自定义角色

角色是一组权限的集合，这些权限定义了具有特定角色的用户可以在平台做哪些数据分析。您在Pandora 2.0平台创建用户时，需给用户分配一个或多个角色，从而使用户获取特定的功能和数据权限。

例如，如果用户lisa被分配了数据管理员角色，则意味着lisa具有平台所有的数据管理权限。如果lisa再被分配了告警管理员角色，那么她将同时拥有数据管理权限和告警管理权限。关于数据管理员角色和告警管理员角色的权限，请阅读内置角色。本节介绍如何定义角色。

自定义角色

您可以创建自定义角色并将角色分配给用户，自定义角色使您可以控制角色的继承权限、功能权限、仓库数据限制、搜索限制。

• 角色继承：您可以让角色从一个或多个现有角色继承其权限集合。通过角色继承得到的权限不可取消。

• 功能权限：可以指定拥有该角色的用户可以执行哪些操作，例如，查看/访问搜索分析页面进行数据搜索分析，访问并管理字段提取规则等等。

• 仓库数据限制：控制角色可访问哪些仓库

• 搜索限制：通过搜索条件精确控制用户对数据的可见范围

管理角色

添加角色

您可以根据实际数据安全需求自定义角色。
进入角色管理页面，点击创建角色按钮，填写如下信息创建角色：

• 角色名称

• 角色描述

• 角色的权限设置

• 定义角色继承：选择当前角色从其中继承功能的角色，如果继承多个角色，则该角色会拥有所有继承角色的权限和功能集合。

  • 搜索继承

  如果用户继承具有不同搜索过滤器的角色，Pandora 2.0平台会合并这些搜索限制。

  例如，“普通用户”和“数据管理员”角色没有定义任何搜索过滤语句来限制搜索。如果某角色继承这两个角色，而您又让此角色继承具有已定义搜索限制（sourcetype=“json”）的另一个角色，此时此角色的搜索限制为这三个搜索限制的集合：sourcetype=“json”。

  • 仓库数据继承

  继承多个角色的用户将获得其所继承每个角色可访问的仓库数据集合。

  例如，假设您有一个名为“simple_user”的自定义角色，它限制了只能对default仓库数据有读取权限，还有一个名为“advanced_user”的自定义角色，它具有更多的功能并允许访问所有仓库的数据。如果某个用户同时继承这两个角色，则即使“simple_user”角色的数据访问权限限制为default仓库，该用户仍可以通过“advanced_user”角色来访问所有仓库的数据。如果您想要授予用户“advanced_user”角色的功能权限，同时又要通过“simple_user”角色限制对default仓库的数据访问权限，建议您创建一个结合了指定功能权限和仓库访问权限的自定义角色。

  • 功能继承

  继承多个角色的用户将获得他们所拥有的每个角色可以提供的功能集合。

• 定义功能权限：选择该角色拥有的功能权限。从其他角色继承的功能将显示为选中状态，您不能取消选择继承角色附带的功能。关于可以分配给角色的功能权限，查看下文pandora 2.0支持的功能权限。

• 仓库数据限制：可以限制角色可访问的仓库数据。

• 定义搜索限制：通过搜索条件精确控制用户对数据的可见范围。

示例：支持输入合法的search命令，比如 host=127.0.0.1。该搜索限制效果是当用户搜索如条件为 repo=nginx 的命令时，限制用户只能获得repo=nginx AND host=127.0.0.1 的搜索结果。

编辑角色

您可以编辑角色，更改其可以访问的数据和功能。
进入角色管理页面，点击编辑角色按钮，修改角色属性和权限。角色的权限在添加角色一节中已有介绍，这里不再赘述。

注意1：如果您不希望拥有角色的用户在Pandora 2.0平台上执行某些功能，则不要分配为该角色授予执行该功能的能力。

注意2：具有多个角色的用户将获得分配给这些角色的所有功能并集。如果您不希望某个用户有权访问某个角色提供的功能，请不要将该角色分配给该用户。

删除角色

您可以删除角色，删除之前请先确认没有用户被分配了此角色。

Pandora 2.0支持的功能权限