役割ベースのアクセス制御¶
役割ベースのアクセス制御(RBAC)では、指定された特権を持つユーザーの役割を割り当てることにより、DataRobotアプリケーションへのアクセスを制御します。 役割ベースの権限と役割間の関係により、ユーザーがアプリケーションを使用する特定の方法に適切な権限を簡単に割り当てることができます。
システムまたは組織の管理者は、ユーザー権限で特定のユーザーにロールを割り当てたり、グループ権限でグループ内の全メンバーにロールを割り当てたりすることができます。 割り当てられた役割は、アプリケーションの使用時にユーザーに表示される項目およびユーザーがアクセスできるオブジェクトの両方を制御します。 RBACは加算方式であるため、ユーザーのアクセス許可は、ユーザーおよびグループレベルで設定されたすべてのアクセス許可の合計になります。
追加のユーザーロール
権限は、ユーザーのグループと個々のユーザーに対して設定できます。 ユーザーの権限は、以下の和と等しくなります。
- そのユーザーに設定されている権限
- 所属するグループに設定されている権限
たとえば、グループレベルで割り当てられたロールではAが許可されてもBは許可されず、ユーザーレベルで割り当てられたロールではBが許可されてもAは許可されないとします。 この場合、A(グループレベルで許可)とB(ユーザーレベルで許可)の両方にアクセスできます。
グループはBにアクセスできませんが、個々のユーザーはBにアクセス可能です。また、Aへのアクセス権を取り消すには、グループ全体で削除するか、個々のユーザーをグループから削除する必要があります。
システムまたは組織の管理者は、以下のロールを割り当てることができます。
- アプリ管理者
- アプリコンシューマー
- データ管理者
- データコンシューマー
- データサイエンティスト
- MLOps管理者
- 予測のみ
- プロジェクト管理者
- Use Case Admin
- 閲覧者
以下のオブジェクトも、DataRobotアプリケーションでRBACフレームワークを使用します。
- AIアプリケーション
- カスタムモデルおよび環境
- データベース接続
- データセットメタデータ
- データセット
- デプロイ
- 実行環境
- モデルパッケージ
- プロジェクト
- リスク管理の枠組み
アクセスの階層¶
各役割(=ロール)には、アプリケーション内で使用可能なさまざまなオブジェクトタイプに対する異なるレベルのアクセスが付与されます。
| アクセスレベル | 説明 |
|---|---|
| 読み取り | このタイプのオブジェクトアクセス権では、ユーザーはアプリケーションの該当領域を閲覧できますが、そこにオブジェクトを作成することはできません。 |
| 書き込み | このタイプのオブジェクトアクセス権では、ユーザーはアプリケーションの該当領域にオブジェクトを作成できます。 管理者権限以外に、書き込みアクセスに適用される制限はありません。 |
| 管理 | このタイプのオブジェクトアクセス権では、そのユーザーの組織に属する特定のタイプのすべてのオブジェクトにアクセスできます。 たとえば、プロジェクトへの管理者アクセス権を持っているユーザーは、組織内で作成されたすべてのプロジェクトの表示と編集を行うことができます。 |
| アクセス権なし | 特定のオブジェクトタイプへのユーザーのアクセスを無効にします。 これは、特定のアクセス許可に対して表示される赤い「X」ラベルで示されます。 アプリケーションの該当する部分にアクセスすることや、そのタイプのオブジェクトを作成すること、およびそのタイプのオブジェクトにアクセスすることはできません。 |
オブジェクトのタイプ¶
上記のアクセス権レベルを、さまざまなオブジェクトタイプに対して、任意の組み合わせで付与することが可能です。 以下のセクションでは、さまざまなオブジェクトタイプと、それぞれに付与できる権限について説明します。
アプリケーション¶
ビジネスソリューションと意思決定機能を提供するDataRobotのAI搭載アプリケーションへのアクセスを制御します。 これらのアプリケーションには、カスタムダッシュボード、自動化されたワークフロー、予測分析ツール、およびDataRobotの機械学習モデルを基盤としたインタラクティブなビジネスインテリジェンスソリューションなどが含まれます。 アクセス権を持つユーザーは、複数のモデル、データソース、およびビジネスロジックを統合して、特定のビジネスユースケース向けのエンドツーエンドのAIソリューションを提供できるアプリケーションを表示、作成、変更、および削除できます。
