Canner Enterprise 的權限控管如何運作

多層權限控管

Canner Enterprise 透過分層授權機制：平台層身份認證、資料來源層資料授權、工作區層資料授權，達到全域及區域式的動態授權政策，並將資料擁有權與使用權分割，讓原始資料源受到完整保護的同時，領域專家也能取得必要的數據使用權。

資料授權模式

Canner Enterprise 中的權限控管類似於雲端硬碟中的資料夾權限設計， 您可以為雲端硬碟中的資料夾或資料夾中的檔案分別設定不同權限，並且權限可以是針對個人或是群組成員。

在 Canner Enterprise 中也是類似的設計，您可以為平台中的 資料來源 Data Source 、 工作區 Workspace ，以及其中的資料表 Table分別設定不同權限，並且權限可以是針對個人或是群組成員。

系統使用者身份驗證

Canner Enterprise 中的使用者分為 Admin 及 Member 兩種角色 (詳細角色權限請參考系統使用者身份驗證) ，不同身份角色用以管理成員可使用的系統功能。

1. Admin 為系統管理員，可以設定平台全域角色，並且可使用包含系統狀態、帳單等所有的系統功能頁。
2. Member 為一般使用者，可以使用平台中資料來源及工作區功能頁。

資料來源權限控管

在資料來源(Data Source)頁面中，您可以針對資料的擁有權限進行控管，管理資料來源與連線資訊的設定與存取，角色分為 Data Owner 與 Data Steward (詳細角色權限請參考資料來源權限控管)。

1. Data Owner 為資料擁有者，可以設定資料來源的連線資訊並且加入其他使用者至來源中，通常為企業中的 DBA 或系統管理員等。
2. Data Steward 為資料管理員，無法查看或編輯資料來源的連線資訊，但可以分享資料至不同工作區，或是協助補上資料目錄相關 Metadata，通常為企業中的數據工程師、數據分析師等。

在企業組織中，經常不同系統資料庫由不同的部門或 DBA 管理，需調用資料時才將部分資料的權限授權給使用單位。
以下圖為例，不同系統的管理員可以作為 Data Owner 編輯管理連線資訊並設定哪些人可以查看分享來源中的資料表；而數據團隊則作為 Data Steward 無法查看或編輯原始資料來源的連線資訊，但可以將資料分享至不同工作區中使用。

資料來源權限設定步驟

1. 至 【資料來源 Data Source】頁面，選擇您要設定權限的來源。
2. 至 【Access Control】區塊，點選 【Assign Role】。
3. 【Identity】 選擇您要加入的特定使用者或是群組；
   【Role】 選擇該使用者或群組在此資料來源權限角色 Data Owner/Data Steward。
   

工作區權限控管 Workspace Data Authorization

在工作區(Workspace)頁面中，您可以針對資料的使用權限進行控管，管理資料檢視、運算、輸出、分享等使用，角色分為 Owner 、 Data Analyst 與 Data Consumer (詳細角色權限請參考工作區權限控管)。

1. Owner 為工作區擁有者，有工作區中的最高權限，通常為企業中的部門主管或是專案負責人等。。
2. Data Analyst 為資料分析師，可以在工作區中創建資料並處理後分享給其他使用者，通常為企業中的資料專家。
3. Data Consumer 為資料應用者，只能取用到 Owner 或 Data Analyst 授權分享的資料，通常為企業中的領域應用專家。

以下圖為例，專案主管作為 Owner 控管要加入哪些團隊成員至工作區中，並且可以掌握工作區中的資源限制；數據團隊作為 Data Analyst 將資料來源拉取資料至工作區中使用，並進行資料彙整處理；營運團隊則作為 Data Consumer 只能取用到數據團隊整理好的資料並加以應用至 BI 工具中。

工作區權限設定步驟

1. 至特定的工作區中，在左側選單進入 【Config】。
2. 下拉至 【Access Control】區塊，點選 【Assign Role】。
3. 【Identity】 選擇您要加入的特定使用者或是群組；
   【Role】 選擇該使用者或群組在此工作區中的權限角色 Owner/Data Analyst/Data Consumer。