Configuración de administrador: roles

Los roles, los conjuntos de permisos y los conjuntos de modelos se usan conjuntamente para gestionar lo que pueden hacer y ver los usuarios. En la página Roles de la sección Usuarios del panel Administrar, puede ver, configurar y asignar roles, conjuntos de permisos y conjuntos de modelos.

Para buscar roles, conjuntos de permisos y conjuntos de modelos específicos, introduce un término de búsqueda en el cuadro de búsqueda de la parte superior derecha y pulsa Intro.

Definiciones

  • Un rol define los privilegios que tendrá un usuario o un grupo para un conjunto específico de modelos en Looker. Para crear un rol, combina un conjunto de permisos con un conjunto de modelos.
  • Un conjunto de permisos define lo que puede hacer un usuario o un grupo. Selecciona una combinación de permisos que quieras asignar a un usuario o a un grupo. Debe usarse como parte de un rol para que tenga algún efecto.
  • Un conjunto de modelos define qué datos y campos de LookML puede ver un usuario o un grupo. Selecciona una combinación de modelos de LookML a los que un usuario o un grupo deben tener acceso. Debe usarse como parte de un rol para que tenga algún efecto.

Gestionar roles

Un rol es una combinación de un conjunto de permisos y un conjunto de modelos. Es habitual asignar a los roles nombres que hagan referencia a tipos de personas o grupos de personas de tu organización (por ejemplo, administrador, desarrollador de Looker o equipo de Finanzas), aunque puedes seguir tus propias convenciones de nomenclatura.

Un usuario puede tener más de un rol en Looker. Esto puede ser útil cuando tienes usuarios que desempeñan varios roles en tu empresa o cuando quieres crear sistemas complejos de acceso a tus modelos.

Crear, editar y eliminar roles

Para crear un rol, sigue estos pasos:

  1. En la parte superior de la página Funciones, haga clic en el botón Nueva función.

  2. Looker muestra la página Nuevo rol, donde puede configurar los siguientes ajustes:

    • Nombre: escribe un nombre para el rol.
    • Conjunto de permisos: elige un conjunto de permisos para asociarlo al rol.
    • Conjunto de modelos: elige un conjunto de modelos para asociarlo al rol.
    • Grupos: de forma opcional, elige uno o varios grupos a los que asignar el rol.
    • Usuarios: elige uno o varios usuarios a los que quieras asignar el rol (opcional).

  3. Una vez que hayas configurado el rol como quieras, haz clic en el botón Nuevo rol, situado en la parte inferior de la página.

Una vez creado un rol, puedes editarlo haciendo clic en el botón Editar situado a la derecha del rol en la página Roles. Al hacer clic en Editar, se te redirige a la página Editar rol de ese rol, donde puedes modificar el nombre, el conjunto de permisos, el conjunto de modelos y los grupos o usuarios que tienen asignado el rol.

Para eliminar un rol, haz clic en el botón Eliminar situado a la derecha del rol en la página Roles.

Roles predeterminados

En las instancias nuevas, Looker crea los siguientes roles predeterminados, cada uno de los cuales incluye un conjunto de permisos predeterminado con el mismo nombre:

Los roles predeterminados de las siguientes secciones tienen condiciones de uso.

Administrar mediante gestión de identidades y accesos

El rol Administrador a través de gestión de identidades y accesos solo está disponible en Looker (en la infraestructura de Google Cloud) y solo se puede gestionar a través de la Google Cloud consola. Para obtener más información, consulta la documentación sobre autenticación y autorización con OAuth y gestión de identidades y accesos y Diferencias entre el rol de administrador de Looker y el rol de administrador a través de gestión de identidades y accesos de Looker.

El rol Administrador (gestión de identidades y accesos) usa el conjunto de permisos Administrador.

Gemini

El rol Gemini no se puede cambiar de nombre ni eliminar, y solo contiene el permiso gemini_in_looker en su conjunto de permisos. De forma predeterminada, el conjunto de permisos de este rol se aplica a todos los modelos de la instancia de Looker. Para restringir el acceso de los usuarios a las funciones de Gemini en Looker con modelos específicos, quítales el rol Gemini y crea un rol que aplique el permiso gemini_in_looker en los modelos seleccionados. Asegúrate de quitar esos usuarios del grupo Usuarios predeterminados de Gemini.

El permiso gemini_in_looker disponible en este rol permite a los usuarios realizar las siguientes tareas en la instancia de Looker con la ayuda de Gemini:

  • Escribir LookML: cuando también tengan un rol de Looker que incluya el permiso develop para al menos un modelo de un proyecto de LookML.
  • Crear visualizaciones de Looker personalizadas: cuando también tengan un rol de Looker que contenga el permiso can_override_vis_config.
  • Consultar datos de Exploraciones de Looker con Analíticas conversacionales, aunque el usuario no tenga asignados permisos de explore, si también tiene un rol de Looker que incluya el permiso access_data en el modelo que está consultando.

Para obtener más información sobre las funciones de Gemini en Looker, consulta la introducción a Gemini en Looker.

Admite el editor avanzado y el editor básico

Estos roles no aparecerán en una instancia de Looker (original) si un administrador de Looker ha inhabilitado la función de Labs Acceso de asistencia por niveles. Estos roles no aparecerán en una instancia de Looker (Google Cloud core) si la instancia usa redes de conexiones privadas (acceso a servicios privados o Private Service Connect) o redes de conexiones híbridas.

Los roles Editor avanzado de asistencia y Editor básico de asistencia no se pueden editar, eliminar ni asignar a usuarios que no sean usuarios con acceso de asistencia.