DataRobotでのアプリケーションの詳細については、アプリケーションを参照してください。
カスタム環境¶
モデルのデプロイと推論のためのランタイムコンテキストを定義するカスタム実行環境へのアクセスを制御します。 これらの環境では、カスタムモデルが本番環境で適切に動作するために必要なプログラミング言語、依存関係、ライブラリ、およびシステム構成を指定します。 ユーザーは、さまざまなフレームワーク(Python、R、Javaなど)をサポートする環境を作成、変更、管理し、さまざまなデプロイシナリオで一貫したモデル実行を確保できます。
DataRobotでのカスタム環境の詳細については、カスタム環境の作成を参照してください。
カスタムモデル¶
DataRobotのAutoML機能以外でユーザーが作成したカスタム機械学習モデルへのアクセスを制御します。 これらのモデルは、外部のフレームワーク(TensorFlow、PyTorch、scikit-learnなど)を使って構築し、DataRobotにアップロードしてデプロイおよび管理することができます。 ユーザーは、関連するコード、依存関係、およびメタデータを含むカスタムモデルを表示、作成、変更、削除でき、特殊なアルゴリズムやドメイン固有のモデルを統合できます。
DataRobotでのカスタムモデルの詳細については、カスタムモデルの作成を参照してください。
データソース¶
データソースへのアクセスを制御します。データソースは通常、データセットの追加や操作に使用されます。 これには、データストアと、リモートストア内のデータリソースの場所への参照が含まれます。 たとえば、データベース接続のSQLクエリー、データベーステーブル(オプションでスキーマとカタログの場所を指定)、またはBlob Storageのパス(AWS S3やAzure Blob Storageなど)です。
DataRobotでのデータソースの詳細については、APIリファレンスを参照してください。
データストア¶
SQLデータベース、AWS S3などの外部データシステムやリポジトリへの設定済みデータ接続に対するアクセスを制御します。 ユーザーは、接続パラメーター、クエリー設定、およびデータソースのメタデータを管理できます。
DataRobotでのデータストアの詳細については、データ接続を参照してください。
データセットデータ¶
データセット内に保存されている実際のデータコンテンツへのアクセスを制御します。 適切な権限を持つユーザーは、データセット内のデータを閲覧できるだけでなく、新しいバージョンを作成してデータを追加することもできます。
DataRobotでのデータセットの詳細については、データの探索を参照してください。
データセット情報¶
データセットのメタデータ、スキーマ情報、およびデータ系統へのアクセスを制御します。 これには、データ型、列の説明、データ品質指標、バージョン履歴、データセットに関するその他の説明情報が含まれますが、実際のデータ内容にはアクセスしません。 ユーザーは、データセットのドキュメント、タグ付け、分類、およびガバナンスのメタデータを管理できます。
DataRobotでのデータセットの詳細については、メタデータ情報を参照してください。
デプロイ¶
デプロイされたモデルへのアクセスを制御します。 デプロイとは、予測リクエストを受け取り結果を返すことができる、トレーニング済みモデルの運用可能なバージョンを指します。 ユーザーは、デプロイ設定、スケーリングパラメーター、監視設定、および実稼働モデルのライフサイクルを管理できます。
DataRobotでのデプロイの詳細については、デプロイダッシュボードを参照してください。
モデルパッケージ¶
トレーニング済みモデル、前処理ロジック、およびデプロイに必要なすべての依存関係を含む、パッケージ化されたモデルアーティファクトへのアクセスを制御します。 モデルパッケージは、さまざまな環境にデプロイできる自己完結型のユニットであり、モデルバイナリー、特徴量エンジニアリングコード、ランタイム要件が含まれます。 ユーザーは、パッケージのバージョン、依存関係、およびデプロイ設定を管理できます。
