內容存取層級決定哪些使用者可以查看及編輯 Looker 資料夾中的內容。權限是根據使用者的角色授予,而內容存取權則與資料夾相關聯,可定義不同層級的使用者對資料夾的開放程度。
資料夾存取權類型
您可以為任何資料夾的每個 Looker 使用者或群組指派下列兩種存取層級之一:
檢視:具備這個存取層級的使用者可以查看資料夾是否存在、檢視資料夾中的 Look 和資訊主頁,以及複製資料夾中的 Look 和資訊主頁。
管理存取權、編輯:這個存取層級的使用者除了擁有「查看」存取層級的所有權限,還能變更資料夾,例如:
如要進一步瞭解內容存取權和權限,請參閱「控管使用者內容存取權」和「內容存取權和權限的互動方式」。
開放式和封閉式資料夾存取系統
您可以透過 Looker 的設定,根據貴公司的政策和與資料夾互動的使用者類型,設定使用者存取權。一般來說,您設計的系統會屬於以下三種廣泛類別之一:完全開放、開放但設有限制,或封閉。
| 資料夾存取層級 | 說明 | 建議用途 |
|---|---|---|
| 完全開放 | 所有使用者都能查看及修改所有共用內容。這是 Looker 的預設設定。 | 建議小型公司或使用 Looker 的團隊、對資料採取開放政策的公司,以及主要用途是分享可編輯報表的公司,採用開放系統。 |
| 開放但設有限制 | 限制共用內容的存取權,例如只有部分使用者可以編輯特定內容,或某些使用者完全無法查看特定內容。 | 如果團隊或公司規模較大、使用者群體多元,且並非所有人都需要查看報表,或是公司希望所有人都能查看內容,但只有少數人可以編輯,建議使用設有限制的開放系統。 |
| 已關閉 | 這類系統也稱為多租戶安裝,可將內容劃分給特定群組,並防止不同群組的使用者互相瞭解。 | 為保護顧客的私人資訊,我們強烈建議使用封閉式系統,以用於自有品牌和簽署的嵌入式用途。在這些用途中,顧客會將來自不同公司或群組的用戶納入系統,而這些用戶不應彼此認識。 |
決定好要使用的系統後,請按照本頁面的步驟進行設定。進行初始設定時,建議使用「管理」面板的「內容存取權」部分,因為您可以在這裡集中變更每個資料夾的設定。
資料夾存取權對子資料夾的影響
決定系統的開放程度前,請務必瞭解您在父項資料夾中設定的存取層級會如何影響子資料夾,以及您可以在階層中較低的層級變更哪些項目。
Looker 管理員擁有所有資料夾的「管理存取權」和「編輯」權限,因此可存取所有內容。這樣一來,他們就能管理系統、避免內容無人管理,並協助解決使用者遇到的問題。
設定完全開放的系統
Looker 的預設設定允許完全開放存取所有資料夾。「所有使用者」群組在「共用」資料夾中獲派「管理存取權、編輯」,因此「共用」資料夾中的所有子資料夾都會繼承該存取權。如要管理這項設定,請前往「管理」面板的「內容存取權」部分。
使用者只要擁有資料夾的「管理存取權」和「編輯」權限,就能存取該資料夾中的所有內容,包括所有子資料夾。也就是說,這個系統不會限制內容存取權。
個人資料夾位於獨立的階層,且也有預設設定。「所有使用者」群組在所有個人資料夾中都設為「檢視」。如果使用者希望個人資料夾保持私密,可以選擇從個人資料夾中移除這個群組。
設定有存取限制的開放式系統
如要設定具有限制的開放式系統,請按照下列步驟操作:
規劃結構
您想允許哪些使用者查看及編輯特定資料夾?開始設定存取權前,先草擬計畫,會讓您事半功倍。您也可以在進行程序時勾選變更,不必返回查看各個資料夾。將使用者分組有助於管理公司內不同部門或團隊的存取權。
最常見的設定是為每個部門或團隊建立一個資料夾,如下所示:
- 在「共用」資料夾中,為部門、團隊或專案建立資料夾。本節將以財務團隊為例。
- 授予財務長 (或財務部門的主要分析師) 該資料夾的「管理存取權、編輯」權限。將「檢視」存取權授予其他團隊成員。
- 建立兩個子資料夾:一個用於可編輯內容,另一個用於唯讀內容。視需要新增第三個子資料夾,存放私人內容。
- 在可編輯內容的子資料夾中,使用財務群組授予整個財務團隊「管理存取權」和「編輯」權限。授予財務群組該層級的存取權後,所有成員都能在該子資料夾中新增、刪除或變更內容。
- 在唯讀內容的子資料夾中,授予整個財務群組「檢視」存取權。由於財務長繼承了主要「財務」資料夾的存取權,因此仍可管理存取權及編輯這個資料夾中的內容。
- 在 (選用) 私人子資料夾中,徹底移除財務群組。只有財務長可以查看這個資料夾或管理其中的內容。
設定群組以提供精細的存取權
如果打算限制內容存取權,Looker 群組會是您的好幫手。您可以授予群組資料夾和子資料夾的存取權,方式與授予使用者存取權相同,而且群組可以包含其他群組。如要瞭解如何設定群組,請參閱「群組」頁面。
請先設定個別子資料夾的存取權,然後再逐步設定整個共用資料夾的存取權。由於存取權會沿著資料夾階層向下傳遞,因此最安全的方法是先個別操作最低層子資料夾的存取權。接著,您可以向上移動至上層資料夾,授予所需存取層級,並確保變更不會與您在較低層級所做的決定衝突。
