用户权限分配
业务场景
当新建用户后,根据用户的角色定位与工作需要,给用户分配对应的功能权限、业务权限,通过最小粒度权限保障安全。
前提条件
- 平台部署完成,且各服务正常
- 用户账号已创建完成
使用限制
- 仅空间管理员,或拥有“用户管理-权限管理”系统权限的用户可为其他用户分配权限
操作流程
第一步:选择用户
在系统管理 > 用户和权限界面,点击列表操作列的“权限管理”按钮,或批量勾选用户后点击“批量分配权限”按钮。若尚无普通用户,可参照新建用户。
注意
- 空间管理员默认拥有全部权限,无法再给空间管理员分配权限。
第二步:分配权限
本实践包括系统、业务权限、资源权限分配,已提前在系统管理 > 个性化配置界面开启业务权限管控、资源权限管控。
以下图为数据集成人员系统、业务权限、资源权限示例
人员角色 | 系统权限 | 业务权限 | 资源权限 |
|---|---|---|---|
| 数据集成人员 | 主要完成业务系统梳理,STG层数据表创建作为集成目标表,及文件内容的集成,可分配以下系统权限: | 主要将各数据源的初始数据集成至STG层,可只分配STG层数据表的读写权限。 | 主要将已注册外部数据源初始数据集成入仓,可分配所负责数据源的可使用权限;无脚本开发工作,无需主机权限;队列可使用默认队列,或专门的集成队列 |
| 数据开发人员 | 主要完成数据的分层开发治理,及数据衍生产品如指标、标签等开发,可分配以下系统权限: | 主要对各层级数据进行加工管理,可分配全部数仓层级的数据表“读写”业务权限;再根据业务要求、安全要求等控制“列级读”权限 | 主要进行数据开发工作,若集成作业和开发作业分开,则可不分配数据源权限,若作业中包含集成到开发全流程,可分配所负责数据源的可使用权限;可能涉及脚本开发工作,需分配对应主机权限;队列可使用默认队列,或专门的开发队列 |
| 数据消费人员 | 主要根据需要进行数据消费申请,可分配以下系统权限: | 不参与治理开发,无需分配业务权限,通过开放模块主动申请资源访问权限 | 不参与治理开发,无需分配资源权限 |