DataRobotでのモデルパッケージの詳細については、モデルパッケージをレジストリにインポートするを参照してください。
予測環境¶
予測サービスのインフラストラクチャと構成設定へのアクセスを制御します。 これらの環境は、モデル予測を提供するための計算リソース、ネットワーキング、セキュリティ、および運用パラメーターを定義します。 ユーザーは、予測エンドポイント、負荷分散、自動スケーリング、および予測サービスのインフラストラクチャ全体を管理できます。
DataRobotでの予測環境の詳細については、予測環境を参照してください。
プロジェクト¶
機械学習開発の主要なワークスペースであるDataRobotプロジェクトへのアクセスを制御します。 プロジェクトには、モデルエクスペリメント、特徴量エンジニアリング、モデルトレーニングの実行、評価結果が含まれます。 ユーザーは、データ準備からモデル検定までのモデル開発のライフサイクル全体を網羅するプロジェクトを作成、管理、共同作業することが可能です。
DataRobotでのプロジェクトの詳細については、DataRobotワークベンチへのプロジェクトのインポートを参照してください。
登録済みのモデル¶
モデルレジストリへのアクセスを制御します。モデルレジストリは、トレーニング済みモデルの追跡、バージョニング、および管理のための一元的なリポジトリとして機能します。 登録モデルには、モデルのパフォーマンスに関するメタデータ、トレーニングパラメーター、特徴量セット、および系列情報が含まれます。 ユーザーは、モデルのバージョン、承認ワークフロー、およびモデルを本番環境に昇格させるためのガバナンスプロセスを管理できます。
DataRobotに登録されているモデルの詳細については、DataRobotモデルの登録を参照してください。
リスク管理の枠組み¶
DataRobotによるリスク管理とガバナンスの枠組みへのアクセスを制御し、責任あるAIの実践を確保します。 これには、モデル監視、バイアス検出、説明可能性ツール、コンプライアンスレポート、ガバナンスワークフローが含まれます。 ユーザーは、リスク評価、コンプライアンスドキュメント、監査証跡、ガバナンスポリシーを管理して、AIシステムが組織や規制上の要件を確実に満たすようにすることができます。
リスク管理フレームワークの詳細については、リスクを評価を参照してください。
ユースケース¶
Controls access to the Use Case Admin view on Workbench, which allows the user to view and manage all Use Cases in the organization. Use Cases contain model experiments, feature engineering, model training runs, and evaluation results.
To read more about use cases in DataRobot, see Use Case overview.
RBACロール¶
以下のセクションでは、RBACに用意されている各ロールに適用される権限について説明します。
アプリ管理者¶
アクセス権:システム内で作成されたすべてのAIアプリケーションに管理者権限でアクセスできます。
用途:組織内で作成されたAIアプリケーションの使用状況やアクティビティに関するデバッグとレポート。
| オブジェクト | 管理 | 読み取り | 書き込み |
|---|---|---|---|
| アプリケーション | ✔ | ✔ | ✔ |
| カスタム環境 | |||
| カスタムモデル | |||
| データソース | ✔ | ✔ | |
| データストア | ✔ | ✔ | |
| データセットデータ | ✔ | ✔ | |
| データセット情報 | ✔ | ✔ | |
| デプロイ | ✔ | ✔ | |
| モデルパッケージ | ✔ | ✔ | |
| 予測環境 | |||
| プロジェクト | ✔ | ✔ | |
| 登録済みのモデル | ✔ | ✔ | |
| リスク管理の枠組み | ✔ | ✔ | ✔ |
| ユースケース | ✔ | ✔ |
アプリコンシューマー¶
アクセス権:共有されているDataRobotのAI搭載アプリケーションを利用して、ビジネス上の意思決定を行うことができます。
| オブジェクト | 管理 | 読み取り | 書き込み |
