数据权限
此页面涵盖数据库和表的权限。如果您还没有看过,请先查看我们的权限概述。
为数据库、模式或表设置权限
为某个组设置数据库、模式或表的权限
- 按 Cmd/Ctrl + K。搜索“**权限**”并单击“权限设置”结果。Metabase 将默认显示“**数据**”选项卡。
或者
-
点击右上角的“齿轮”图标。
-
选择管理员设置。
-
单击“**权限**”选项卡,它将默认显示“**数据**”选项卡。
您可以按组或按数据库查看权限。
数据权限类型
您可以为数据库、模式或表设置以下类型的权限
如果您需要根据登录用户更改目标数据库,请参阅数据库路由。数据库路由在每个客户都有自己的数据库时特别有用。
在应用特定权限之前,请阻止“所有用户”组
在应用更具体的权限之前,您需要确保没有人可以看到任何数据。由于每个人都自动属于“所有用户”组,因此您需要阻止该组查看任何数据。
在“**管理员设置**”>“**权限**”>“**数据**”中,阻止“所有用户”组对数据库的访问。
从那里,您可以选择性地授予不同组的权限。
查看数据权限
查看数据权限仅在Pro和Enterprise版本中可用(包括自托管和 Metabase Cloud)。
“**查看数据**”权限决定了人们在查看问题、仪表板、模型和指标时可以看到哪些数据。“查看数据”权限还决定了一个组是否可以在侧边栏中查看模型和指标浏览器。要浏览数据库,一个组还需要对相关数据具有创建查询权限。
权限级别包括
查看数据权限设置适用于您数据库的不同级别
| 查看数据权限 | 数据库 | Schema (数据库结构) | 表格 |
|---|---|---|---|
| 可以查看 | ✅ | ✅ | ✅ |
| 细粒度* | ✅ | ✅ | ❌ |
| 行和列安全 | ❌ | ❌ | ✅ |
| 模拟 | ✅ | ❌ | ❌ |
| 阻止 | ✅ | ✅ | ✅ |
*“细粒度”设置本身并不是一种权限;它只是表示权限已在低于当前级别的级别上设置。例如,您可以在模式级别选择“细粒度”以按表为该模式中的表设置权限。
在免费的开源版 Metabase 中,“**查看数据**”设置默认为“可以查看”。由于 OSS 版本中没有此设置的选项,Metabase 只会在 Pro/Enterprise 版本中显示此“**查看数据**”设置。
关于哪些问题、模型和仪表板组可以查看,请参阅集合权限。
可以查看数据权限
可以查看数据权限仅在Pro和Enterprise版本中可用(包括自托管和 Metabase Cloud)。
设置为“**可以查看**”意味着该组可以查看数据源的所有数据,前提是他们具有集合权限来查看问题、模型和仪表板。
细粒度查看数据权限
细粒度查看数据权限仅在Pro和Enterprise版本中可用(包括自托管和 Metabase Cloud)。
此选项允许您为各个模式或表设置“查看数据”权限。仅适用于数据库和模式。如果您为数据库或模式选择“细粒度”,Metabase 将打开该数据源并要求您为每个单独的模式或表设置权限。
对于表,您可以选择设置“**可以查看**”或“**沙盒**”。
行和列安全
行和列安全仅在 Pro 和 Enterprise 计划中可用(包括自托管和 Metabase Cloud)。
允许您基于用户属性以及自定义视图设置行级别权限。只能在表级别配置。
请参阅行和列安全。
模拟查看数据权限
模拟查看数据权限仅在Pro和Enterprise版本中可用(包括自托管和 Metabase Cloud)。
“**模拟**”选项允许您使用数据库中的角色来指定人们可以查看和查询的数据。模拟只能在数据库级别设置,因为 Metabase 将遵循授予数据库角色的权限。
请参阅模拟查看数据权限
阻止查看数据权限
阻止查看数据权限仅在Pro和Enterprise版本中可用(包括自托管和 Metabase Cloud)。
**阻止**可确保组中的人员无法从此数据库、模式或表中查看数据,无论其在集合级别拥有何种权限。
阻止查看数据权限可以在数据库、模式或表级别设置。本质上,阻止的作用是使集合权限不足以查看某个问题。例如,即使某个问题位于组有权访问的集合中,但该问题查询的是组被阻止访问的数据源,那么该组中的人员将无法查看该问题,除非他们属于另一个拥有该数据源数据权限的组。
为组设置阻止访问将始终阻止该组查看使用原生查询编辑器构建的、查询同一数据库中任何表的 SQL 问题。因此,即使您只阻止数据库中的单个表,该组也无法查看查询该数据库中任何表的 SQL 问题。原因:Metabase(目前)不解析 SQL 查询,因此无法确定 SQL 查询是否查询您要阻止的表。
如果“阻止”组中的某人属于另一个拥有“可以查看”数据权限的组,则该更宽松的访问将优先,他们将能够查看该问题。
创建查询权限
指定一个组是否可以基于数据源创建新问题。创建查询包括钻取和过滤问题,或任何涉及更改结果的操作。此权限还决定了一个组是否可以访问数据库浏览器来探索该数据源。
要为一个组启用“创建查询”权限,该组必须能够查看数据源(“可以查看”权限)。
创建查询级别包括
查询构建器和原生创建查询权限
人们可以使用 Metabase 的查询构建器或其原生/SQL 编辑器。
如果某个组对数据库中的任何表都拥有“阻止”或“行和列安全”的查看数据权限,则该组将对该数据库中的所有表禁用原生查询。这是因为 Metabase 无法解析 SQL 查询,因此无法确定 SQL 查询是否使用了访问受限的表。
仅查询构建器创建查询权限
人们可以使用 Metabase 的查询构建器创建新问题和钻取现有问题。
细粒度
细粒度选项允许您为数据库中的每个模式和/或表定义“创建查询”权限。
下载结果权限
下载权限仅在Pro和Enterprise版本中可用(包括自托管和 Metabase Cloud)。
您可以设置某个组中用户可以从数据源下载结果(以及多少行)的权限。选项包括
- 否(他们无法下载结果)
- 细粒度(您想为各个表或模式设置访问权限)
- 1 万行
- 100 万行
管理表元数据权限
数据模型权限仅在Pro和Enterprise版本中可用(包括自托管和 Metabase Cloud)。
您可以定义一个组是否可以编辑表元数据。选项包括
- 是(意味着他们可以编辑该数据源的元数据)。
- 否
- 细粒度(为每个表设置特定权限)。
管理数据库权限
数据库管理权限仅在Pro和Enterprise版本中可用(包括自托管和 Metabase Cloud)。
“**管理数据库**”权限授予对给定数据库设置页面的访问权限(即,位于“**管理员设置**”>“**数据库**”>您的数据库的页面)。
在数据库设置页面上,您可以
请注意,只有管理员才能删除 Metabase 中的数据库连接,因此具有“**管理数据库**”权限的用户将看不到“**删除数据库**”按钮。
撤销访问,即使“所有用户”拥有更高访问权限
如果您看到此模态弹出窗口,Metabase 会告诉您,“所有用户”组(即您 Metabase 中的每个人)对您正在设置权限的数据库、模式或表的访问级别更高。要将当前组限制为您首选的权限级别,则“所有用户”组必须对相关数据源拥有较低的访问级别。
上传权限
请参阅上传权限。
延伸阅读
阅读其他版本的 Metabase 的文档。