跳至主要内容

Canner 的權限控管機制

Canner 的權限控管設計

多層權限控管

Canner 透過分層授權機制:平台層身份認證、資料來源層資料授權、工作區層資料授權,達到全域及區域式的動態授權政策,並將資料擁有權與使用權分割,讓原始資料源受到完整保護的同時,領域專家也能取得必要的數據使用權。

資料授權模式

Canner 中的權限控管類似於雲端硬碟中的資料夾權限設計, 您可以為雲端硬碟中的資料夾資料夾中的檔案分別設定不同權限,並且權限可以是針對個人或是群組成員。
1_drive

在 Canner 中也是類似的設計,您可以為平台中的 資料來源 Data Source工作區 Workspace ,以及其中的資料表 Table分別設定不同權限,並且權限可以是針對個人或是群組成員。

2_canner_drive

系統使用者身份驗證 Identity Authentication

Canner 中的使用者分為 AdminMember 兩種角色 (詳細角色權限請參考系統使用者身份驗證) ,不同身份角色用以管理成員可使用的系統功能。

  1. Admin 為系統管理員,可以設定平台全域角色,並且可使用包含系統狀態、帳單等所有的系統功能頁。
  2. Member 為一般使用者,可以使用平台中資料來源及工作區功能頁。

資料來源權限控管 Data Source Data Authorization

在資料來源(Data Source)頁面中,您可以針對資料的擁有權限進行控管,管理資料來源與連線資訊的設定與存取,角色分為 Data OwnerData Steward (詳細角色權限請參考資料來源權限控管)。

  1. Data Owner 為資料擁有者,可以設定資料來源的連線資訊並且加入其他使用者至來源中,通常為企業中的 DBA 或系統管理員等。
  2. Data Steward 為資料管理員,無法查看或編輯資料來源的連線資訊,但可以分享資料至不同工作區,或是協助補上資料目錄相關 Metadata,通常為企業中的數據工程師、數據分析師等。

在企業組織中,經常不同系統資料庫由不同的部門或 DBA 管理,需調用資料時才將部分資料的權限授權給使用單位。
以下圖為例,不同系統的管理員可以作為 Data Owner 編輯管理連線資訊並設定哪些人可以查看分享來源中的資料表;而數據團隊則作為 Data Steward 無法查看或編輯原始資料來源的連線資訊,但可以將資料分享至不同工作區中使用。 3_ds_auth

資料來源權限設定步驟

  1. 【資料來源 Data Source】頁面,選擇您要設定權限的來源。
  2. 【Access Control】區塊,點選 【Assign Role】4_ds_assign
  3. 【Identity】 選擇您要加入的特定使用者或是群組;
    5_ds_id【Role】 選擇該使用者或群組在此資料來源權限角色 Data Owner/Data Steward
    6_ds_role

工作區權限控管 Workspace Data Authorization

在工作區(Workspace)頁面中,您可以針對資料的使用權限進行控管,管理資料檢視、運算、輸出、分享等使用,角色分為 OwnerData AnalystData Consumer (詳細角色權限請參考工作區權限控管)。

  1. Owner 為工作區擁有者,有工作區中的最高權限,通常為企業中的部門主管或是專案負責人等。。
  2. Data Analyst 為資料分析師,可以在工作區中創建資料並處理後分享給其他使用者,通常為企業中的資料專家。
  3. Data Consumer 為資料應用者,只能取用到 OwnerData Analyst 授權分享的資料,通常為企業中的領域應用專家。

以下圖為例,專案主管作為 Owner 控管要加入哪些團隊成員至工作區中,並且可以掌握工作區中的資源限制;數據團隊作為 Data Analyst 將資料來源拉取資料至工作區中使用,並進行資料彙整處理;營運團隊則作為 Data Consumer 只能取用到數據團隊整理好的資料並加以應用至 BI 工具中。 4_ws_auth

工作區權限設定步驟

  1. 至特定的工作區中,在左側選單進入 【Config】
  2. 下拉至 【Access Control】區塊,點選 【Assign Role】3_config
  3. 【Identity】 選擇您要加入的特定使用者或是群組;
    4_id【Role】 選擇該使用者或群組在此工作區中的權限角色 Owner/Data Analyst/Data Consumer
    4_role