|---|---|---|---|
| アプリケーション | ✔ | ||
| カスタム環境 | |||
| カスタムモデル | |||
| データソース | ✔ | ||
| データストア | ✔ | ||
| データセットデータ | ✔ | ||
| データセット情報 | ✔ | ||
| デプロイ | |||
| モデルパッケージ | |||
| 予測環境 | |||
| プロジェクト | |||
| 登録済みのモデル | |||
| リスク管理の枠組み | ✔ | ||
| ユースケース | ✔ | ✔ |
データ管理者¶
アクセス権:システム内で作成されたすべてのデータセット(各データセットに関連付けられているすべてのメタデータを含む)に管理者権限でアクセスできます。
用途:AIカタログに取り込まれたデータアセットの使用状況やアクティビティに関するデバッグとレポート。
| オブジェクト | 管理 | 読み取り | 書き込み |
|---|---|---|---|
| アプリケーション | |||
| カスタム環境 | |||
| カスタムモデル | |||
| データソース | ✔ | ✔ | ✔ |
| データストア | ✔ | ✔ | ✔ |
| データセットデータ | ✔ | ✔ | ✔ |
| データセット情報 | ✔ | ✔ | ✔ |
| デプロイ | |||
| モデルパッケージ | |||
| 予測環境 | |||
| プロジェクト | |||
| 登録済みのモデル | |||
| リスク管理の枠組み | ✔ | ✔ | ✔ |
| ユースケース | ✔ | ✔ |
データコンシューマー¶
アクセス権:システム内で作成されたデータセットを利用できます。
注意: ユーザーがローカルファイルをプロジェクトに直接アップロードできないように制限するには、この役割を「ファイルソース制限としてAIカタログを有効化」機能フラグと組み合わせます。
| オブジェクト | 管理 | 読み取り | 書き込み |
|---|---|---|---|
| アプリケーション | ✔ | ✔ | |
| カスタム環境 | ✔ | ||
| カスタムモデル | ✔ | ✔ | |
| データソース | ✔ | ✔ | |
| データストア | ✔ | ✔ | |
| データセットデータ | ✔ | ||
| データセット情報 | ✔ | ||
| デプロイ | ✔ | ✔ | |
| モデルパッケージ | ✔ | ✔ | |
| 予測環境 | ✔ | ||
| プロジェクト | ✔ | ✔ | |
| 登録済みのモデル | ✔ | ✔ | |
| リスク管理の枠組み | ✔ | ||
| ユースケース | ✔ |
データサイエンティスト¶
アクセス権:プラットフォームで、AutoMLを利用したり、カスタムモデルやリモートモデルを作成したりして、モデルの構築や追加ができます。
注意: 運用システムに障害を及ぼすアクションは実行できません。 このタイプのユーザーは、AIアプリケーションを構築することもできます。
| オブジェクト | 管理 | 読み取り | 書き込み |
|---|---|---|---|
| アプリケーション | ✔ | ✔ | |
| カスタム環境 | ✔ | ||
| カスタムモデル | ✔ | ✔ | |
| データソース | ✔ | ✔ | |
| データストア | ✔ | ✔ | |
| データセットデータ | ✔ | ✔ | |
| データセット情報 | ✔ | ✔ | |
| デプロイ | ✔ | ||
| モデルパッケージ | ✔ | ✔ | |
| 予測環境 | ✔ | ||
| プロジェクト | ✔ | ✔ | |
| 登録済みのモデル | ✔ | ✔ | |
| リスク管理の枠組み | ✔ | ✔ | |
| ユースケース | ✔ | ✔ |
MLOps管理者¶
アクセス権:システム上のすべてのMLOpsオブジェクト(デプロイ、モデルパッケージ、カスタムモデル、カスタム環境)にアクセスできます。
用途:組織内で作成されたMLOpsオブジェクトの使用状況やアクティビティに関するデバッグとレポート。
| オブジェクト | 管理 | 読み取り | 書き込み |
|---|---|---|---|
| アプリケーション | ✔ | ✔ | |
| カスタム環境 | ✔ | ✔ | ✔ |
| カスタムモデル | ✔ | ✔ | ✔ |