在本例中,我們將從「共用」資料夾內的子資料夾開始。如要管理這些設定,請前往「管理」面板的「內容存取權」專區:
- 將「共用」資料夾中的每個資料夾設為「自訂使用者清單」。
將「管理存取權、編輯」存取權指派給要能編輯內容的使用者和群組。
將「查看」存取權指派給要授予唯讀存取權的使用者和群組。
您必須變更頂層共用資料夾的設定,變更才會生效。「所有使用者」群組在共用資料夾的存取層級設為「管理存取權、編輯」,並套用至所有個別子資料夾。如要修改個別子資料夾中「所有使用者」的設定,請先在共用資料夾中變更該群組的存取層級。
按一下要設定的資料夾,然後點選「管理存取權」。
將「所有使用者」群組在共用資料夾的存取權變更為「檢視」
變更將於此時生效。請務必參閱結構規劃。
首先,除非您希望所有使用者都能編輯系統中的所有內容,否則請按一下「共用」資料夾的「管理存取權」,然後將「所有使用者」的權限從「管理存取權、編輯」變更為「檢視」。
接著,如果打算只向特定群組顯示特定子資料夾,請繼續參閱下一個章節。
從不想公開的資料夾中移除「所有使用者」群組
如要將資料夾設為僅供特定使用者子群組存取,請使用資料夾存取層級右側的 X,從這些資料夾中完全移除「所有使用者」。現在只有您明確列出的使用者和群組,才能看到該資料夾。
設定封閉系統
Looker 提供「封閉系統」選項,可進行下列變更:
- 移除「所有使用者」群組。您無法將系統中的所有使用者視為一個群組。如「設定群組以提供精細存取權」一節所述,Looker 管理員應為每個租戶或客戶建立一個群組。在本次討論中,我們假設每位顧客都是一家公司。
- 根據預設,將所有使用者資料夾設為私人。使用者仍可選擇與群組的其他成員共用資料夾中的內容。
禁止使用者查看其他使用者,除非他們位於相同群組。因此,如果使用者是「公司 C」群組的成員,就只會看到「公司 C」的其他成員,而不會看到「公司 A」和「公司 B」的成員。
首頁:最近瀏覽的內容就是 Looker 中的一個例子,使用者只會看到 C 公司其他成員和他們的內容。
請按照下列步驟設定封閉式系統:
- 要求封閉系統選項。
- 規劃結構。
- 設定群組,提供精細的存取權。
- 在「管理」面板中啟用封閉式系統。
- 為系統中的每個公司群組授予共用資料夾的「檢視」存取權。
- 為「共用資料夾」的每個子資料夾設定存取層級。
- 將內容遷移至子資料夾。
這些步驟假設多租戶使用者的內容並未存放在共用資料夾中。如要將內容歸入封閉系統,並防止客戶或其他群組看到彼此的內容,請先將這類內容移出共用資料夾,並移入個別子資料夾,再開始執行下列步驟。
要求使用封閉系統選項
如要為執行個體啟用「封閉系統」選項,請與 Google Cloud 銷售專員聯絡或提出支援要求。
規劃結構
如果您已事先設定計畫,就能更輕鬆地設定系統。主要有兩個考量重點:
首先,請務必為每間公司建立群組。公司群組會將各公司的所有使用者連結在一起,並讓這些使用者與其他公司保持區隔。
其次,請考慮是否要讓多間公司查看同一個資料夾 (例如適用於所有公司的資訊主頁),或是為每間公司建立一個頂層資料夾 (適用於單一公司的專屬內容)。
設定群組以提供精細的存取權
每間公司至少應有一個群組,但也可以在較大的群組中建立子群組。如果想允許公司內的部分使用者編輯及管理內容,同時只允許其他使用者查看內容,您可以為不同類型的使用者建立個別子群組。舉例來說,您可以先建立「公司 A」做為上層群組,然後新增兩個子群組:「公司 A 的編輯者」和「公司 A 的檢視者」。
如要瞭解如何設定群組,請參閱「群組」說明文件頁面。
在「管理」面板中啟用「封閉系統」選項
建議您先啟用「封閉系統」選項,再設定資料夾的存取控制項,因為啟用「封閉系統」選項會變更系統 (請參閱本頁的「設定封閉系統」簡介)。這個選項位於 Looker「管理」專區的「一般」面板「設定」部分。
為每個公司群組授予共用資料夾的檢視權限
為共用資料夾授予每個公司群組的「檢視」存取權。這樣一來,這些群組的成員就能存取「共用」資料夾,並查看自己公司的資料夾。如果群組沒有共用資料夾的「檢視」存取權,就無法查看自家公司的資料夾。如要管理這些設定,請前往「管理」面板的「內容存取權」部分。
為每個子資料夾設定存取層級
設定存取層級,決定誰可以查看或編輯各個子資料夾中的內容。子資料夾預設會沿用父項的存取權設定,但您可以變更。也就是說,如果公司擁有共用資料夾的「檢視」存取權,除非您限制該子資料夾的存取權,否則公司可以檢視其他公司的子資料夾內容。檢查每個子資料夾,並適當限制存取權。
將內容遷移至子資料夾
如果貴公司允許使用者查看自己的資料夾和其他個人資料夾,建議將這些個人資料夾中的所有內容,遷移至主要共用階層中的適當資料夾。