Conjuntos de permisos

Un conjunto de permisos define lo que puede hacer un usuario o un grupo. Los administradores pueden usar los conjuntos de permisos predeterminados de Looker o crear conjuntos de permisos originales, teniendo en cuenta las dependencias de los permisos.

Todos los permisos disponibles y sus tipos se explican con más detalle en la lista de permisos.

Conjuntos de permisos predeterminados

En las nuevas instalaciones, Looker incluye varios conjuntos de permisos predeterminados que puedes usar para empezar:

Conjunto de permisos Permisos incluidos
Administrador Todos los permisos
Desarrollador access_data, can_create_forecast, clear_cache_refresh, create_custom_fields, create_table_calculations, deploy, develop, download_without_limit, explore, manage_spaces, mobile_app_access, save_content, save_dashboards, save_looks, schedule_look_emails, see_drill_overlay, see_lookml, see_lookml_dashboards, see_looks, see_pdts, see_sql, see_user_dashboards, send_to_integration, use_sql_runner

NOTE El permiso see_pdts solo se incluye en el permiso predeterminado Desarrollador de las instalaciones de Looker que se crearon con Looker 21.18 o versiones posteriores. Para comprobar si el permiso see_pdts está incluido en el conjunto de permisos Desarrollador de tu instancia, ve a la página Roles del panel Administración de la interfaz de usuario de Looker.
Gemini gemini_in_looker
Editor avanzado de ingenieros de clientes access_data, can_create_forecast, can_override_vis_config, clear_cache_refresh, create_custom_fields, create_table_calculations, deploy, develop, explore, follow_alerts, manage_embed_settings, manage_models, manage_privatelabel, manage_project_connections, manage_project_connections_restricted, manage_project_models, manage_themes, save_content, save_dashboards, save_looks, see_admin, see_alerts, see_datagroups, see_drill_overlay, see_logs, see_lookml, see_lookml_dashboards, see_looks, see_pdts, see_queries, see_schedules, see_sql, see_system_activity, see_user_dashboards, see_users, update_datagroups, use_global_connections

NOTE El conjunto de permisos Editor avanzado de ingeniero de asistencia solo está disponible cuando se habilita la función de Labs Acceso de asistencia por niveles. El conjunto de permisos Editor avanzado de ingeniero de asistencia no se puede editar ni eliminar.
Compatibilidad con el editor avanzado access_data, clear_cache_refresh, create_custom_fields, create_table_calculations, develop, explore, follow_alerts, manage_embed_settings, manage_models, manage_privatelabel, manage_project_connections, manage_project_connections_restricted, manage_project_models, manage_themes, see_admin, see_alerts, see_datagroups, see_drill_overlay, see_logs, see_lookml, see_lookml_dashboards, see_looks, see_pdts, see_queries, see_schedules, see_sql, see_system_activity, see_user_dashboards, see_users, update_datagroups, use_global_connections

NOTE El conjunto de permisos Asistencia para el editor avanzado solo está disponible cuando se habilita la función de Labs Acceso de asistencia por niveles. El conjunto de permisos Asistencia para el editor avanzado no se puede editar ni eliminar.
Asistencia para Editor básico access_data, clear_cache_refresh, create_custom_fields, create_table_calculations, explore, follow_alerts, manage_privatelabel, manage_themes, see_admin, see_alerts, see_drill_overlay, see_logs, see_lookml, see_lookml_dashboards, see_looks, see_pdts, see_schedules, see_sql, see_datagroups, see_system_activity, see_user_dashboards, see_users

NOTE El conjunto de permisos Editor básico de asistencia solo está disponible cuando se habilita la función de Labs Acceso de asistencia por niveles. El conjunto de permisos Editor básico de asistencia no se puede editar ni eliminar.
Usuario de panel de control de LookML access_data, clear_cache_refresh, mobile_app_access, see_lookml_dashboards, send_to_integration
Usuario access_data, can_create_forecast, clear_cache_refresh, create_custom_fields, create_table_calculations, download_without_limit, explore, manage_spaces, mobile_app_access, save_content, save_dashboards, save_looks, schedule_look_emails, see_drill_overlay, see_lookml, see_lookml_dashboards, see_looks, see_sql, see_user_dashboards, send_to_integration
Usuario que no puede ver LookML access_data, can_create_forecast, clear_cache_refresh, create_custom_fields, create_table_calculations, download_without_limit, explore, manage_spaces, mobile_app_access, save_content, save_dashboards, save_looks, schedule_look_emails, see_lookml_dashboards, see_looks, see_user_dashboards, send_to_integration
Espectador access_data, clear_cache_refresh, download_without_limit, mobile_app_access, schedule_look_emails, see_drill_overlay, see_lookml_dashboards, see_looks, see_user_dashboards

Estos conjuntos de permisos aparecerán como opciones cuando crees un nuevo rol. Si seleccionas uno de estos conjuntos de permisos, Looker mostrará la lista de permisos que incluye.

El conjunto de permisos de administrador no se puede editar ni eliminar, y no se puede asignar a un rol. Se asigna solo al rol Administrador, que tampoco se puede editar ni eliminar. La única forma de conceder el conjunto de permisos de administrador a un usuario o a un grupo es añadir el rol de administrador a ese usuario o grupo.

Crear conjuntos de permisos

Para crear un conjunto de permisos, haz clic en el botón Nuevo conjunto de permisos, situado en la parte superior de la página Roles. Looker mostrará una página en la que podrás introducir un nombre para el conjunto de permisos y seleccionar los permisos que debe incluir. Una vez que hayas configurado el conjunto según tus necesidades, haz clic en el botón Nuevo conjunto de permisos, situado en la parte inferior de la página.

Una vez que se ha creado un conjunto de permisos, puede editarlo o eliminarlo haciendo clic en los botones Editar o Eliminar situados a la derecha del conjunto de permisos en la página Roles.

