定价
文档 学习
首页
Metabase 基础
提高你的数据技能

权限策略

如何在Metabase中结构化组和权限思考。

本文提供了一些策略,供您在思考如何在Metabase中构建权限结构时参考。所谓《权限结构》是指人们在Metabase中创建的数据库和问题、模型、仪表板集合的组合,以及您授予不同人群对这些资源的访问级别。

我们不是在告诉您应该做什么,而是在您构建和优化整体权限策略时提供一些建议,并随后提供三个示例策略供您考虑。这可能会需要一些试验,但您的目标应该是找到最简单且适合您组织结构和安全需求的解决方案。

如果您想了解Metabase中权限的工作原理概述,请查看我们的文档

权限结构的基本原则

您的权限结构位于三个动态部分的交叉点

  1. 您在Metabase中构建的集合
  2. Metabase中的群体如何映射到您的组织结构图
  3. 您的基础数据仓库

默认为开放或默认为限制性

根据行业和公司文化,大多数组织要么从开放性出发,要么从限制性出发。这并不是您在Metabase中某处选择的设置,而是一个在构建权限结构时需要考虑的框架。您是希望从所有数据和仪表板开放开始并按需限制,还是您的组织从一开始就需要限制所有数据,仅在需要知道的情况下开放仪表板和问题?

如果您不确定,首先保持简单,采用默认开放立场,这样每个人都可以访问他们所需的数据——只要您确保敏感信息保持锁定。

安全和合规性

如果您的组织处理医疗、金融或类似敏感数据,您在创建数据和集合权限时必须遵守硬性约束。在这些情况下,Metabase的可发现性必须让位于安全和合规性。

如何处理权限

从高层次来看,这个过程可能看起来像这样

  1. 将您的组织划分为群体。这些群体可能直接映射到您的组织结构图,或者根据不同员工扮演的角色划分,或者划分为访问层(如安全许可)。
  2. 在每个群体内,确定人们需要查看哪些问题仪表板来完成他们的工作,如果您还没有创建这些(或者让他们自己创建),请创建它们。
  3. 确定每个群体需要自我服务访问的内容,并确保他们可以整理那些集合
  4. 针对出于安全和法律合规性原因需要在组织内部严格控制的数据进行精确限制。
  5. 定期评估和优化您的Metabase群体和权限。

简单为最佳

在符合您组织的安全和访问需求的前提下,尽量保持您的 Metabase 权限尽可能简单是一个好主意。简单来说,当人们能够访问各种工具和信息时,他们的工作效率会更高。您拥有的权限级别越多,实施起来就越复杂。找到在不破坏浏览性和组织结构的情况下划分敏感数据的方法非常重要,因此尽可能使用尽可能少的组,因为随着时间的推移,组越少,维护起来就越简单。简单的、易于理解的权限结构也可以在人员流动的情况下简化事情。如果一位管理员构建了一个复杂的系统来授予集合权限然后离职,剩余的员工可能不知道如何接手。

预期您的策略会发生变化

您的需求会发生变化,因此请每季度检查一次,以评估您的权限结构是否有效。您组织中的员工能否访问他们完成工作所需的问题和仪表板?您的敏感数据是否得到妥善保护?

示例权限结构

在了解了在制定权限策略时需要注意什么和如何做之后,让我们深入探讨一些不同的方法,您的组织可以根据自己的规模、结构和安全需求采取这些方法。

基于组织结构图权限

最简单、最直接的选择——也是大多数公司希望从哪里开始的地方——是将 Metabase 中的组和集合映射到现有的组织结构图。如果您有市场和会计部门,创建相应市场和会计组,以及用于满足市场和会计需求的保存问题和仪表板的集合。

在这种情况下,一个人完成工作所需的一切都可以直接追溯到他们所在的组。市场营销部门的员工(以及所属的组)可以编辑市场营销集合,会计部门可以查看但不能编辑。您可能需要子集合来存放更具体的市场营销需求——比如与特定活动相关的保存问题。如果这些子文件夹包含敏感信息,您可以对其进行限制,会计部门将完全看不到它们。您需要在每个集合和子集合上设置权限,以确保它们对需要的人可访问——请参阅这篇文章了解更多关于此过程的信息。

基于组织结构图的权限,其中顶级集合对每个人可读,对某些人可写,根据需要隐藏子集合,对于大多数组织来说是一个很好的起点。当每个人只属于一个组时,这种结构最为有效。随着您的组织变得更加复杂,您可能会发现基于组织结构图的权限很繁琐,特别是如果您重视跨部门协作。如果是这样,您可能需要考虑使用基于属性的 Metabase 权限方法。

基于属性权限

如果您的组织遵循矩阵式组织结构,其中人们经常在小组或跨团队中工作,基于属性的权限可能很有用。如果情况如此,并且您发现每个人一个组不再适用,将您的组映射到职能上可能更有效。

假设您有一个新员工。他们是一名分析师,将负责特定的营销活动,并需要访问底层事件数据。这三个属性不能通过简单的部门分组映射干净地捕获,因此,您可以创建开始反映功能而不是组织结构图中位置的组。由于Metabase中的人可以属于多个组,这种方法在更细粒度级别上提供了更多灵活性,以构建权限解决方案。

洋葱圈权限

考虑的第三种模型涉及将您的权限结构视为洋葱,其中不同的环或层表示对集合的访问范围。一个简单的例子是,除了只有一个层(或集合)只能由高管和人力资源人员访问之外,公司中的一切都是透明并可编辑的。以这种洋葱圈模型来考虑权限可以帮助您考虑组织中每个人或组所需的访问深度

进一步阅读

下一节:数据权限指南

通过在Metabase中设置示例数据库的权限来了解Metabase如何处理数据权限。

下一篇文章