| データソース | ✔ | ✔ | |
| データストア | ✔ | ✔ | |
| データセットデータ | ✔ | ✔ | |
| データセット情報 | ✔ | ✔ | |
| デプロイ | ✔ | ✔ | ✔ |
| モデルパッケージ | ✔ | ✔ | ✔ |
| 予測環境 | ✔ | ✔ | ✔ |
| プロジェクト | ✔ | ✔ | |
| 登録済みのモデル | ✔ | ✔ | ✔ |
| リスク管理の枠組み | ✔ | ✔ | ✔ |
| ユースケース | ✔ | ✔ |
予測のみ¶
アクセス権:指定されたデプロイでのみ予測を行うことができます。
| オブジェクト | 管理 | 読み取り | 書き込み |
|---|---|---|---|
| アプリケーション | |||
| カスタム環境 | |||
| カスタムモデル | |||
| データソース | ✔ | ||
| データストア | ✔ | ||
| データセットデータ | ✔ | ||
| データセット情報 | ✔ | ||
| デプロイ | ✔ | ||
| モデルパッケージ | |||
| 予測環境 | ✔ | ||
| プロジェクト | |||
| 登録済みのモデル | |||
| リスク管理の枠組み | ✔ | ||
| ユースケース | ✔ | ✔ |
プロジェクト管理者¶
アクセス権:システム内で作成されたすべてのモデリングプロジェクトにアクセスできます。
用途:組織内で作成されたモデリングプロジェクトの使用状況やアクティビティに関するデバッグとレポート。
| オブジェクト | 管理 | 読み取り | 書き込み |
|---|---|---|---|
| アプリケーション | ✔ | ✔ | |
| カスタム環境 | |||
| カスタムモデル | |||
| データソース | ✔ | ✔ | |
| データストア | ✔ | ✔ | |
| データセットデータ | ✔ | ✔ | |
| データセット情報 | ✔ | ✔ | |
| デプロイ | |||
| モデルパッケージ | |||
| 予測環境 | |||
| プロジェクト | ✔ | ✔ | ✔ |
| 登録済みのモデル | |||
| リスク管理の枠組み | ✔ | ✔ | ✔ |
| ユースケース | ✔ | ✔ |
Use Case Admin¶
Access: Can access every Use Case created across the system.
Useful for: Viewing and managing any Use Case created in their organization.
| オブジェクト | 管理 | 読み取り | 書き込み |
|---|---|---|---|
| アプリケーション | ✔ | ✔ | ✔ |
| カスタム環境 | ✔ | ✔ | ✔ |
| カスタムモデル | ✔ | ✔ | ✔ |
| データソース | ✔ | ✔ | ✔ |
| データストア | ✔ | ✔ | ✔ |
| データセットデータ | ✔ | ✔ | ✔ |
| データセット情報 | ✔ | ✔ | ✔ |
| デプロイ | ✔ | ✔ | ✔ |
| モデルパッケージ | ✔ | ✔ | ✔ |
| 予測環境 | ✔ | ✔ | ✔ |
| プロジェクト | ✔ | ✔ | ✔ |
| 登録済みのモデル | ✔ | ✔ | ✔ |
| リスク管理の枠組み | ✔ | ✔ | ✔ |
| ユースケース | ✔ | ✔ | ✔ |
閲覧者¶
アクセス権:システム内でアクセス権を持つオブジェクトを閲覧できますが、データセットの閲覧以外の操作はできません。
| オブジェクト | 管理 | 読み取り | 書き込み |
|---|---|---|---|
| アプリケーション | ✔ | ||
| カスタム環境 | ✔ | ||
| カスタムモデル | ✔ | ||
| データソース | ✔ | ||
| データストア | ✔ | ||
| データセットデータ | ✔ | ||
| データセット情報 | ✔ | ||
| デプロイ | ✔ | ||
| モデルパッケージ | ✔ | ||
| 予測環境 | ✔ | ||
| プロジェクト | ✔ | ||
| 登録済みのモデル | ✔ | ||
| リスク管理の枠組み | ✔ | ||
| ユースケース | ✔ |