Permisos y dependencias

Algunos permisos dependen de otros para funcionar correctamente. Por ejemplo, es lógico que un usuario que quiera desarrollar en LookML primero deba poder ver LookML.

Cuando crees un conjunto de permisos, verás los permisos disponibles en una lista indentada. Si un privilegio está indentado debajo de otro (principal), primero debes seleccionar el privilegio principal. La lista de permisos puede tener este aspecto:

☑️ access_data
  ☑️ see_lookml_dashboards
  ☑️ see_looks
    ☑️ see_user_dashboards

En este ejemplo, Looker usa la sangría para indicar lo siguiente:

  • El privilegio de access_data se puede seleccionar en cualquier momento.
  • Los privilegios see_lookml_dashboards y see_looks requieren que se seleccione primero el privilegio access_data.
  • El privilegio see_user_dashboards depende del privilegio see_looks, que a su vez depende del privilegio access_data.

No puedes seleccionar un privilegio secundario sin seleccionar primero el principal.

Permisos y licencias de Looker

Las licencias de Looker clasifican a los usuarios en tres tipos:

  • Desarrollador (administrador)
  • Estándar (creador)
  • Lector

Los permisos concedidos a un usuario determinan cómo se clasifica ese usuario en la licencia de Looker:

Lista de permisos

Los permisos se pueden clasificar en tres tipos:

  • Específico del modelo: este tipo de permiso solo se aplica a los conjuntos de modelos que forman parte del mismo rol. Este permiso se aplica a modelos o conjuntos de modelos concretos, no a toda la instancia de Looker.
  • Específico de la conexión: este tipo de permiso se aplica a nivel de conexión. Un usuario con este tipo de permiso verá contenido en las páginas del panel Administrar que utilice una conexión asociada a un modelo al que tenga acceso a los datos, aunque esa conexión se utilice con otro modelo al que no tenga acceso a los datos.
  • En toda la instancia: este tipo de permiso se aplica a toda la instancia de Looker y tiene tres tipos:
    • NN = Sin acceso al contenido ni al menú: estos permisos permiten a los usuarios realizar determinadas funciones en toda la instancia de Looker, pero no les permiten acceder al contenido basado en modelos que no estén incluidos en el conjunto de modelos de su rol.
    • CN = Acceso al contenido, sin acceso al menú: estos permisos permiten a los usuarios acceder al contenido y consultar información en toda la instancia de Looker, incluso en el caso de contenido y consultas basados en modelos que no se incluyan en el conjunto de modelos de su rol.
    • CM = Acceso al contenido y al menú: estos permisos pueden exponer partes del menú Administrar a usuarios que no sean administradores y permitir que los usuarios vean información sobre el contenido y las consultas basadas en modelos que no estén incluidos en el conjunto de modelos de su rol.

En la siguiente lista se describen todos los permisos disponibles en Looker, en el orden en el que aparecen en la página Nuevo conjunto de permisos de la sección Administrar:

Permiso Depende de Tipo Definición
access_data Ninguno Específico del modelo Los usuarios pueden acceder a los datos de Looker, pero solo a los que especifiquen los administradores. Este permiso es necesario para casi todas las funciones de Looker.

Un usuario con este permiso, si tiene acceso a algún modelo de un proyecto determinado, puede acceder a cualquier archivo de la sección Datos de ese proyecto (como un archivo JSON de mapa personalizado).

Los usuarios de Looker Studio que tengan este permiso podrán ver los datos de Looker en los informes de Looker Studio que usen el conector de Looker.
see_lookml_dashboards access_data Específico del modelo

Los usuarios pueden ver la carpeta LookML Dashboards, que incluye todos los paneles de LookML. Los usuarios deben tener permiso explore para los modelos pertinentes si quieren explorar esos paneles. Los usuarios que también tengan el permiso develop pueden crear paneles de LookML.
see_looks access_data Específico del modelo Los usuarios pueden ver los Looks guardados (pero no los paneles de control) en las carpetas. Los usuarios deben tener permiso explore para los modelos pertinentes si quieren explorar esas vistas. Los usuarios también necesitarán el nivel de acceso al contenido Ver para ver los looks de las carpetas.
see_user_dashboards see_looks Específico del modelo Los usuarios pueden ver los paneles de control definidos por el usuario en las carpetas, pero deben tener permiso explore para los modelos pertinentes si quieren explorar esos paneles. Los usuarios también necesitan acceso de lectura al contenido para ver los paneles de las carpetas. Los usuarios que tengan el permiso save_dashboards y el acceso de contenido Gestionar acceso y editar a una carpeta pueden crear paneles de control definidos por el usuario en esa carpeta.
explore see_looks Específico del modelo Los usuarios pueden acceder a la página Explorar y usarla para generar Looks y paneles de control. Sin este permiso, los usuarios solo pueden ver los paneles de control guardados (si se les ha concedido el permiso see_lookml_dashboards o see_user_dashboards).

