机器数据分析平台

  • 机器数据分析平台 > 产品手册 > 权限系统 >基于角色的访问控制

    基于角色的访问控制

    最近更新时间:2020-03-10 11:53:05

    Pandora 2.0 支持基于 RBAC(Role-Based Access Control,基于角色的访问控制)的权限系统来保护您在平台的数据和配置。

    相关术语

    • 角色:角色是一组权限的集合,通过设置角色的权限,您可以控制用户对Pandora 2.0平台功能和数据的访问。 在配置角色的访问权限时,您将确定用户通过其所拥有的角色所拥有的权限和功能。

    • 权限:权限是一组访问权限的集合,平台通过权限控制来限制用户对具体功能和数据的操作能力。

    • 用户:用户是在平台访问功能和数据的实体。您可以为用户分配角色,以控制他们可以执行的任务范围以及可以搜索的数据。 用户可以担任多个角色,并且每个角色都为用户提供了对平台的特定访问权限。

    内置角色

    Pandora 2.0平台具有以下预定义角色:

    • 管理员:此角色拥有平台所有权限的集合。

    • 数据管理员:此角色通过赋予用户数据接收、来源类型、仓库、APP模块的所有管理权限允许用户管理平台所有数据。

    • 告警管理员:此角色允许用户访问告警功能模块并能使用全部告警相关功能来完成告警的配置和告警事件的处理,同时可进行告警事件的分析。

    • 分析员:继承普通用户角色以及告警管理员角色的权限,同时赋予此角色提取字段、字段别名、仪表盘的管理权限和app的编辑权限,使此角色具有在平台进行数据分析的完整功能权限。

    • 普通用户:此角色允许用户在平台进行基础的搜索分析、查看仪表盘、查看并处理自身告警事件以及其他类似任务。

    自定义角色

    您可以创建自定义角色并将角色分配给用户,自定义角色使您可以精确的控制用户访问权限,包括以下内容:

    • 角色继承:您可以让角色从一个或多个现有角色继承其权限集合。通过角色继承得到的权限不可取消。

    • 功能权限:可以指定拥有该角色的用户可以执行哪些操作,例如,查看/访问搜索分析页面进行数据搜索分析,访问并管理字段提取规则等等。

    • 仓库数据限制:您可以限制角色对特定仓库的数据读取权限。

    • 搜索限制:限制用户运行搜索时返回的搜索结果的范围,用户真实的搜索结果为搜索限制和用户在搜索页面输入的搜索语句组合产生的结果。

      注意:搜索限制仅支持搜索过滤限制,即您可以输入搜索过滤语句限制用户可搜索的字段。

    角色继承

    继承多个角色的用户将具有所继承角色的权限和功能集合。

    搜索继承

    如果用户继承具有不同搜索过滤器的角色,Pandora 2.0平台会合并这些搜索限制。

    例如,“普通用户”和“数据管理员”角色没有定义任何搜索过滤语句来限制搜索。如果某角色继承这两个角色,而您又让此角色继承具有已定义搜索限制(sourcetype="json")的另一个角色,此时此角色的搜索限制为这三个搜索限制的集合:sourcetype="json"。

    仓库数据继承

    继承多个角色的用户将获得其所继承每个角色可访问的仓库数据集合。

    例如,假设您有一个名为“simple_user”的自定义角色,它限制了只能对default仓库数据有读取权限,还有一个名为“advanced_user”的自定义角色,它具有更多的功能并允许访问所有仓库的数据。如果某个用户同时继承这两个角色,则即使“simple_user”角色的数据访问权限限制为default仓库,该用户仍可以通过“advanced_user”角色来访问所有仓库的数据。如果您想要授予用户“advanced_user”角色的功能权限,同时又要通过“simple_user”角色限制对default仓库的数据访问权限,建议您创建一个结合了指定功能权限和仓库访问权限的自定义角色。

    功能继承

    继承多个角色的用户将获得他们所拥有的每个角色可以提供的功能集合。

    搜索限制

    除了控制角色所有者可以搜索数据的仓库之外,您还可以限制这些仓库的搜索返回的结果。搜索搜索过滤器与用户运行的基本搜索相结合,以确定用户看到的最终数据。

    搜索过滤器仅限于搜索过滤限制,如输入sourcetype="json" AND host="host2"创建搜索过滤器。

    以上内容是否对您有帮助?
  • Icon free helper
    Close