You need to enable JavaScript to run this app.
导航
概述
最近更新时间:2024.03.28 11:36:51首次发布时间:2023.05.17 16:39:32
1. 概述

平台各功能模块涉及多项权限,如账号、用户、标签等权限。在本模块中用户可以集中管理各项权限与授权,更安全合规的使用企业数据。

1.1 管理者角色类型

目前具有三个管理角色,分别为集团管理员>项目管理员>资源管理者

职位描述权限范围

集团管理员

单集团管理员为Admin账号(不支持灵活配置),具有集团最高权限,可管理、编辑、查看集团下所有项目的功能、资源、数据行权限。

Id-mapping 配置为集团管理员专享,仅集团管理员可对该项进行配置。集团管理员可配置项目管理员和资源管理者。

项目管理员具有项目最高权限,可管理、编辑、查看对应项目的功能、资源、数据行权限。项目管理员可以灵活设置。项目管理员可在其拥有的项目权限范围内进行权限配置。

资源管理者

资源管理者,在各个业务模块( 标签模块、分群模块),为其他用户授予资源权限,资源管理者可以灵活设置。

可在其拥有的资源权限范围内进行资源权限配置。

1.2 授权对象

VeCDP有2种授权对象,包含子账号和用户组,用户组其概念和关系如下:

概念释义

主账号

主账号是集团账号,具有集团最高权限,可管理、编辑、查看集团下所有项目的功能、资源、数据行权限。

子账号单个独立账号对应的主体,子账号可以属于角色、用户组(由主账号配置)
用户组用户组是一批用户的集合(多个子账号),是项目粒度的(同一个集团下的各个项目,可以拥有不同的用户组)

1.3 授权内容

VeCDP有4种授权内容,包含项目、功能(模块)、资源、数据行权限

概念释义
项目指的是项目空间,包含该项目下的所有授权内容,如功能、资源、数据行权限
功能(模块)页面菜单和按钮权限,如数据管理模块、标签模块的查看、编辑、管理权限
资源资源是系统生产的资产,如数据集、数据档案、标签、分群等,资源有查看、编辑、管理权限

数据规则

资源下某一行的权限,如售卖渠道标签,有些用户只能查看“渠道=抖音”的标签、有些用户只能查看“渠道=京东、天猫”的标签,

1.3 授权规则

  • 授权机制: VeCDP基于管理员授权机制,不支持权限申请,集团管理员、项目管理员可以给普通用户授予权限。

  • 授权模型: 授权逻辑基于“ABAC+RBAC”模型,非常灵活,对用户、用户组均可以授予项目、功能、资源、数据行权限。

  • 权限继承:

    • 用户会继承用户组的项目、功能、资源、数据行权限。

    举例:用户A有资源1的权限,A用户属于用户组F,用户组F有资源2的权限,那用户A也会同时有资源2的权限。

    • 项目、功能、资源权限,根据授权类型来判断取交集还是并集。如果是“授权”逻辑,最终取并集;如果是“禁用”逻辑,最终取“交集”。

    举例:

    项目、功能、标签等资源走的是授权逻辑,当用户A同时属于用户组F(有资源2的权限)、用户组H(有资源3的权限),那用户A会有资源2+资源3的权限;
      指标资源、主体资源走的是禁用逻辑,当用户A被禁用了资源1、且被禁用了资源2,则这2个的资源权限都没有。

    • 数据行权限取交集。

    举例:

    数据行权限规则1(只能访问“渠道=抖音”的数据)与数据行权限规则2(只能访问“性别=男”的数据)的授权用户中均有用户A,用户A可访问数据为“渠道=抖音”且“性别=男”的数据,缩小了数据范围。


2. 配置流程

2.1 管理员账号登录

管理员账号基于火山引擎账号体系,集团管理员所绑定的火山引擎账号可以对企业已购买的所有数据产品进行使用和项目权限的配置等操作,即任何权限配置项都需要通过火山引擎集团管理员账号完成。

2.2 配置步骤

点击 项目中心-权限 ,进入该模块。

同时,在单个功能模块中也可以通过点击右边**...** 选择授权给, 即可选择授权对象,将所选资源授权给用户。

3. 功能介绍

权限管理分为两部分:

