价格
登录 开始使用
文档 学习
课程
Metabase 教程
提升您的数据技能
备忘单

权限策略

如何考虑在 Metabase 中构建群组和权限。

本文提供了一些策略,供您在考虑如何在 Metabase 中构建权限时参考。**权限结构**是指 Metabase 中人们创建的数据库、问题、模型和仪表盘集合的组合,以及您授予不同人群对这些资源的访问级别。

我们不会告诉您应该怎么做,而是提供一些建议,供您在构建和完善整体权限策略时参考,然后是三种示例策略。这可能需要一些试验,但您的目标应该是找到最简单的解决方案,以满足您的组织结构和安全需求。

如果您想了解 Metabase 中权限的工作原理,请查看我们的文档

构建权限的基础知识

您的权限结构位于三个动态部分的交汇处

  1. 您在 Metabase 中构建的集合
  2. Metabase 中的群组如何映射到您的组织结构图
  3. 您的底层数据仓库

默认允许或默认限制

根据行业和公司文化,大多数组织会默认从允许或限制的起点开始。这并不是您在 Metabase 中选择的设置,而是一个在构建权限时需要考虑的框架。您是默认开放所有数据和仪表盘,然后根据需要进行限制吗?或者您的组织是否需要从一开始就限制所有数据,只在需要时才开放对仪表盘和问题的访问?

如果您不确定,请首先保持简单,采用默认允许的策略,这样每个人都可以访问他们需要的数据——只要您将敏感信息锁定即可。

安全与合规

如果您的组织处理医疗、金融或类似敏感数据,那么在创建数据和集合权限时,您必须遵守严格的限制。在这种情况下,Metabase 中的可发现性必须让位于安全和合规性。

如何处理权限

从高层次看,这个过程应该像这样

  1. 将您的组织划分为小组。这些小组可以直接映射到您的组织结构图,也可以根据不同员工扮演的角色,或者按访问级别(如安全许可)进行划分。
  2. 在每个组中,确定人们完成工作需要查看哪些问题仪表盘,如果尚未创建,请创建它们(或者让他们自己创建)。
  3. 确定每个组需要自助访问什么,并确保他们可以管理这些集合
  4. 出于安全或法律合规原因,查明并限制您需要在组织内部严格控制的任何数据。
  5. 定期评估和完善您的 Metabase 群组和权限。

简单为上

在组织安全和访问需求的限制内,尽可能保持 Metabase 权限简单是明智之举。简而言之,当人们可以访问各种工具和信息时,他们的工作效率会更高。权限级别越多,强制执行就越复杂。重要的是要找到在不破坏可浏览性和组织结构的情况下细分敏感数据的方法,因此请尝试使用尽可能少的群组来完成工作,因为群组越少,长期维护就越简单。简单且不言自明的权限结构也可以在人员更替时简化操作。如果一位管理员为授予集合权限构建了一个复杂的系统,然后离职,其余员工可能不知道如何接手。

期待改变你的策略

您的需求会发生变化,因此请每季度检查一次,评估您的权限结构是否有效。您的组织中的人员是否能够访问他们完成工作所需的问题和仪表盘?您的敏感数据是否被锁定?

示例权限结构

既然我们已经涵盖了在制定权限策略时需要考虑的内容和方法,那么让我们深入探讨您的组织可以根据其规模、结构和安全需求采取的几种不同方法。

基于组织结构图的权限

最简单、最直接的选择——也是大多数公司希望开始的地方——是将 Metabase 中的群组和集合映射到您现有的组织结构图。如果您有市场部和会计部,请创建相应的市场部和会计部群组,以及包含市场部和会计部需求的已保存问题和仪表盘的集合。

在这种情况下,一个人完成工作所需的一切都可以直接追溯到他们所属的群组。市场部门(以及扩展开来的群组)的人可以编辑市场集合,该集合可以被会计部门查看——但不能编辑。您可能需要子集合来容纳更具体的市场需求——比如,与特定活动相关的已保存问题。如果这些子文件夹包含敏感信息,您可以限制它们,会计部门将根本看不到它们。您需要为每个集合和子集合设置权限,以确保需要它们的人可以访问它们——请参阅本文以了解有关该过程的更多信息。

对于大多数组织来说,基于组织结构图的权限是一个很好的开端,其中顶级集合对所有人可读,对某些人可写,并根据需要隐藏子集合。当每个人都属于一个群组时,这种结构最有效。随着您的组织变得越来越复杂,您可能会发现基于组织结构图的权限变得繁琐,特别是如果您非常重视跨部门协作。如果是这种情况,您可能需要考虑采用基于属性的 Metabase 权限方法。

基于属性的权限

如果您的组织遵循矩阵式组织结构,人员经常以小组形式或跨团队工作,那么基于属性的权限可能很有用。如果是这种情况,并且您发现每人一个群组不再适用,那么将您的群组映射到职能可能更有效。

假设您有一位新员工。他是一名分析师,将从事一项特定的营销活动,并且需要访问底层事件数据。这三个属性无法通过简单的部门群组映射清晰地捕获,因此,您可以创建开始模仿职能而非组织结构图中的位置的群组。由于一个人在 Metabase 中可以属于多个群组,因此这种方法为在更细粒度级别上制定权限解决方案提供了更大的灵活性。

洋葱圈权限

第三个值得考虑的模型是像洋葱一样思考您的权限结构,其中不同的环或层代表对集合的访问广度。一个简单的例子是,在一个公司中,除了一个只有高管和人力资源人员才能访问的层(或集合)之外,所有内容都是透明且可供所有人编辑的。在考虑权限时,牢记这种洋葱圈模型可以帮助您考虑组织中每个人或每个群组所需的访问**深度**。

延伸阅读

这有帮助吗?

感谢您的反馈!
分析师每周技巧
获取可行的见解
关于 AI 和数据的资讯,直接发送到您的收件箱
© . This site is unofficial and not affiliated with Metabase, Inc.