智能日志管理平台

    • 智能日志管理平台 > 使用文档 > 新权限体系 >使用指南 >角色管理

    角色管理

    最近更新时间: 2021-08-02 09:21:47

    初识角色

    角色和用户一样,都是权限系统中的身份。角色是一种虚拟用户,可以被赋予一组权限,需要被授予一个具体用户才能生效。子账号通过被分配角色获取访问相应的资源权限。

    创建角色

    单击 角色tab > 新建角色。填写角色名称、描述、用户组等基本信息。
    注意,这里用户组非必填信息,您可以先创建好角色并设置其权限,之后再给角色指定用户组。

    权限设置

    权限系统的权限设置分为四个模块:资源组授权、用户组授权、功能模块授权、角色授权。

    • 资源组授权:支持对子账号授予资源组的创建权限、资源的创建权限、资源组的查看、编辑、删除权限和组内数据的查看、写入、编辑、删除权限。具体来说,

      • 创建资源组权限:子账号登录智能日志平台,可新建资源组,并添加资源进入资源组。

      • 创建资源权限:允许子账号创建指定类型的资源,支持日志仓库、工作流、仪表盘、视图

      • 资源组查看权限:子账号登录智能日志平台,可以看到资源组的名称、描述、更新时间信息,但无法编辑、删除资源组。

        无法看到组内数据。

      • 资源组编辑权限:允许子账号修改资源组名称、描述,往组内添加、删除资源。

      • 组内数据查看权限:子账号登录智能日志平台,可以看到资源组中的资源。

        以日志仓库为例,子账号被授予日志仓库的查看权限后,可搜索仓库数据。

      • 组内数据写入权限:

        • 对日志仓库的写入权限:允许子账号更新日志仓库的数据,如通过 logkit-pro、API 等方式更新仓库数据。
        • 对工作流的写入权限:允许子账号更新工作流数据。如更新消息队列里的数据。

      • 组内数据编辑权限:允许子账号编辑资源组内资源信息,如编辑日志仓库的 schema,视图的来源仓库等信息。

        • 日志仓库编辑权限:允许子账号编辑仓库的基本属性、schema 等信息。
        • 对工作流的编辑权限:允许子账号编辑工作流,增加、删除操作节点,编辑操作节点的参数等信息。
        • 对仪表盘的编辑权限:允许子账号编辑仪表盘配置,修改图表内容等。
        • 对视图的编辑权限:允许子账号编辑视图的来源仓库等信息。

    • 用户组授权:支持对子账户授予用户组的创建权限、用户的创建权限、用户组的查看、编辑、删除权限和组内数据的查看、编辑、删除权限。具体来说,

      • 创建用户组权限:允许子账号创建用户组,需注意的是,子账号创建用户组需给用户组分配角色,即需要具有角色的编辑读写权限才能创建用户组成功。
      • 创建用户权限:允许子账号创建用户,需注意的是,子账号创建用户需指定用户所属用户组,即需要具有用户组的编辑读取权限才能创建用户成功。
      • 用户组的查看权限:子账号登录智能日志平台,可以看到用户组的名称、描述、角色、用户信息,但无法编辑、删除用户组。
      • 用户组的编辑权限:若子账号具有用户组的编辑权限,可修改用户组名称、修改组内用户。
        • 但若子账号想往用户组添加用户,需同时具有被添加用户的读权限。
        • 若子账号想往用户组添加、删除角色,需具有相应角色的编辑权限。
      • 组内数据的查看权限:子账号登录智能日志平台,可以看到用户组中的用户信息。
        • 组内数据的编辑权限:子账号登录智能日志平台,可以修改用户组中用户的用户名、手机号、密码、用户组信息。

        注意:子账号的邮箱信息一经创建不可更改。

    • 功能模块授权:允许子账号访问智能日志平台的功能模块,包括 数据上传、日志仓库、数据透视、数据立方、实时仓库、仪表盘、工作流、告警服务、应用商店、监控审计、权限管理、异常检测模块。
      如图,子账号具有智能日志平台数据上传、日志仓库、仪表盘、工作流、权限管理模块的的访问权限。

    注意:功能模块的权限设置指的是对相应功能模块的 url 访问的限制,不涉及具体功能的限制。

    • 角色授权:支持对子账号授予角色的创建、查看、编辑、删除权限。
      • 创建角色:允许子账号创建角色,并对角色设置权限。(子账号对新建角色能设置的权限最大集合为当前账号拥有的全部权限,即子账号无法在创建角色时给角色设置他本身没有的权限)
        举例说明:
        主账号对项目 A 管理员角色授予创建角色权限和创建资源权限,但没有创建资源组权限。

        被授予项目 A 管理员角色的用户登录系统,可创建新角色。若强行给新角色授予创建资源组权限,系统会提示 No permission。
      • 查看角色:允许子账号查看角色。
      • 编辑角色:允许子账号编辑角色。子账号编辑角色能操作的权限最大集合为当前账号拥有的全部权限。
        举例说明:
        主账号对项目 A 管理员角色授予编辑 test_sub_role 角色的权限。

        项目 A 管理员角色拥有项目 A 资源组的相关操作权限。

        test_sub_role 角色拥有 rg2 资源组的相关操作权限。

        被授予项目 A 管理员角色的用户登录系统,可编辑 test_sub_role 角色的权限。若强行给 test_sub_role 取消 rg2 资源组的查看、编辑权限,系统会提示 No permission。

    提示:角色授权属于权限很高的操作,请慎重使用。

    以上内容是否对您有帮助?
    • Qvm free helper
    Close