ✔ | ✔ | ✔ |
エンタイトルメント定義 | |||
エンタイトルメントセット | |||
モデルパッケージ | ✔ | ✔ | ✔ |
予測環境 | ✔ | ✔ | ✔ |
プロジェクト | ✔ | ✔ | |
登録済みのモデル | ✔ | ✔ | ✔ |
アプリコンシューマー¶
アクセス:共有されているDataRobot AIを利用したアプリケーションを利用してビジネス上の意思決定を行うことができます。
オブジェクト | 管理 | 読み取り | 書き込み |
---|---|---|---|
アプリケーション | ✔ | ||
カスタム環境 | |||
カスタムモデル | |||
データセットデータ | ✔ | ||
データセット情報 | ✔ | ||
デプロイ | |||
エンタイトルメント定義 | |||
エンタイトルメントセット | |||
モデルパッケージ | |||
予測環境 | |||
プロジェクト | |||
登録済みのモデル |
アプリ管理者¶
アクセス:システム全体で作成されるすべてのAIアプリケーションに管理者権限でアクセスできます。
用途:組織で作成されたAIアプリケーションの使用状況とアクティビティに関するデバッグとレポート。
オブジェクト | 管理 | 読み取り | 書き込み |
---|---|---|---|
アプリケーション | ✔ | ✔ | ✔ |
カスタム環境 | |||
カスタムモデル | |||
データセットデータ | ✔ | ✔ | |
データセット情報 | ✔ | ✔ | |
デプロイ | ✔ | ✔ | |
エンタイトルメント定義 | |||
エンタイトルメントセット | |||
モデルパッケージ | ✔ | ✔ | |
予測環境 | |||
プロジェクト | ✔ | ✔ | |
登録済みのモデル | ✔ | ✔ |
プロジェクト管理者¶
アクセス:システム全体で作成されたすべてのモデリングプロジェクトにアクセスできます。
用途:組織内で作成されたモデリングプロジェクトの使用状況とアクティビティに関するデバッグとレポート。
オブジェクト | 管理 | 読み取り | 書き込み |
---|---|---|---|
アプリケーション | ✔ | ✔ | |
カスタム環境 | |||
カスタムモデル | |||
データセットデータ | ✔ | ✔ | |
データセット情報 | ✔ | ✔ | |
デプロイ | |||
エンタイトルメント定義 | |||
エンタイトルメントセット | |||
モデルパッケージ | |||
予測環境 | |||
プロジェクト | ✔ | ✔ | ✔ |
登録済みのモデル |
予測のみ¶
アクセス:指定されたデプロイでのみ予測を作成できます。
オブジェクト | 管理 | 読み取り | 書き込み |
---|---|---|---|
アプリケーション | |||
カスタム環境 | |||
カスタムモデル | |||
データセットデータ | ✔ | ||
データセット情報 | ✔ | ||
デプロイ | ✔ | ||
エンタイトルメント定義 | |||
エンタイトルメントセット | |||
モデルパッケージ | |||
予測環境 | ✔ | ||
プロジェクト | |||
登録済みのモデル |
データコンシューマー¶
アクセス:システム全体で作成されたデータセットを利用できます。
注意: ユーザーがローカルファイルをプロジェクトに直接アップロードできないように制限するには、この役割を「ファイルソース制限としてAIカタログを有効化」機能フラグと組み合わせます。
オブジェクト | 管理 | 読み取り | 書き込み |
---|---|---|---|
アプリケーション | ✔ | ✔ | |
カスタム環境 | ✔ | ||
カスタムモデル | ✔ | ✔ | |
データセットデータ | ✔ | ||
データセット情報 | ✔ | ||
デプロイ | ✔ | ✔ | |
エンタイトルメント定義 | |||
エンタイトルメントセット | |||
モデルパッケージ | ✔ | ✔ | |
予測環境 | ✔ | ||
プロジェクト | ✔ | ✔ | |
登録済みのモデル | ✔ | ✔ |
データ管理者¶
アクセス:管理者権限を持つシステム全体で作成されたすべてのデータセット(各データセットに関連付けられているすべてのメタデータを含む)にアクセスできます。
用途:AIカタログにプルされたデータアセットの使用状況とアクティビティに関するデバッグとレポート。
オブジェクト | 管理 | 読み取り | 書き込み |
---|---|---|---|
アプリケーション | |||
カスタム環境 | |||
カスタムモデル | |||
データセットデータ | ✔ | ✔ | ✔ |
データセット情報 | ✔ | ✔ | ✔ |
デプロイ | |||
エンタイトルメント定義 | |||
エンタイトルメントセット | |||
モデルパッケージ | |||
予測環境 | |||
プロジェクト | |||
登録済みのモデル |