价格
登录 开始使用
文档 学习
课程
Metabase 教程
提升您的数据技能
备忘单

权限策略

关于如何在 Metabase 中构建群组和权限结构的思考。

本文提供了一些策略,供您在考虑如何构建 Metabase 中的权限时参考。权限结构是指 Metabase 中用户创建的数据库、问题集合、模型和仪表板的组合,以及您授予不同用户群组对这些资源的访问级别。

我们不会告诉您应该怎么做,而是提供一些建议,供您在构建和完善整体权限策略时考虑,之后是 三个示例策略供您参考。这可能需要一些实验,但您的目标应该是找到最适合您组织结构和安全需求的简单解决方案。

如果您正在寻找 Metabase 中权限的工作原理概述,请查看我们的 文档

构建权限的基础知识

您的权限结构在于三个移动部件的交集

  1. 您在 Metabase 中构建的集合
  2. Metabase 中的群组如何映射到您的组织结构图
  3. 您的底层数据仓库

默认宽松或默认严格

根据行业和公司文化,大多数组织都会选择一个宽松或严格的起点。这并不是您在 Metabase 中选择的某个设置,而是构建权限时需要考虑的一个框架。您是先打开所有数据和仪表板,然后根据需要进行限制?还是您的组织从一开始就需要限制所有数据,并且只根据“需要了解”的原则开放对仪表板和问题的访问权限?

如果您不确定,一开始请 保持简单,采用默认宽松的策略,以便每个人都能访问他们需要的数据——只要您将敏感信息妥善保管。

安全与合规

如果您的组织处理医疗、金融或类似的敏感数据,您在创建数据和集合权限时必须遵守严格的限制。在这种情况下,Metabase 的可发现性必须让位于安全和合规。

如何处理权限

总的来说,这个过程应该如下所示

  1. 将您的组织划分为不同的群组。这些群组可能直接映射到 您的组织结构图,也可能沿着 员工扮演的不同角色 或访问级别(如安全许可)进行划分。
  2. 在每个群组内,确定人们需要查看哪些 问题仪表板 来完成他们的工作,如果还没有创建,就创建它们(或者让他们自己创建)。
  3. 确定每个群组需要自助访问的内容,并确保他们能够管理这些 集合
  4. 找出并限制您组织内因安全或法律合规原因需要严格控制的任何数据。
  5. 定期评估和完善您的 Metabase 群组和权限。

简单是最好的

在满足您组织的安全和访问需求的前提下,尽量保持 Metabase 权限的简单性是一个好主意。简单来说,当人们能够访问各种工具和信息时,他们的工作效率会更高。权限级别越多,执行起来就越复杂。重要的是找到分割敏感数据的方法,同时又不破坏可浏览性和组织性,因此请尝试使用尽可能少的群组来解决问题,因为群组越少,长期维护就越直接。简单且不言自明的权限结构在员工流动时也能使事情更容易。如果单个管理员建立了一个复杂的集合权限授予系统,然后离职,那么剩余的员工可能不知道如何接手。

预计会改变您的策略

您的需求会变化,因此请每季度检查一次,以评估您的权限结构运行情况。您组织中的人们是否能够访问他们完成工作所需的问题和仪表板?您的敏感数据是否得到了妥善保护?

示例权限结构

现在我们已经涵盖了制定权限策略时需要考虑的内容和方式,让我们深入探讨一下您的组织可以根据规模、结构和安全需求采取的几种不同方法。

基于组织结构图的权限

最简单、最直接的选择——也是大多数公司会想要开始的地方——是将 Metabase 中的群组和集合映射到您现有的组织结构图。如果您有营销部和会计部,就创建相应的营销群组和会计群组,以及包含营销和会计所需保存的问题和仪表板的集合。

在这种情况下,一个人完成工作所需的一切都可以直接追溯到他们所属的群组。营销部(及其关联的群组)中的人员可以编辑营销集合,而会计部可以查看(但不能编辑)该集合。您可能需要子集合来处理更具体的营销需求——例如,与特定广告系列相关的已保存问题。如果这些子文件夹包含敏感信息,您可以限制它们,会计部将完全看不到它们。您需要为每个集合和子集合设置权限,以确保它们对需要访问的人员可用——有关该过程的更多信息,请参阅 本文

基于组织结构图的权限,其中顶层集合可被所有人读取,部分人可写入,并根据需要隐藏子集合,这对大多数组织来说是一个很好的起点。当每个人只属于一个群组时,这种结构最有效。随着您的组织变得更加复杂,您可能会发现基于组织结构图的权限很麻烦,尤其是当您非常重视跨部门协作时。如果是这样,您可能需要考虑一种基于属性的 Metabase 权限方法。

基于属性的权限

如果您的组织遵循矩阵式组织结构,人们经常在小组或跨团队工作,那么基于属性的权限可能很有用。如果是这种情况,并且您发现一个人一个群组不再够用,那么将群组映射到功能可能更有效。

假设您有一位新员工。他是一名分析师,将参与一项特定的营销活动,并且需要访问底层活动数据。这三个属性无法通过简单的部门群组映射清晰地捕捉,因此,您可以创建一些群组,这些群组开始反映功能而非组织结构图中的位置。由于人们可以属于 Metabase 中的多个群组,因此这条路线为在更精细的级别上构建权限解决方案提供了更多灵活性。

洋葱圈权限

第三种模型是考虑您的权限结构就像一个洋葱,不同的圆圈或层代表对集合的访问广度。一个简单的例子是,一家公司所有东西都透明且可供所有人编辑,除了其中一个层(或集合),只有高管和人力资源人员才能访问。采用这种洋葱圈模型来处理权限,可以帮助您考虑您组织中每个人或群组所需的访问深度

延伸阅读

这有帮助吗?

感谢您的反馈!
订阅新闻通讯
Metabase 的更新和新闻
© . This site is unofficial and not affiliated with Metabase, Inc.