Los usuarios de Looker Studio que tengan este permiso podrán crear una fuente de datos en Looker Studio basada en una Exploración de Looker. También pueden ver y editar la configuración de esa fuente de datos en Looker Studio.
create_table_calculations explore Instancia completa NN Los usuarios pueden ver, editar o añadir cálculos de tabla
create_custom_fields explore Instancia completa NN Los usuarios pueden ver, editar o añadir campos personalizados. Los usuarios que solo tengan el permiso explore solo podrán ver los campos personalizados.
can_create_forecast explore Instancia completa NN Los usuarios pueden crear y editar previsiones en las visualizaciones. Los usuarios que no tengan este permiso solo podrán ver las previsiones del contenido al que tengan acceso.
can_override_vis_config explore Instancia completa NN Los usuarios pueden acceder al editor de configuración de gráficos, que les permite modificar los valores JSON de la API Highcharts de una visualización y personalizar su apariencia y formato.
save_content see_looks Instancia completa NN Este permiso es un permiso principal de save_dashboards, save_looks y create_public_looks. Este permiso debe concederse con save_dashboards o save_looks.
save_dashboards save_content Instancia completa NN Los usuarios pueden guardar y editar paneles de control. Los usuarios deben tener permiso explore para los modelos pertinentes si quieren explorar desde esos paneles. Los usuarios deben tener los permisos download_with_limit o download_without_limit para descargar el contenido.
save_looks save_content Instancia completa NN Los usuarios pueden guardar y editar Looks. Los usuarios deben tener permiso explore para los modelos pertinentes si quieren explorar a partir de esos Looks. Los usuarios deben tener los permisos download_with_limit o download_without_limit para descargar el contenido.
create_public_looks save_looks Específico del modelo Los usuarios pueden marcar un Look guardado como público, lo que generará URLs que concedan acceso a ese Look sin autenticación.
download_with_limit see_looks Específico del modelo

Este permiso se aplica a los Looks y los paneles de control de Looker, así como a los informes de Looker Studio que usan el conector de Looker.

Los usuarios pueden descargar datos,pero deben especificar un límite de 5000 filas o menos para evitar problemas de memoria derivados de descargas grandes.

Los usuarios de Looker Studio Pro que tengan este permiso pueden descargar informes de Looker Studio que usen el conector de Looker.

download_without_limit see_looks Específico del modelo

Este permiso se aplica a los Looks y los paneles de control de Looker, así como a los informes de Looker Studio que usan el conector de Looker.

Es igual que download_with_limit, pero no requiere que el usuario especifique un límite de filas. Para descargar todos los resultados de algunos tipos de consultas, puede que se necesite mucha memoria, lo que podría provocar problemas de rendimiento o incluso que la instancia de Looker falle.

Los usuarios de Looker Studio Pro que tengan este permiso pueden descargar informes de Looker Studio que usen el conector de Looker.
schedule_look_emails see_looks Específico del modelo Este permiso se aplica a los Looks y los paneles de control de Looker, así como a los informes de Looker Studio que usan el conector de Looker.

Los usuarios pueden enviar por correo electrónico cualquier Look, panel de control y consulta con visualizaciones a los que tengan acceso a los datos. Los usuarios pueden programar la entrega para que se produzca después de que se haya activado un grupo de datos, haya gestionado la caché y haya recompilado los PDTs relevantes.

Para enviar o programar paneles de Actividad del sistema, los usuarios deben tener acceso a todos los modelos.

Los usuarios que también tengan permisos de create_alerts pueden enviar notificaciones de alerta por correo electrónico.

Los administradores de Looker pueden controlar los dominios de correo a los que los usuarios de Looker y los usuarios insertados pueden enviar correos mediante la lista de permitidos de dominios de correo de la página Configuración del panel Administración.

Los usuarios de Looker Studio Pro que tengan este permiso pueden programar el envío de informes de Looker Studio que usen el conector de Looker.
schedule_external_look_emails schedule_look_emails Específico del modelo Los usuarios pueden enviar por correo electrónico cualquier Look, panel de control y consulta con visualizaciones a los que tengan acceso a los datos. Los usuarios pueden programar la entrega para que se produzca después de que se haya activado un grupo de datos, haya gestionado la caché y haya recompilado los PDTs relevantes.

Para enviar o programar paneles de Actividad del sistema, los usuarios deben tener acceso a todos los modelos.

Los usuarios que también tengan permisos de create_alerts pueden enviar notificaciones de alerta por correo electrónico.

Los usuarios pueden enviar contenido o notificaciones de alerta por correo electrónico a direcciones de correo de cualquier dominio, independientemente de si la lista de permitidos de dominios de correo de la página Configuración del panel Administrador contiene algún dominio de correo.
create_alerts see_looks Instancia completa NN

Este permiso se aplica a los paneles de control de Looker y a los gráficos de Looker Studio que usan el conector de Looker.

Desde la tarjeta del panel de control, los usuarios pueden crear, duplicar y eliminar sus propias alertas, así como ver y duplicar las alertas que otros usuarios hayan marcado como públicas. El usuario debe haber iniciado sesión en Slack para ver las alertas de las tarjetas del panel de control que envían notificaciones de Slack. Los usuarios pueden ver, editar, inhabilitar y habilitar las alertas que les pertenecen en la página de usuario Gestionar alertas. Los usuarios deben tener el permiso schedule_look_emails o schedule_external_look_emails para enviar notificaciones de alerta por correo electrónico.

Los usuarios de Looker Studio Pro que tengan este permiso pueden crear, duplicar y eliminar alertas en informes de Looker Studio que usen el conector de Looker.
follow_alerts see_looks Instancia completa NN

Los usuarios pueden ver y seguir alertas. Consulta las alertas que han seguido o en las que figuran como destinatarios en la página de usuario Gestionar alertas.
send_to_s3 see_looks Específico del modelo Los usuarios pueden enviar cualquier Look, panel de control y consulta con visualizaciones a los que tengan acceso a los datos a un segmento de Amazon S3. Los usuarios pueden programar la entrega para que se produzca después de que se haya activado un grupo de datos, haya gestionado la caché y haya recompilado los PDTs relevantes.

Este permiso se aplica a modelos o conjuntos de modelos concretos, no a toda la instancia de Looker.
send_to_sftp see_looks Específico del modelo Los usuarios pueden enviar a un servidor SFTP cualquier look, panel de control y consulta con visualizaciones a los que tengan acceso a los datos. Los usuarios pueden programar la entrega para que se produzca después de que se haya activado un grupo de datos, haya gestionado la caché y haya recompilado los PDTs relevantes.

