平台各功能模块涉及多项权限,如账号、用户、标签等权限。在本模块中用户可以集中管理各项权限与授权,更安全合规的使用企业数据。
1.1 管理者角色类型
目前具有三个管理角色,分别为集团管理员>项目管理员>资源管理者:
职位描述 | 权限范围 | |
|---|---|---|
集团管理员 | 单集团管理员为Admin账号(不支持灵活配置),具有集团最高权限,可管理、编辑、查看集团下所有项目的功能、资源、数据行权限。 | Id-mapping 配置为集团管理员专享,仅集团管理员可对该项进行配置。集团管理员可配置项目管理员和资源管理者。 |
项目管理员 | 具有项目最高权限,可管理、编辑、查看对应项目的功能、资源、数据行权限。项目管理员可以灵活设置。 | 项目管理员可在其拥有的项目权限范围内进行权限配置。 |
资源管理者 | 资源管理者,在各个业务模块( 标签模块、分群模块),为其他用户授予资源权限,资源管理者可以灵活设置。 | 可在其拥有的资源权限范围内进行资源权限配置。 |
1.2 授权对象
VeCDP有4种授权对象,包含用户、角色、用户组、部门,其概念和关系如下:
概念 | 释义 |
|---|---|
用户 | 用户是单个独立账号对应的主体,用户可以属于角色、用户组、部门 |
角色 | 角色是一批用户的集合,是集团粒度的(某角色创建后,会在同一个集团下的不同项目均展示,且用户一致) |
用户组 | 用户组也是一批用户的集合,是项目粒度的(同一个集团下的各个项目,可以拥有不同的用户组) |
部门 | 部门是组织架构,具有层级关系,也是用户的集合,是平台粒度的(全平台只能拥有一套部门,不同集团的部门一样) |
1.3 授权内容
VeCDP有4种授权内容,包含项目、功能(模块)、资源、数据行权限
概念 | 释义 |
|---|---|
项目 | 指的是项目空间,包含该项目下的所有授权内容,如功能、资源、数据行权限 |
功能(模块) | 页面菜单和按钮权限,如数据管理模块、标签模块的查看、编辑、管理权限 |
资源 | 资源是系统生产的资产,如数据集、数据档案、标签、分群等,资源有查看、编辑、管理权限 |
数据规则 | 是资源下某一行的权限,如售卖渠道标签,有些用户只能查看“渠道=抖音”的标签、有些用户只能查看“渠道=京东、天猫”的标签, |
1.4 授权规则
- 授权机制: VeCDP基于管理员授权机制,不支持权限申请,集团管理员、项目管理员可以给普通用户授予权限。
- 授权模型: 授权逻辑基于“ABAC+RBAC”模型,非常灵活,对用户、用户组、角色、部门均可以授予项目、功能、资源、数据行权限。
- 权限继承:
- 用户会继承用户组、角色、部门的项目、功能、资源、数据行权限。
举例:用户A有资源1的权限,A用户属于角色F,角色F有资源2的权限,那用户A也会同时有资源2的权限。
- 项目、功能、资源权限,根据授权类型来判断取交集还是并集。如果是“授权”逻辑,最终取并集;如果是“禁用”逻辑,最终取“交集”。
举例:
项目、功能、标签等资源走的是授权逻辑,当用户A同时属于角色F(有资源2的权限)、角色H(有资源3的权限),那用户A会有资源2+资源3的权限;
指标资源、主体资源走的是禁用逻辑,当用户A被禁用了资源1、且被禁用了资源2,则这2个的资源权限都没有。
- 数据行权限取交集。
举例:
数据行权限规则1(只能访问“渠道=抖音”的数据)与数据行权限规则2(只能访问“性别=男”的数据)的授权用户中均有用户A,用户A可访问数据为“渠道=抖音”且“性别=男”的数据,缩小了数据范围。
2.1 管理员账号登录
私有化环境为独立部署,即基于控制台(以下简称Portal底座)开发,因此集团管理员需要对用户进行权限配置时,需要通过控制台账号来登录,登录一个Portal账号可以对该账号下所有已购买的火山数据产品进行操作。
2.2 配置步骤
点击 项目中心-权限 ,进入该模块。
同时,在单个功能模块中也可以通过点击右边**...** 选择授权给, 即可选择授权对象,将所选资源授权给用户。
权限管理分为两部分:
模块 | 功能介绍 | 操作文档 | |
|---|---|---|---|
Part 1 | 火山引擎-访问控制 | 用于创建项目、用户账号、角色等。 | |
Part 2 | VeCDP-项目中心 | 用于管理用户、用户组,授权CDP的各类权限等。 |
名词 | 解释说明 |
|---|---|
项目 | 是使用产品的一个独立“空间”,项目之间除共享服务器硬件资源外其余资源均独立隔离,如用户权限、数据资源在项目A与项目B都不同。 |
项目中心-用户 | 产品的使用者,需要在火山引擎访问控制中创建,具备项目、账号、邮箱、电话等信息。 |
项目中心-用户组 | 用户组是指具备特殊业务含义的一组用户,只属于某个项目,且不能跨项目使用。需要在CDP项目中心授权管理中独立创建。 |
模块 | CDP产品的功能模块,对应各自的菜单。支持在项目中心进行模块使用权限授权。 |
资源 | 用户在CDP中生产的资源,如标签、数据集、人群包、洞察报告、可视化建模任务。支持在项目中心进行资源权限授权(用户分群及用户洞察的授权在详情页操作)。 |
数据 | 特指CDP产品中的标签、数据集等,可通过规则限制用户在CDP使用的ID资产范围;也可管控数据应用场景,用户可用的表、列字段。 |
步骤 | 说明 | 配置入口 | 配置操作 |
|---|---|---|---|
确定管理员 | 根据集团与项目的划分逻辑,确定集团与项目管理员,集团管理员默认有该集团下全部项目的权限,项目管理员需要项目创建者手动授予”项目管理权限点”。
集团管理员设置: | 集团管理员配置入口: | 完成配置之前,需要先在火山引擎控制台创建项目、角色账号和角色等。操作文档参考:身份配置 |
确定授权对象 | 不建议为单个用户一个个授权,效率低,且后续维护成本高,建议:
|
| 完成授权之前,需要先添加用户后方可按角色或角色组进行授权,用户添加可参考文档:添加用户 |
授予功能模块权限 | 为部门/角色/用户组批量授予功能权限。 | 按用户管理: | |
授予资源权限 | 为部门/角色/用户组批量授予可视化建模任务、数据集、标签、分群等批量授予资源权限。资源支持全局授权,可将全部标签、分群、洞察报告的查看、编辑、管理权限授予对应对象。 | 按用户管理: | |
授予数据规则权限 | 目前只支持“标签”进行行权限控制,比如A用户在VeCDP只能查看“来源渠道=微信“的用户,B用户在VeCDP只能查看“来源渠道=抖音”的用户。
规则:标签(所属客户经理)= 用户姓名 或 标签(所属营业部)=客户经理所属营业部 | 数据权限配置入口: | 参考文档:数据授权 |
