定价
登录 开始使用
文档 学习
首页
课程
Metabase 基础
提升您的数据技能
速查表

权限策略

如何考虑在 Metabase 中构建组和权限。

本文提供了一些策略供您在考虑如何在 Metabase 中构建权限时参考。**权限结构**指的是数据库和问题、模型以及人们在 Metabase 中创建的仪表板的集合,以及您授予不同人群对这些资源的访问级别。

我们不是告诉您应该做什么,而是提供一些建议,供您在构建和完善整体权限策略时牢记,随后是三个示例策略供您考虑。这可能需要一些实验,但您的目标应该是找到最简单的解决方案,该解决方案将适用于您的组织结构和安全需求。

如果您正在寻找有关 Metabase 中权限如何工作的概述,请查看我们的文档

构建权限的基础知识

您的权限结构位于三个移动部分的交汇处

  1. 您在 Metabase 中构建的集合
  2. Metabase 中的组如何映射到您的组织结构图
  3. 您的底层数据仓库

默认允许或默认限制

根据行业和公司文化,大多数组织将默认为允许或限制性起点。现在这不是您在 Metabase 中选择的设置,而是在构建权限时要考虑的框架。您是否从所有数据和仪表板都打开开始,并根据需要进行限制?还是您的组织需要从一开始就限制所有数据,并且仅在需要了解的基础上开放对仪表板和问题的访问权限?

如果您不确定,请保持简单,从默认的允许姿态开始,以便每个人都可以访问他们所需的数据 - 只要您保持敏感信息锁定即可。

安全和合规

如果您的组织处理医疗、金融或类似敏感数据,那么在创建数据和集合权限时,您必须遵守严格的约束。在这些情况下,Metabase 中的可发现性必须让位于安全性和合规性。

如何处理权限

在较高层面,此过程应如下所示

  1. 将您的组织划分为多个组。这些组可以直接映射到您的组织结构图,沿着不同员工执行的角色或访问层级(如安全许可)划分。
  2. 在每个组中,弄清楚人们需要查看哪些问题仪表板才能完成工作,如果您还没有创建它们,请创建它们(或者让他们创建自己的东西)。
  3. 确定每个组需要具有自助访问权限的内容,并确保他们可以管理这些集合
  4. 查明并限制您需要为安全或法律合规原因在组织内严格控制的任何数据。
  5. 定期评估和改进您的 Metabase 组和权限。

简单至上

在组织的安全和访问需求的约束范围内,尽可能保持 Metabase 权限的简单性是一个好主意。简而言之,当人们可以访问各种工具和信息时,他们会更有效率。您拥有的权限级别越多,强制执行就越复杂。重要的是找到在不破坏浏览性和组织性的情况下分割敏感数据的方法,因此请尝试使用尽可能少的组来使事情正常工作,因为随着时间的推移,少量的组将更容易维护。简单明了的权限结构也可以在人员流动的情况下使事情变得更容易。如果单个管理员构建了一个复杂的系统来授予集合权限,然后离开了公司,那么其余员工可能不知道如何收拾残局。

期望改变您的策略

您的需求会发生变化,因此请每季度检查一次,以评估您的权限结构的工作情况。您组织中的人员是否能够访问他们完成工作所需的问题和仪表板?您的敏感数据是否已锁定?

权限结构示例

现在我们已经介绍了在制定权限策略时需要牢记的内容和方法,接下来让我们深入探讨您的组织可以根据您的规模、结构和安全需求采取的几种不同方法。

基于组织结构图的权限

最简单、最直接的选择 - 也是大多数公司想要开始的地方 - 是将 Metabase 中的组和集合映射到您现有的组织结构图。如果您有营销和会计部门,请创建相应的营销和会计组,以及保存营销和会计需求的已保存问题和仪表板的集合。

在这种情况下,一个人完成工作所需的一切都可以直接追溯到他们所在的组。营销部门(以及由此延伸的组)的人员可以编辑营销集合,会计部门可以查看但不能编辑该集合。您可能需要子集合来容纳更具体的营销需求 - 例如,与特定营销活动相关的已保存问题。如果这些子文件夹包含敏感信息,您可以限制它们,并且会计部门根本看不到它们。您需要在每个集合和子集合上设置权限,以确保需要它们的人可以访问它们 - 请参阅本文以了解有关该过程的更多信息。

基于组织结构图的权限,其中顶级集合对所有人都是可读的,对某些人是可写的,并且根据需要隐藏子集合,对于大多数组织来说是一个很好的开始。当每个人都属于一个组时,这种结构最有效。随着您的组织变得更加复杂,您可能会发现基于组织结构图的权限很麻烦,特别是如果您非常注重跨部门协作。如果是这种情况,您可能需要考虑基于属性的 Metabase 权限方法。

基于属性的权限

如果您的组织坚持矩阵式组织结构,即人们经常在小组或跨团队工作,则基于属性的权限可能很有用。如果是这种情况,并且您发现每个人一个组不再足够,那么将您的组映射到功能可能更有效。

假设您有一位新员工。他们是一名分析师,将参与特定的营销活动,并且需要访问底层的事件数据。这三个属性无法通过简单的部门组映射来清晰地捕获,因此,您可以创建开始反映功能而不是组织结构图中位置的组。由于人们可以在 Metabase 中属于多个组,因此此路线为在更精细的级别上制定权限解决方案提供了更大的灵活性。

洋葱圈权限

要考虑的第三种模型是将您的权限结构想象成洋葱,不同的环或层代表对集合的访问广度。一个简单的例子是一家公司,其中一切都是透明的并且可以由所有人编辑,除了其中的一层(或集合)仅供高管和人力资源人员访问。考虑到这种洋葱圈模型来处理权限可以帮助您考虑组织中每个人或组所需的访问深度

延伸阅读

下一步:数据权限指南

了解 Metabase 如何通过在 Metabase 附带的示例数据库上设置权限来处理数据权限。

下一篇文章