Este permiso se aplica a modelos o conjuntos de modelos concretos, no a toda la instancia de Looker.
send_outgoing_webhook see_looks Específico del modelo Los usuarios pueden enviar a un webhook cualquier Look, panel de control y consulta con visualizaciones a los que tengan acceso a los datos. Los usuarios pueden programar la entrega para que se produzca después de que se haya activado un grupo de datos, haya gestionado la caché y haya recompilado los PDTs relevantes.

Este permiso se aplica a modelos o conjuntos de modelos concretos, no a toda la instancia de Looker.
send_to_integration see_looks Específico del modelo Los usuarios pueden enviar cualquier Look, panel de control y consulta con visualizaciones a los que tengan acceso a los datos de los servicios de terceros integrados con Looker mediante el Action Hub de Looker. Si usas acciones personalizadas con atributos de usuario, los usuarios deben tener este permiso y un valor de atributo de usuario válido y no nulo para el atributo de usuario especificado para poder enviar contenido de Looker al destino de la acción. Este permiso no está relacionado con las acciones de datos. Los usuarios pueden programar la entrega para que se produzca después de que se haya activado un grupo de datos, haya gestionado la caché y haya recompilado los PDTs relevantes.

Este permiso se aplica a modelos o conjuntos de modelos concretos, no a toda la instancia de Looker.
see_sql see_looks Específico del modelo Los usuarios pueden acceder a la pestaña SQL mientras exploran y ver los errores de SQL que se producen debido a sus consultas.
see_lookml see_looks Específico del modelo Los usuarios tienen acceso de solo lectura a LookML. Los usuarios deben tener este permiso para ver el enlace Ir a LookML en el panel Administrar.

Si quieres que un usuario pueda editar LookML, también debes concederle el permiso develop.

NOTE Este permiso interactúa con los conjuntos de modelos de una forma que puede ser inesperada. Si asignas el permiso see_lookml a un usuario y le has permitido ver cualquier modelo que forme parte de un proyecto, podrá ver el LookML de todos los modelos de ese proyecto. Sin embargo, no podrán consultar modelos a los que no les hayas dado acceso.
develop see_looks Específico del modelo Los usuarios pueden hacer cambios locales en LookML, pero no podrán ponerlos a disposición de todos los usuarios a menos que también tengan el permiso deploy.

Este permiso es necesario para ver la opción Obtener asistencia en el menú Ayuda y para ver metadatos en el IDE de Looker. Los usuarios también necesitan este permiso para acceder a la opción Reconstruir tablas derivadas y ejecutar en el menú de ajustes de Explorar. No es específico de ningún modelo, por lo que, si un usuario tiene este permiso en un modelo, tendrá acceso a Reconstruir tablas derivadas y ejecutar en todos los modelos.

NOTE Este permiso interactúa con los conjuntos de modelos de una forma que puede ser inesperada. Si asignas el permiso develop a un usuario y le has permitido ver cualquier modelo que forme parte de un proyecto, podrá desarrollar el LookML de todos los modelos de ese proyecto. Sin embargo, no podrán consultar modelos a los que no les hayas dado acceso.
deploy develop Instancia completa NN Los usuarios pueden enviar sus cambios de LookML locales a producción para que estén disponibles para todos.
support_access_toggle develop Instancia completa NN Los usuarios pueden habilitar o inhabilitar el acceso de los analistas de Looker a su instancia de Looker.
manage_project_models develop Específico del modelo Los usuarios pueden añadir, editar o eliminar configuraciones de modelos permitidos en la página Editar configuración del modelo. Al configurar un modelo, los usuarios solo pueden usar conexiones de ámbito de proyecto.

NOTE Este permiso interactúa con los conjuntos de modelos de una forma que puede ser inesperada. Si crea un rol con el permiso manage_project_models, este rol concederá acceso a todos los modelos que compartan un proyecto con cualquiera de los modelos de los conjuntos de modelos del rol.
use_global_connections manage_project_models Específico del modelo Los usuarios pueden configurar los modelos permitidos con cualquier conexión de ámbito de proyecto o cualquier conexión de ámbito de instancia.
manage_project_connections_restricted develop Específico del modelo CM Los usuarios pueden ver la página Conexiones en el menú Administrar. Pueden ver, editar y crear conexiones específicas de proyectos para cualquier proyecto del conjunto de modelos. Sin embargo, solo pueden editar los siguientes ajustes de conexión: Los usuarios no pueden editar ningún otro ajuste de la sección Ajustes adicionales. Tampoco pueden editar ningún ajuste de la sección Tablas derivadas persistentes (PDTs).

NOTE Este permiso interactúa con los conjuntos de modelos de una forma que puede ser inesperada. Si asignas el permiso manage_project_connections_restricted a un usuario, este podrá ver, editar y crear conexiones de ámbito de proyecto para cualquier proyecto incluido en el conjunto de modelos.
manage_project_connections manage_project_connections_restricted Específico del modelo CM Los usuarios pueden ver la página Conexiones en el menú Administrar. Pueden ver, editar y crear conexiones de ámbito de proyecto para cualquier proyecto incluido en el conjunto de modelos.

NOTE Este permiso interactúa con los conjuntos de modelos de una forma que puede ser inesperada. Si asignas el permiso manage_project_connections_restricted a un usuario, este podrá ver, editar y crear conexiones de ámbito de proyecto para cualquier proyecto incluido en el conjunto de modelos.
see_ci develop Instancia completa NN Añadido el 25 de junio Los usuarios pueden ver los resultados de las ejecuciones de Integración continua, la página Paquetes de Integración continua y ejecutar paquetes de pruebas.
manage_ci see_ci Instancia completa NN Añadido el 25 de junio Los usuarios pueden crear conjuntos de pruebas de integración continua, gestionar usuarios de integración continua y configurar la conexión de Git con la integración continua.

