数据权限指南
通过设置对Metabase包含的示例数据库的权限,了解Metabase如何处理数据权限。
数据权限指定差异有多大一群人可以与表和数据库交互。在本文中,我们将介绍一个示例,说明如何授予用户从中查看、编辑或查询表的权限示例数据库.
引入数据权限
让我们从导航到行政>权限,然后选择数据库>示例数据库。这将转到数据库级别的“数据权限”页。如果要为每个数据表在Sample数据库中,可以单击左侧的表名。
图1。在进行任何更改之前,请打开示例数据库的“数据权限”页。
必须为组配置数据权限.Metabase附带两个默认组:Administrators和All Users。我们将创建两个名为独木舟和帆船的新示例组,并将数据权限设置为:
调整所有用户的默认权限设置。
允许独木舟小组进入Orders数据表。
允许帆船组访问People和Products只有数据表。
这里,“访问表”意味着我们将允许小组从查询编辑器使用给定表中的数据。
如果你想让人们使用本机查询(SQL)编辑器,你需要配置不同的数据权限集.
为“所有用户”组配置权限
首先,我们将撤销不受限制所有用户都可以访问数据库,因为Metabase授予最宽容的对某人所属的所有组的访问级别。
你不能从“所有用户”组中删除任何人,因此如果你给所有用户不受限制对示例数据库的权限,那么这将始终是每个使用您的Metabase的人的权限最大的设置,而不管您将其他人放在哪个组中。
去行政>权限>数据库>示例数据库.
单击所有用户行和数据存取列(图2)。
选择无自助服务.
点击保存更改在顶部出现的横幅中。
图2。选择“所有用户”组对示例数据库的“无自助服务”权限。
选择无自助服务对于所有用户,示例数据库将:
防止所有用户在中看到示例数据库中的任何数据数据浏览器.
阻止所有用户使用查询编辑器使用示例数据库中的数据创建问题。
继续允许所有用户查看结果(但不访问基础数据)来自使用示例数据库表的问题和仪表板,只要这些问题和仪表板保存在与集合权限为您的所有用户组。
配置本机查询编辑权限
正在从中更改所有用户的数据权限不受限制到无自助服务(在数据库级别)还将撤消所有用户对该数据库中每个表的本机查询编辑权限。取消本机查询编辑权限将:
防止每个人使用本机查询编辑器(也称为SQL编辑器)。
继续允许每个人查看使用SQL或其他查询语言创建的问题的结果,只要人们在组中使用正确的集合权限.
这里,“本机查询编辑权限”意味着我们将允许组像数据库IDE一样使用本机查询编辑器。将允许具有本机查询编辑权限的用户查询您的Metabase有权从数据库(由Metabase用于连接到数据库的角色定义)读取的所有数据。
有选择地授予本机查询编辑权限的最佳方法是创建一个单独的组(如“SQL用户”)。这群人需要不受限制使用本机查询编辑权限设置为“是”。有关详细信息,请参阅本机查询编辑权限.
创建用户组
让我们创建两个新的组,称之为独木舟和帆船。去行政>人。选择“组”选项卡,然后单击创建组。有关详细信息,请参阅创建组.
查看默认数据权限
去行政>权限>数据库然后选择示例数据库查看我们的新团队:
图3. 数据权限与我们新增加的独木舟和帆船小组。
新组默认为无自助服务权限。这使我们可以有选择地向每个组添加权限。
对于独木舟和帆船团体,无自助服务数据权限将:
防止独木舟和帆船上的人查看数据浏览器.
防止独木舟和帆船上的人使用查询编辑器在示例数据库表的顶部创建问题。
继续允许独木舟和帆船上的人查看基于示例数据库表构建的问题的结果,只要这些问题保存在与给定组匹配的集合中集合权限.
配置用户组的权限
允许独木舟小组进入Orders仅限表格:
去行政>权限>组.
选择独木舟组。
点击示例数据库.
选择不受限制从下拉菜单中Orders行和数据存取列(图4)。
点击保存更改.
在出现的模式中,检查权限更改的效果,然后单击改变确认。
图4。授予独木舟组访问订单表的权限。
如果你点击进入独木舟集团在“独木舟组的权限”标题下,您将进入组级别的数据权限页。从那里,你会看到Metabase自动填充黄色颗粒状根据数据存取示例数据库的列。这个颗粒状权限表示Canoes组现在可以访问示例数据库中的一些表,但不是所有的表(图5)。
图5。独木舟组现在可以对示例数据库进行细粒度访问。
为多个组中的用户配置权限
让我们配置另一组数据权限以赋予帆船组不受限制的权限People和Products示例数据库中的表(图6):
图6. 数据权限帆船组被授予访问人员和产品表的权限。
以下是我们当前数据权限的作用:
防止帆船组中的人使用Orders表。
防止独木舟小组的人使用People或Products数据表。
允许所有人(通过“所有用户”组)查看使用Orders,People,或Products表,考虑到它们有正确的集合权限.
假设船长先生同时属于独木舟组和帆船组,因此他有三组权限,这些权限来自三个不同的组:
无自助服务“所有用户”组对示例数据库的权限。
不受限制的权限Orders独木舟小组的数据表。
不受限制的权限People和Products帆船组的数据表。
由于Metabase在所有组中应用了最允许的设置,Captain先生将不受限制的权限Orders,People,和Products数据表。不受限制对这三个表的权限意味着Captain先生将能够:
使用查询编辑器的任意组合创建问题Orders,People,和Products.
钻取并操纵其他人的查询编辑器问题Orders,People,和Products,只要这些问题保存在与他匹配的集合中集合权限.
船长先生不属于不受限制的权限Reviews表或示例数据库,它将:
阻止他使用Reviews 表。
完全禁止他与本机查询编辑器交互(例如,查看、编辑或编写SQL查询)。
因为船长先生也是所有用户组的一员无自助服务对示例数据库的权限,他仍然可以查看使用Reviews表或本机查询编辑器,只要他有正确的集合权限。
更多数据权限选项
本机查询编辑.
下载结果*.
块.
管理数据模型*。看到了吗编辑元数据.
管理数据库*。看到了吗管理数据库(尽管只有管理员可以删除数据库)。