文档反馈
问问助手本文为您详细介绍各项目、模块、资源、数据的权限配置方法。
配置权限前请先确定管理员,并在火山引擎控制台创建项目、角色账号和角色等。操作文档参考:身份配置。
根据集团与项目的划分逻辑,确定集团与项目管理员,集团管理员默认有该集团下全部项目的权限,项目管理员需要项目创建者手动授予”项目管理权限点”。
说明
单集团的集团管理员为admin,不支持设置其他人,多集团的管理员可灵活设置多个人。
- 私有化:当私有化环境部署完成后,火山引擎运维人员会将私有化环境的登录链接和管理员账号密码提供给管理员,您需要记录相关信息,并使用管理员账号登录私有化环境。
- SaaS版本
- 进入火山引擎控制台。
- 选择管理中心。
- 点击集团管理员的修改按钮,设置集团管理员。
私有化版本
- 新建系统用户。
- 管理员点击右上角的头像,选择「系统配置」。
- 进入系统配置页面,选择「账号管理」,点击「新建账号」-「手动新建」或「批量导入」,填写账号的基本信息。点击「确定」。
- 管理员点击右上角的头像,选择「系统配置」。
- 添加用户。在企业知识引擎页面,选择「项目中心」,点击「权限管理」-「按用户管理」,点击「添加用户」。
SaaS版本
- 新建系统用户。
- 管理员点击右上角头像,选择「访问控制」。
- 进入「用户管理 > 用户」 ,点击「新建用户」 ,填写用户信息和权限配置即可完成创建,具体操作请参见用户管理。
本文以”通过用户名创建“为例,操作如下:选择「通过用户名创建」。
填写用户基本信息。
说明
「用户名」(必须是英文字母,不可输入中文),如test。
访问方式中勾选「编程访问-允许用户管理自己的API密钥」,系统将自动为用户分配AK;可同时勾选「控制台访问」,选择访问密码时「自定义生成密码」,并勾选重置密码时「无需重置密码」,点击「下一步」。
在权限配置页面,完成所需权限勾选后,点击下一步。
账号类型及权限说明如下:
角色
权限范围
管理员(admin)
全集团下所有资源访问+权限分配权限
普通用户
被授予了企业知识引擎、AI应用编辑权限的用户
在审阅页面,检查用户创建配置项是否准确,若不准确,可返回上一步进行修改,确认无误后点击「下一步」,输入验证码即可完成IAM子账号的创建。
- 管理员点击右上角头像,选择「访问控制」。
- 添加用户。在客户数据平台页面,选择「项目中心」,点击「权限管理」-「按用户管理」,点击「添加用户」。
在客户数据平台页面,选择项目中心-权限-按用户管理,为用户或用户组开启或关闭查看、管理权限。
不建议为单个用户一个个授权,效率低,且后续维护成本高,建议:
- 如果权限体系要对接组织架构,那建议将组织架构作为主授权对象,辅以用户组可以做一些灵活变更。
- 如果权限体系不对接组织架构,建议用“角色”或“用户组”作为主授权对象。
说明
“角色” :角色是集团粒度的,跨项目。创建一个角色后,会在该集团下的各个项目中可见,各个项目无需重复创建。如果各个项目的角色一致,都存在数据开发、运营人员、营销人员等角色,便适合用“角色”概念。
“用户组” :用户组是项目粒度的,创建的一个用户组只在该项目可用。如果只需要在项目粒度使用,比如某项目数据开发A组、运营B组等,便适合用“用户组”概念。
功能模块的权限支持按照内容或者用户授予,具体操作方法参见按用户管理、按内容管理。
为部门/角色/用户组批量授予可视化建模任务、数据集、标签、分群等批量授予资源权限。资源支持全局授权,可将全部标签、分群、洞察报告的查看、编辑、管理权限授予对应对象。资源模块的权限支持按照内容或者用户授予,具体操作方法参见按用户管理、按内容管理。
目前只支持“标签”进行行权限控制,比如A用户在此平台只能查看“来源渠道=微信“的用户,B用户在此平台只能查看“来源渠道=抖音”的用户,详细参考文档数据授权。
举例:银行建设了客户标签体系,可查看各个客户的标签及标签值。但存在银行每个客户经理管理的客户不一样,每个客户经理只能查看自己客户的标签值,则需要对客户进行行级权限管控。
解决方案(动态行级权限):
- 新加工一列标签,叫“客户所属客户经理”
- 在“用户管理”中(客户经理是该平台的登录用户),用户属性列中,有一列可以与上述“所属客户经理”的值是同样的,如果没有的话,可以通过“扩展用户标识”功能增加一列。
- 在行级权限中配置“动态行级权限”
规则:标签(所属客户经理)= 用户姓名 或 标签(所属营业部)=客户经理所属营业部。
后续去查询时,SQL语句中会根据当前登录用户动态替换用户姓名,实现数据的权限控制。