Solo un administrador puede habilitar la función de integración continua en una instancia de Looker.
use_sql_runner see_lookml Específico del modelo Los usuarios pueden usar SQL Runner para ejecutar SQL sin formato en las conexiones que tengan permitidas. Los usuarios también podrán descargar resultados desde la opción Descargar del menú de configuración de Ejecutor de SQL, independientemente de si tienen los permisos download_with_limit o download_without_limit.
clear_cache_refresh access_data Específico del modelo Los usuarios pueden borrar la caché y actualizar los paneles de control internos e insertados, los baldosines de panel de control, los Looks y los Exploraciones.

El permiso clear_cache_refresh se añade automáticamente a cualquier conjunto de permisos que ya exista y que contenga alguno de los siguientes permisos: see_user_dashboards, see_lookml_dashboards o explore. El permiso clear_cache_refresh no se aplica automáticamente a ningún rol insertado.

Los usuarios de Looker Studio que tengan este permiso podrán actualizar los datos de Looker en los informes de Looker Studio que usen el conector de Looker.
see_drill_overlay access_data Específico del modelo Los usuarios de pueden ver los resultados de un desglose de una baldosa de un panel de control, pero no pueden explorar esos resultados. Si se concede explore, este permiso también se concede automáticamente (aunque no esté marcado). Los usuarios también deben tener permisos explore para descargar los resultados de los desgloses en formato PNG.
manage_spaces Ninguno A nivel de instancia CN Los usuarios pueden crear, editar, mover y eliminar carpetas. Los usuarios también necesitarán el permiso de acceso al contenido Gestionar acceso y editar.
manage_homepage Ninguno Instancia completa NN Los usuarios pueden editar y añadir contenido a la barra lateral que todos los usuarios de Looker ven en la página principal predefinida de Looker.
manage_models Ninguno A nivel de instancia CN Cada modelo de LookML se asigna a un conjunto específico de conexiones de bases de datos en la página Gestionar proyectos de LookML. Con este permiso, los usuarios pueden configurar estas asignaciones, crear proyectos y eliminar proyectos. Los usuarios que no sean administradores y a los que se les conceda este permiso tendrán acceso a todas las conexiones permitidas por los modelos a los que tengan acceso.

NOTE Este permiso interactúa con los conjuntos de modelos de una forma que puede ser inesperada. Si asignas el permiso manage_models a un usuario, este podrá acceder a todos los modelos de todos los proyectos de la instancia.
create_prefetches Ninguno En toda la instancia No se recomienda prefetch. Te recomendamos que uses grupos de datos.
login_special_email Ninguno En toda la instancia Los usuarios pueden iniciar sesión con credenciales de correo electrónico y contraseña, aunque se hayan habilitado otros mecanismos de inicio de sesión (como Google, LDAP o SAML) en tu instancia. Esto puede ser útil para consultores u otras personas que no formen parte de su sistema de autenticación habitual.
embed_browse_spaces Ninguno Instancia completa NN

Habilita el navegador de contenido para las inserciones firmadas. Si utilizas inserciones firmadas, debes conceder este permiso a los usuarios que tengan el permiso save_content.
embed_save_shared_space Ninguno En toda la instancia Permite que los usuarios con el permiso save_content guarden contenido en la carpeta Compartido de la organización, si existe. Los usuarios que tengan el permiso save_content, pero no el permiso embed_save_shared_space, solo podrán guardar contenido en su carpeta de inserciones personal.
manage_embed_settings Ninguno Miembros del canal de toda la instancia Los usuarios pueden editar la configuración de inserción en la página Insertar de la sección Plataforma del menú Administrar.
manage_modelsets_restricted Ninguno Específico del modelo CM Añadido en la versión 25.2 Los usuarios pueden modificar los conjuntos de modelos para los que tengan el permiso manage_modelsets_restricted. Un usuario solo puede añadir modelos incluidos en conjuntos de modelos para los que también tenga el permiso manage_modelsets_restricted.

NOTE Este permiso interactúa con los conjuntos de modelos de una forma que puede ser inesperada. Si asignas el permiso manage_modelsets_restricted a un usuario y le has permitido acceder a cualquier modelo que forme parte de un proyecto, podrá asignar todos los modelos de ese proyecto a los conjuntos de modelos a los que tenga acceso.
manage_schedules Ninguno Específico del modelo CM Añadido el 25/2 Los usuarios pueden reasignar y eliminar programaciones en la página Programaciones de los modelos especificados. Este permiso no permite a los usuarios ver la página Historial de programación.
manage_themes Ninguno Miembros del canal de toda la instancia Los usuarios pueden configurar los ajustes de tema en la página Temas de la sección Plataforma del menú Administrar.

Este permiso solo está disponible si se han habilitado los temas en tu instancia.
manage_privatelabel Ninguno Miembros del canal de toda la instancia Los usuarios pueden configurar los ajustes de marca privada en la página Marca privada de la sección Plataforma del menú Administrar.

Este permiso solo está disponible si se ha habilitado la marca privada en tu instancia.
see_alerts Ninguno Miembros del canal de toda la instancia Los usuarios pueden acceder a las páginas Alertas e Historial de alertas de la sección Administrar, lo que les permite ver todas las alertas de una instancia de Looker. Los usuarios pueden ver, seguir, editar, autoasignarse y inhabilitar las alertas de otros usuarios desde la página de administración Alertas.

