定價
登入 開始使用
文件 學習
首頁
課程
Metabase 基礎知識
增進您的資料技能
速查表

權限策略

如何在 Metabase 中思考群組和權限的結構。

本文提供一些策略,供您在思考如何在 Metabase 中建構權限時參考。權限結構指的是資料庫和問題、模型和儀表板集合的組合,這些是由使用者在 Metabase 中建立的,以及您授予不同人群對這些資源的存取權層級。

我們並非告訴您應該怎麼做,而是提供一些建議,讓您在建立和完善整體權限策略時記住,接著提供三個範例策略供您參考。可能需要一些實驗,但您的目標應該是找到最簡單的解決方案,以符合您的組織結構和安全性需求。

如果您正在尋找 Metabase 中權限運作方式的概觀,請查看我們的文件

結構化權限的基本概念

您的權限結構位於三個移動部分的交集點

  1. 您在 Metabase 中建立的集合
  2. Metabase 中的群組如何對應到您的組織圖
  3. 您的底層資料倉儲

預設允許或預設限制

根據產業和公司文化,大多數組織將預設為允許或限制的起點。現在,這不是您在 Metabase 中選擇的設定,而是在建構權限時要思考的框架。您是否從所有資料和儀表板都開放開始,並在需要時進行限制?或者您的組織是否需要從一開始就限制所有資料,並且僅在需要知道的基礎上開放對儀表板和問題的存取權?

如果您不確定,保持簡單作為初學者,採取預設允許的立場,以便每個人都可以存取他們需要的資料 — 只要您將敏感資訊鎖定即可。

安全性與合規性

如果您的組織處理醫療、財務或類似的敏感資料,您在建立資料和集合權限時必須遵守嚴格的限制。在這些情況下,Metabase 中的可探索性必須讓位於安全性和合規性。

如何處理權限

在高層次上,此流程應如下所示

  1. 將您的組織劃分為多個群組。這些群組可以直接對應到您的組織圖,沿著不同員工履行的角色劃分,或劃分為存取層級(如安全許可)。
  2. 在每個群組中,找出人們需要查看哪些問題儀表板才能完成他們的工作,如果您還沒有建立它們,請建立它們(或讓他們建立自己的內容)。
  3. 找出每個群組需要擁有自助服務存取權的內容,並確保他們可以管理這些集合
  4. 找出並限制您需要嚴格控制在組織內的任何資料,以出於安全或法律合規性原因。
  5. 定期評估和完善您的 Metabase 群組和權限。

簡單至上

在組織的安全性和存取需求限制內,盡可能保持 Metabase 權限簡單是一個好主意。簡而言之,當人們可以存取各種工具和資訊時,他們會更有效率。您擁有的權限層級越多,強制執行就越複雜。重要的是找到在不破壞瀏覽性和組織的情況下區隔敏感資料的方法,因此請嘗試盡可能少的群組來完成工作,因為隨著時間的推移,較少的群組將更容易維護。簡單且不言自明的權限結構也可以在員工離職時讓事情變得更容易。如果單一管理員建立了一個複雜的系統來授予集合權限,然後離開公司,則剩餘的員工可能不知道如何收拾殘局。

預期會變更您的策略

您的需求將會改變,因此請每季檢查一次,以評估您的權限結構的運作情況。您組織中的人員是否能夠存取他們完成工作所需的問題和儀表板?您的敏感資料是否已鎖定?

範例權限結構

現在我們已經涵蓋了在制定權限策略時需要記住的內容和方法,讓我們深入探討您的組織可以根據其規模、結構和安全性需求採取的幾種不同方法。

以組織圖為基礎的權限

最簡單、最直接的選項 — 以及大多數公司都希望從這裡開始的選項 — 是將 Metabase 中的群組和集合對應到您現有的組織圖。如果您有行銷和會計部門,請建立相應的行銷和會計群組,以及為行銷和會計需求保存已儲存問題和儀表板的集合。

在這種情況下,一個人完成其工作所需的一切都可以直接追溯到他們所在的群組。行銷部門(以及延伸的群組)的人員可以編輯行銷集合,會計部門可以查看(但不能編輯)該集合。您可能需要子集合來容納更具體的行銷需求 — 例如,與特定活動相關的已儲存問題。如果這些子資料夾包含敏感資訊,您可以限制它們,而會計部門將完全看不到它們。您需要在每個集合和子集合上設定權限,以確保需要它們的人可以存取它們 — 請參閱本文以深入瞭解該流程。

以組織圖為基礎的權限,其中頂層集合對所有人都是可讀的,而對某些人是可寫的,並在需要時隱藏子集合,對於大多數組織來說是一個很好的開始。當每個人都屬於單一群組時,此結構最有效。隨著您的組織變得更加複雜,您可能會發現以組織圖為基礎的權限很麻煩,特別是如果您非常重視跨部門協作。在這種情況下,您可能需要考慮採用以屬性為基礎的方法來設定 Metabase 權限。

以屬性為基礎的權限

如果您的組織遵循矩陣式組織結構,人員經常在團隊或跨團隊工作,那麼基於屬性的權限可能很有用。如果是這種情況,並且您發現每人一組已不再適用,則將您的群組映射到職能可能更有效。

假設您有一位新員工。他們是分析師,將參與特定的行銷活動,並且需要存取底層事件資料。這三個屬性無法透過簡單的部門群組映射來清楚捕捉,因此,您可以建立開始反映職能而非組織結構位置的群組。由於人們可以在 Metabase 中屬於多個群組,因此這種方式為在更精細的層級上制定權限解決方案提供了更大的彈性。

洋蔥圈權限

要考慮的第三種模型是將您的權限結構視為洋蔥,不同的環或層代表對集合的存取廣度。一個簡單的例子是一家公司,其中所有內容都是透明且可供所有人編輯的,但其中有一個層(或集合)僅供高階主管和人力資源人員存取。在考慮權限時,以這種洋蔥圈模型為出發點,可以幫助您思考組織中每個人或群組需要的存取深度

延伸閱讀

下一步:資料權限指南

了解 Metabase 如何透過在 Metabase 隨附的範例資料庫上設定權限來處理資料權限。

下一篇文章