You need to enable JavaScript to run this app.
导航
数据智能体
  • 文档首页
    • /数据智能体/智能分析 Agent/管理与运维/权限指南/权限管理
权限管理
最近更新时间:2025.08.19 14:20:10首次发布时间:2025.06.09 18:25:52
复制全文
我的收藏
有用
有用
无用
无用

Data Agent 为用户提供了灵活的权限管控能力,结合火山引擎访问控制(IAM)产品,可实现对用户在系统级、产品级的权限管控。本文为您介绍 Data Agent 的权限管控能力。

权限管控概述

通常情况下,开通 Data Agent 的火山引擎 主账号 为权限最大的 系统管理员 账号,系统管理员可根据团队业务情况创建多个 IAM 子账号,将其添加到 Data Agent 用户中,并通过 Data Agent 的权限管控授予更细粒度的 Data Agent 资源权限(包括项目资源权限和智能体权限)。
Image

权限管控粒度

Data Agent 包含产品级控制、项目资源权限管控、智能体权限管控,各级权限管控的权限范围说明如下。

注意

智能体和项目相互独立,授权时需分别为用户授予项目相关权限和智能体相关权限。
例如,某用户想要为智能体配置来源于多个项目的数据集,则需要分别获取智能体管理权限和多个数据集的查看权限。

权限管控粒度

权限范围说明

产品级控制

  • 用于管控用户是否有进入 Data Agent 产品界面的权限,仅 Data Agent 产品成员可访问产品页面,非产品成员无进入权限。

项目资源权限管控

  • 用于管控用户是否有 Data Agent 中某个项目或项目内资源的权限。
  • 项目资源权限可进一步细分为项目中的数据集、可视化建模、数据连接资源,资源的操作权限可分为查看、编辑、管理等。

    说明

    除此以外,对于项目资源中的数据权限,Data Agent 提供了更细粒度的行列权限管控方式,以充分保障用户数据的安全性、数据操作的合规性,具体可查看场景实践:细粒度数据权限管控

智能体权限管控

  • 用于管控用户是否有智能体使用(问数、深度研究等)或管理(创建、配置智能体等)的权限。

用户授权要点

Data Agent 对产品、项目、智能体进行用户权限时,可将用户细分为管理员用户和普通用户。

用户类别

系统与产品

项目

智能体

管理员用户

系统管理员:
默认主账号为系统管理员,有产品所有的操作权限。例如,进行系统配置、将 IAM 用户添加为 Data Agent 产品用户、项目相关的全部权限以及智能体相关的全部权限等。

项目管理员:
有该项目相关的全部权限,例如配置项目基础信息、添加项目成员、授予项目成员资源权限等。

智能体管理员:
有该智能体相关的全部权限,例如智能体创建、配置、授权、发布、下线、删除。

普通用户

系统成员与产品成员:

  • 权限要求:系统管理员有系统成员和产品成员管理相关权限。
  • 权限管理:默认子账号为系统成员,需要被系统管理员添加为 Data Agent 成员后方可成为产品成员,成为产品成员后续才可被添加为项目成员和智能体成员。
  • 权限范围:系统成员和产品成员还不具备项目和智能体相关权限。

项目成员:

  • 权限要求:系统管理员、项目管理员有项目成员管理相关权限。
  • 权限管理:产品成员可被授权为某项目成员并被授予项目内资源(数据集、数据连接、可视化建模)相关权限。
  • 权限范围:被授权后,项目成员可访问项目列表、对项目内资源执行相应查看、编辑、管理操作。

智能体成员:

  • 权限要求:系统管理员、智能体管理员有智能体成员管理相关权限。
  • 权限管理:产品成员可被授权为某智能体成员并被授予智能体使用相关权限。
  • 权限范围:被授权后,智能体成员可访问智能体使用界面,进行智能分析(数据查询、深度研究等)。

权限明细查看

支持用户查看权限明细,获取权限相关信息,了解权限是否生效。

  • 项目相关可在「项目中心」-「按用户授权」页面查看。
  • 智能体相关可在「智能体配置」-「基本信息」页面查看。

权限管控实践

通用授权操作

授权方式

Data Agent 为用户提供针对不同资源的多种授权方式:

  • 项目资源授权方式
  • 智能体资源授权方式

授权操作

各资源的详细权限信息及授权操作步骤,请参见用户权限详解

场景实践:授权链路建议

  • 链路一:直接为用户授予对象的操作权限
    Image
    1. 创建 IAM 子账号。由系统管理员(主账号)登录火山引擎,在 IAM 访问控制页面 创建子账号,即火山引擎系统用户,具体可参见用户管理