Los usuarios deben tener permisos para acceder al contenido subyacente de la alerta para verlo o explorarlo desde la visualización de la alerta (en la página Detalles de la alerta) o para ir a su panel de control. Este permiso no permite a los usuarios ver, crear, seguir ni eliminar alertas desde la tarjeta del panel de control.
see_queries Ninguno Miembros del canal de toda la instancia Los usuarios pueden ver la página Consultas en la sección Administrar de Looker. Este privilegio no permite a los usuarios finalizar una consulta en la página Consultas.
see_logs Ninguno Miembros del canal de toda la instancia Los usuarios pueden ver la página Registro en la sección Administrar de Looker.
see_users Ninguno Miembros del canal de toda la instancia Los usuarios pueden ver la página Usuarios (pero no la página Grupos) en la sección Administrar de Looker. Este privilegio no permite a los usuarios crear usuarios nuevos, ver o crear credenciales de API, restablecer contraseñas ni modificar usuarios o privilegios de ninguna otra forma. Un usuario al que se le haya concedido este permiso puede ver a todos los usuarios de todos los grupos de una instancia, incluso en un sistema cerrado. Un usuario puede ver todos los nombres de los grupos y de los roles, lo que algunas empresas pueden considerar información sensible.
sudo see_users Miembros del canal de toda la instancia Los usuarios pueden usar sudo (es decir, actuar como otro usuario y heredar temporalmente sus permisos) haciendo clic en el botón Sudo de la página Usuarios.

El permiso sudo no permite que un usuario que no sea administrador use sudo como administrador, pero podría aumentar sus privilegios usando sudo, así que ten cuidado.
manage_groups see_users Miembros del canal de toda la instancia Los usuarios pueden crear, editar y eliminar grupos en la página Grupos de la sección Usuarios del menú Administrar, excepto los grupos asociados al rol Administrador.
manage_roles manage_groups Miembros del canal de toda la instancia Los usuarios pueden crear, editar y eliminar roles, excepto el rol Administrador, en la página Roles de la sección Usuarios del menú Administrar. Los usuarios no pueden crear, editar ni eliminar conjuntos de permisos o de modelos.
manage_user_attributes see_users Miembros del canal de toda la instancia Los usuarios pueden crear, editar y eliminar atributos de usuario en la página Atributos de usuario de la sección Usuarios del menú Administrar.
see_schedules Ninguno Miembros del canal de toda la instancia

Los usuarios pueden ver las páginas Programaciones (Programaciones) e Historial de programaciones (Historial de programaciones) en el panel Administrar de Looker. Este privilegio no permite a los usuarios reasignar, editar ni eliminar las programaciones de otros usuarios en las páginas Programaciones e Historial de programaciones.
see_pdts Ninguno Específico de la conexión Los usuarios pueden ver la página Tablas derivadas persistentes en la sección Administración de Looker y consultar información sobre las PDTs de los proyectos que usen cualquier conexión asociada a modelos para los que tengan acceso a los datos.

Este permiso se incluye en el conjunto de permisos predeterminado Desarrollador para las nuevas instalaciones de Looker.

Este permiso se aplica a las conexiones a las que los usuarios tienen acceso a los datos, en lugar de a toda la instancia de Looker o a modelos o conjuntos de modelos concretos.
see_datagroups Ninguno Específico del modelo Los usuarios pueden ver la página Grupos de datos en la sección Administrar de Looker. Los usuarios pueden ver los nombres de las conexiones, los nombres de los modelos y otra información sobre los grupos de datos definidos en un modelo al que tengan acceso a los datos.

Este permiso se aplica a modelos o conjuntos de modelos concretos, en lugar de a toda la instancia de Looker o a las conexiones.
update_datagroups see_datagroups Específico del modelo Los usuarios pueden activar un grupo de datos o restablecer su caché en la página Grupos de datos de la sección Administrar de Looker. Al igual que los usuarios que tienen el permiso see_datagroups, los que tienen el permiso update_datagroups pueden ver los grupos de datos definidos en proyectos que usan un modelo para el que tienen acceso a los datos.

Este permiso se aplica a modelos o conjuntos de modelos concretos, en lugar de a toda la instancia de Looker o a las conexiones.
see_system_activity Ninguno Miembros del canal de toda la instancia Los usuarios pueden acceder a las Exploraciones y los paneles de control de Actividad del sistema para ver el uso, el historial y otros metadatos sobre una instancia de Looker.
see_admin Ninguno Miembros del canal de toda la instancia Los usuarios pueden tener acceso de solo lectura a los recursos de administrador, incluidas las páginas del panel Administrar, excepto las siguientes:

  • Acceso a asistencia
  • Labs
  • Funciones antiguas
  • Exportar
  • Acceso al contenido
  • Acciones (si la página solo muestra los estados habilitado o inhabilitado de las acciones)

Este permiso no proporciona acceso a las páginas de actividad del sistema.
mobile_app_access Ninguno Instancia completa NN Los usuarios pueden iniciar sesión en tu instancia en un dispositivo móvil mediante la aplicación móvil de Looker. Para que los usuarios puedan iniciar sesión en la aplicación móvil de Looker, primero debe habilitarse la opción Acceso a la aplicación móvil en la página Configuración general de la sección Administrar de Looker.

El permiso mobile_app_access se puede añadir a un conjunto de permisos nuevo o ya creado, y forma parte de todos los conjuntos de permisos predeterminados de Looker.
gemini_in_looker Ninguno Instancia completa NN Este permiso es el único que se incluye en el Gemini de Gemini. Este permiso no se puede añadir a ningún otro conjunto de permisos ni rol.

Los usuarios pueden escribir LookML con la ayuda de Gemini si también tienen un rol de Looker que incluya el permiso develop en al menos un modelo de un proyecto de LookML.