模块功能介绍操作文档

Part 1

火山引擎-访问控制

用于创建项目、用户账号、角色等。
CDP可直接关联并使用创建后的用户、角色。

访问控制文档

Part 2

VeCDP-项目中心

用于管理用户、用户组,授权CDP的各类权限等。

按用户管理
按内容管理

4. 名词解释
名词解释说明
项目是使用产品的一个独立“空间”,项目之间除共享服务器硬件资源外其余资源均独立隔离,如用户权限、数据资源在项目A与项目B都不同。
项目中心-用户产品的使用者,需要在火山引擎访问控制中创建,具备项目、账号、邮箱、电话等信息。
项目中心-用户组用户组是指具备特殊业务含义的一组用户,只属于某个项目,且不能跨项目使用。需要在CDP项目中心授权管理中独立创建。
模块CDP产品的功能模块,对应各自的菜单。支持在项目中心进行模块使用权限授权。
资源用户在CDP中生产的资源,如标签、数据集、人群包、洞察报告、可视化建模任务。支持在项目中心进行资源权限授权(用户分群及用户洞察的授权在详情页操作)。
数据特指CDP产品中的标签、数据集等,可通过规则限制用户在CDP使用的ID资产范围;也可管控数据应用场景,用户可用的表、列字段。
5. 推荐配置流程
步骤说明配置入口配置操作

确定管理员

根据集团与项目的划分逻辑,确定集团与项目管理员,集团管理员默认有该集团下全部项目的权限,项目管理员需要项目创建者手动授予”项目管理权限点”。

单集团的集团管理员为admin,不支持设置其他人,多集团的管理员可灵活设置多个人。

集团管理员设置:
项目管理员设置:

集团管理员配置入口:
项目管理员配置入口

完成配置之前,需要先在火山引擎控制台创建项目、角色账号和角色等。操作文档参考:身份配置

确定授权对象

不建议为单个用户一个个授权,效率低,且后续维护成本高,建议:

  1. 如果权限体系要对接组织架构,那建议将组织架构作为主授权对象,辅以用户组可以做一些灵活变更。

  2. 如果权限体系不对接组织架构,建议用“角色”或“用户组”作为主授权对象。

  • 什么时候用“角色”

角色是集团粒度的,跨项目。创建一个角色后,会在该集团下的各个项目中可见,各个项目无需重复创建。如果各个项目的角色一致,都存在数据开发、运营人员、营销人员等角色,便适合用“角色”概念。

  • 什么时候用“用户组”

用户组是项目粒度的,创建的一个用户组只在该项目可用。如果只需要在项目粒度使用,比如某项目数据开发A组、运营B组等,便适合用“用户组”概念。

完成授权之前,需要先添加用户后方可按角色或角色组进行授权,用户添加可参考文档:添加用户

授予功能模块权限

为部门/角色/用户组批量授予功能权限。

按用户管理:

按内容管理:

按用户管理参考文档:按用户管理
按内容管理:
按内容管理

授予资源权限

为部门/角色/用户组批量授予可视化建模任务、数据集、标签、分群等批量授予资源权限。资源支持全局授权,可将全部标签、分群、洞察报告的查看、编辑、管理权限授予对应对象。

按用户管理:
按内容管理:

参考文档: 全局资源授权
按用户管理:
按用户管理
按内容管理:按内容管理

授予数据规则权限

目前只支持“标签”进行行权限控制,比如A用户在VeCDP只能查看“来源渠道=微信“的用户,B用户在VeCDP只能查看“来源渠道=抖音”的用户。

举例:银行建设了客户标签体系,可查看各个客户的标签及标签值。但存在银行每个客户经理管理的客户不一样,每个客户经理只能查看自己客户的标签值,则需要对客户进行行级权限管控。

解决方案(动态行级权限):

  1. 新加工一列标签,叫“客户所属客户经理”

  1. 在VeCDP的“用户管理”中(客户经理是VeCDP的登录用户),用户属性列中,有一列可以与上述“所属客户经理”的值是同样的,如果没有的话,可以通过“扩展用户标识”功能增加一列。

  1. 在VeCDP的行级权限中配置“动态行级权限”

规则:标签(所属客户经理)= 用户姓名 标签(所属营业部)=客户经理所属营业部
后续去查询时,SQL语句中会根据当前登录用户动态替换用户姓名,实现数据的权限控制。

数据权限配置入口:

参考文档:数据授权
数据授权