      注意

      系统管理员创建好子账号后,无需在 IAM 访问控制页面对子账号授权。

    2. 添加系统用户至 Data Agent 产品。由系统管理员(主账号)进入 Data Agent 「系统管理」-「用户管理」页面,搜索 IAM 子账号(系统用户)将其添加为 Data Agent 产品用户。
    3. 授予项目和智能体相关权限。由项目管理员为产品用户添加项目资源相关权限(项目、数据集、可视化建模、数据连接),由智能体管理员为产品用户添加智能体资源(仅智能体)相关权限。
      • 如用户需快速使用智能体,则至少需要同时拥有智能体使用权限及该智能体所配置的数据集的查看权限(此为最低权限要求),具体操作可查看。
      • 如用户想要查看、编辑或管理项目或项目中的数据集、可视化建模、数据连接等,或者需要对智能体进行配置等高级操作,则需要拥有相应的项目及智能体权限,具体操作可查看用户权限详解
  • 链路二:在对项目资源对象授权时,采用用户组方式批量为用户授权
    Image
    1. 创建用户组。由系统管理员在 IAM 访问控制页面 创建用户组,即系统级用户组,具体可参见用户管理
    2. 将用户添加至用户组。由系统管理员在 IAM 访问控制页面 为用户组添加用户。
    3. 关联用户组。由项目管理员在「项目中心」-「用户组管理」页面的「用户组列表」中通过关联系统级用户组的方式在产品中新建用户组。

      注意

      • 此处 项目管理员 仅可通过关联系统级用户组的方式在 Data Agent 中创建用户组,系统级用户组为 火山引擎访问控制 中设置的用户组。
      • 如需调整系统级用户组成员,需由 系统管理员IAM 访问控制页面 中添加、删除用户。
    4. 为用户组授权。由项目管理员在「项目中心」-「用户组管理」页面的「权限管理」中为用户组授予项目或数据集权限,具体可参见用户组管理

场景实践:细粒度数据权限管控

除此以外,对于 Data Agent 数据集中的数据权限,产品也提供了更细粒度的管控方式——数据行列权限控制,可控制用户对数据集特定行或列的查看权限,具体可参考数据行列权限

对比维度

资产权限

数据权限

核心对象

项目、数据集、可视化建模、数据连接、智能体等资产

数据集的特定行或列数据

权限范围

资产的新建、查看、编辑、管理等操作(如项目新建、数据集编辑、智能体管理)

对数据行 / 列的查看限制(如仅能查看某部门数据行、某字段列)

关键作用

控制对资产的操作权限,决定能否使用或管理资源

控制数据内容的可见范围,限制对具体数据行 / 列的访问

获取方式

由对应资产管理员授权,授权后用户可获取对应资产权限

项目管理员或拥有数据集管理权限的用户在数据集管理页面配置行列权限
Image

依赖关系

  • 当用户拥有数据集查看权限,如果该数据集行列权限未开启,则用户可以查看到全部数据。
  • 当用户拥有数据集查看权限,如果该数据集行列权限开启,则用户所能查看到的数据内容受行列权限限制,可能还需申请行列权限。
  • 当数据集开启了行列权限限制时,有数据集权限,不代表就能看到数据,还需要申请行列权限。
  • 即使有行列权限,若需要进入可视化建模页面进行自由分析,还得申请数据集权限。

在实际业务场景中,数据权限(指数据行列权限)的作用至关重要,它能精准划定用户对数据内容的访问边界,确保数据在安全可控的前提下被合理使用,具体场景化作用如下:

  • 企业部门协作:销售部门智能体关联的数据集,通过行权限限制销售人员仅查看负责区域 / 客户的销售数据行,列权限仅开放销售额等相关列,屏蔽成本等财务敏感列,确保数据使用合规。
  • 金融风控:银行智能体的客户信息数据集,行权限让信贷员仅见负责客户的申请数据行,列权限仅向普通信贷员开放基本信息等列,资产明细等敏感列仅限高级风控人员查看,保障数据安全。
  • 医疗数据应用:医院智能体的病历数据集,行权限按科室划分,医生仅看本科室患者病历行;基因检测结果等敏感列通过列权限仅限特定团队查看,平衡隐私保护与科研需求。