Los usuarios pueden crear visualizaciones de Looker personalizadas con la ayuda de Gemini si también tienen un rol de Looker que incluya el permiso can_override_vis_config.

Los usuarios pueden usar Analíticas conversacional con datos de Exploraciones de Looker, aunque no tengan un rol que contenga permisos de explore, si también tienen un rol de Looker que contenga permisos de access_data en el modelo que están consultando.

Información sobre los conjuntos de permisos

Los siguientes permisos interactúan con los conjuntos de modelos de una forma que puede resultar inesperada:

  • develop; see_lookml: en el IDE de Looker, un proyecto puede contener varios archivos de modelo. Si asignas los permisos develop o see_lookml a un usuario y le has permitido ver cualquier modelo que forme parte de un proyecto, podrá desarrollar o ver el LookML de todos los modelos de ese proyecto. Sin embargo, no podrán consultar modelos a los que no les hayas dado acceso.
  • manage_models: si asignas el permiso manage_models a un usuario, este podrá acceder a todos los modelos de todos los proyectos de la instancia.
  • manage_modelsets_restricted: si asignas el permiso manage_modelsets_restricted a un usuario, este podrá asignar cualquier modelo de un proyecto al que tenga acceso.
  • manage_project_connections: si asignas los permisos manage_project_connections_restricted o manage_project_connections a un usuario, este podrá ver, editar y crear conexiones de ámbito de proyecto para cualquier proyecto que se incluya en el conjunto de modelos.

Conjuntos de modelos

Un conjunto de modelos define qué datos y campos de LookML puede ver un usuario o un grupo. Cada conjunto es una lista de modelos de LookML a los que debe tener acceso un usuario o un grupo. Un conjunto de modelos puede realizar dos funciones:

  1. Un conjunto de modelos controla a qué modelos de tu LookML se aplican los permisos (si esos permisos son específicos de un modelo).
  2. Un conjunto de modelos limita los datos y los campos LookML que puede ver un usuario, ya que cada modelo está conectado a una conexión de base de datos específica y contiene determinados campos LookML.

Crear un conjunto de modelos

Para crear un conjunto de modelos, sigue estos pasos:

  1. En la parte superior de la página Roles, haz clic en el botón Nuevo conjunto de modelos.

  2. Looker muestra la página Nuevo conjunto de modelos. Escribe un nombre para el nuevo conjunto de modelos.

  3. Selecciona los modelos que quieras incluir en el nuevo conjunto de modelos.

  4. Haz clic en el botón New Model Set (Nuevo conjunto de modelos) situado en la parte inferior de la página. El nuevo conjunto de modelos aparecerá en la sección Conjuntos de modelos de la página Roles.

Los modelos que se incluyen en proyectos pendientes aparecen en la lista Modelos de las páginas Nuevo conjunto de modelos y Editar conjunto de modelos.

Si eliminas o cambias el nombre de un modelo, no se modificará ningún conjunto de modelos que lo incluya. Cuando se elimina o se cambia el nombre de un modelo, recomendamos que los administradores de Looker también eliminen el nombre de ese modelo de los conjuntos de modelos asociados en la página Editar conjunto de modelos. Si quitas el nombre de un modelo eliminado de un conjunto de modelos, evitarás que se incluya por error en ese conjunto un modelo nuevo con el mismo nombre.

Para obtener más información sobre los modelos, consulta la página de documentación Parámetros de modelo.

Crear varios modelos y conjuntos de modelos

En el siguiente ejemplo se muestra cómo puedes usar varios conjuntos de modelos para limitar el acceso a los datos. Imagina que tienes dos equipos: Marketing y Asistencia. En este ejemplo, estos dos equipos no deberían tener acceso a todo el modelo, por lo que crearías un modelo independiente para cada equipo. Para separar su acceso a los datos, sigue estos pasos:

  1. Copia el modelo en dos modelos nuevos.
  2. En el primero de los nuevos modelos, incluya solo las vistas, los campos y las Exploraciones a los que debería tener acceso el equipo de marketing.
  3. Crea un conjunto de modelos para el equipo de marketing que incluya solo este nuevo modelo.
  4. Crea un rol para el equipo de marketing que incluya este nuevo conjunto de modelos y los permisos adecuados para el equipo de marketing.
  5. Asigna este nuevo rol al grupo del equipo de marketing.
  6. Repite los pasos del 2 al 5 para configurar el segundo modelo para el equipo de Asistencia.

Editar un conjunto de modelos

Una vez que haya creado un conjunto de modelos, siga estos pasos para editarlo:

  1. En la página Roles, haz clic en el botón Editar situado a la derecha del conjunto de modelos que quieras editar.

  2. Looker muestra la página Editar conjunto de modelos. Si quiere, escriba un nombre nuevo para el conjunto de modelos en el campo Nombre.

  3. Añade o quita modelos del conjunto de modelos en la sección Modelos.

  4. Haz clic en el botón Update Model Set (Actualizar conjunto de modelos) situado en la parte inferior de la página.

Los modelos que se incluyen en proyectos pendientes aparecen en la lista Modelos de las páginas Nuevo conjunto de modelos y Editar conjunto de modelos.

Si eliminas o cambias el nombre de un modelo, no se modificará ningún conjunto de modelos que lo incluya. Cuando se elimina o se cambia el nombre de un modelo, recomendamos que los administradores de Looker también eliminen el nombre de ese modelo de los conjuntos de modelos asociados en la página Editar conjunto de modelos. Si quitas el nombre de un modelo eliminado de un conjunto de modelos, evitarás que se incluya por error en ese conjunto un modelo nuevo con el mismo nombre.

Eliminar un conjunto de modelos

Para eliminar un conjunto de modelos, en la página Roles, haga clic en Eliminar a la derecha del conjunto de modelos que quiera eliminar.