文档反馈
问问助手平台各功能模块涉及多项权限,如账号、用户、标签等权限。在本模块中用户可以集中管理各项权限与授权,更安全合规的使用企业数据。 本文为您介绍非结构化数据打标功能中的权限管理。
权限管理分为两部分:
模块 | 功能介绍 | 操作文档 | |
|---|---|---|---|
Part 1 | 火山引擎-访问控制 | 用于创建项目、用户账号、角色等。 | |
Part 2 | 项目中心 | 用于管理用户、用户组,授权各类权限等。 |
目前具有三个管理角色,分别为集团管理员>项目管理员>资源管理者:
职位描述 | 权限范围 | |
|---|---|---|
集团管理员 | 单集团管理员为Admin账号(不支持灵活配置),具有集团最高权限,可管理、编辑、查看集团下所有项目的功能、资源、数据行权限。 | Id-mapping 配置为集团管理员专享,仅集团管理员可对该项进行配置。集团管理员可配置项目管理员和资源管理者。 |
项目管理员 | 具有项目最高权限,可管理、编辑、查看对应项目的功能、资源、数据行权限。项目管理员可以灵活设置。 | 项目管理员可在其拥有的项目权限范围内进行权限配置。 |
资源管理者 | 资源管理者,在各个业务模块( 标签模块、分群模块),为其他用户授予资源权限,资源管理者可以灵活设置。 | 可在其拥有的资源权限范围内进行资源权限配置。 |
有4种授权对象,包含用户、角色、用户组、部门,其概念和关系如下:
概念 | 释义 |
|---|---|
用户 | 用户是单个独立账号对应的主体,用户可以属于角色、用户组、部门。 |
角色 | 角色是一批用户的集合,是集团粒度的(某角色创建后,会在同一个集团下的不同项目均展示,且用户一致)。 |
用户组 | 用户组也是一批用户的集合,是项目粒度的(同一个集团下的各个项目,可以拥有不同的用户组)。 |
部门 | 部门是组织架构,具有层级关系,也是用户的集合,是平台粒度的(全平台只能拥有一套部门,不同集团的部门一样)。 |
有4种授权内容,包含项目、功能(模块)、资源、数据行权限。
概念 | 释义 |
|---|---|
项目 | 指的是项目空间,包含该项目下的所有授权内容,如功能、资源、数据行权限。 |
功能(模块) | 页面菜单和按钮权限,如数据管理模块、标签模块的查看、编辑、管理权限。 |
资源 | 资源是系统生产的资产,如数据集、数据档案、标签、分群等,资源有查看、编辑、管理权限。 |
数据规则 | 是资源下某一行的权限,如售卖渠道标签,有些用户只能查看“渠道=抖音”的标签、有些用户只能查看“渠道=京东、天猫”的标签。 |
- 授权机制: 基于管理员授权机制,不支持权限申请,集团管理员、项目管理员可以给普通用户授予权限。
- 授权模型: 授权逻辑基于“ABAC+RBAC”模型,非常灵活,对用户、用户组、角色、部门均可以授予项目、功能、资源、数据行权限。
- 权限继承:
- 用户会继承用户组、角色、部门的项目、功能、资源、数据行权限。
说明
举例:用户A有资源1的权限,A用户属于角色F,角色F有资源2的权限,那用户A也会同时有资源2的权限
- 项目、功能、资源权限,根据授权类型来判断取交集还是并集。如果是“授权”逻辑,最终取并集;如果是“禁用”逻辑,最终取“交集”。
说明
项目、功能、标签等资源走的是授权逻辑,当用户A同时属于角色F(有资源2的权限)、角色H(有资源3的权限),那用户A会有资源2+资源3的权限;
指标资源、主体资源走的是禁用逻辑,当用户A被禁用了资源1、且被禁用了资源2,则这2个的资源权限都没有。 - 数据行权限取交集。
说明
数据行权限规则1(只能访问“渠道=抖音”的数据)与数据行权限规则2(只能访问“性别=男”的数据)的授权用户中均有用户A,用户A可访问数据为“渠道=抖音”且“性别=男”的数据,缩小了数据范围。
- 用户会继承用户组、角色、部门的项目、功能、资源、数据行权限。