此页面由 Cloud Translation API 翻译。

管理员设置 - 角色

角色、权限集和模型集共同用于管理用户可以执行哪些操作以及可以查看哪些内容。通过管理面板的用户部分中的角色页面，您可以查看、配置和分配角色、权限集和模型集。

您可以在右上角的搜索框中输入搜索字词，然后按 Enter 键，搜索特定角色、权限集和模型集。

定义

角色用于定义用户或群组在 Looker 中对特定的一组模型拥有的权限。您可以通过将一个权限集与一个模型集组合在一起来创建角色。
权限集用于定义用户或群组可以执行的操作。您可以选择要分配给用户或群组的权限组合。必须作为角色的一部分使用才能发挥作用。
模型集用于定义用户或群组可以查看哪些数据和 LookML 字段。您可以选择用户或群组应有权访问的 LookML 模型组合。必须作为角色的一部分使用才能发挥作用。

管理角色

角色是权限集和模型集的组合。通常情况下，角色会根据组织中的人员类型或人员群组来命名，例如“管理员”“Looker 开发者”“财务团队”，当然您也可以遵循自己的命名惯例。

用户可以在 Looker 中拥有多个角色。如果您的用户在公司中担任多个角色，或者您想创建复杂的模型访问权限系统，此功能会非常有用。

创建、修改和删除角色

如需创建角色，请按以下步骤操作：

点击角色页面顶部的新角色按钮。
Looker 会显示新角色页面，您可以在其中配置以下设置：
- 名称：输入角色的名称。
- 权限集：选择要与角色关联的权限集。
- 模型集：选择要与角色关联的模型集。
- 群组：您可以根据需要选择一个或多个群组，以便将角色分配给这些群组。
- 用户：您可以根据需要选择一位或多位用户来分配角色。
按预期配置角色后，点击页面底部的 New Role 按钮。

创建角色后，您可以在角色页面上点击角色右侧的修改按钮来修改该角色。点击修改会进入相应角色的修改角色页面，您可以在其中修改名称、权限集、模型集以及分配给该角色的群组或用户。

如需删除角色，请点击角色页面上相应角色右侧的删除按钮。

默认角色

对于新实例，Looker 会创建以下默认角色，每个角色都包含一个同名的默认权限集：

管理员
通过 IAM 进行管理
开发者
Gemini
支持高级编辑器
Support Basic Editor
用户
查看者

以下部分中的默认角色具有使用条件。

通过 IAM 分配的 Admin 角色

“通过 IAM 管理员”角色仅在 Looker (Google Cloud Core) 中提供，并且只能通过 Google Cloud 控制台进行管理。如需了解详情，请参阅使用 OAuth 和 IAM 进行身份验证和授权以及通过 IAM 管理员角色与管理员 Looker 角色进行比较文档。

通过 IAM 进行管理角色使用管理员权限集。

Gemini

Gemini 角色无法重命名或删除，并且其权限集中仅包含 gemini_in_looker 权限。默认情况下，此角色的权限集适用于 Looker 实例上的所有模型。如需限制用户只能使用特定模型访问 Gemini in Looker 功能，请从 Gemini 角色中移除这些用户，并创建一个新角色，以对所选模型应用 gemini_in_looker 权限。请务必从 Gemini 默认用户群组中移除这些用户。

此角色中提供的 gemini_in_looker 权限可让用户在 Looker 实例中借助 Gemini 的帮助执行以下任务：

编写 LookML - 当用户还拥有 Looker 角色，该角色包含 LookML 项目中至少一个模型的 develop 权限时。
创建自定义 Looker 可视化图表 - 前提是他们还拥有包含 can_override_vis_config 权限的 Looker 角色。
即使用户未被分配 explore 权限，只要他们还拥有一个 Looker 角色，该角色包含对所查询模型的 access_data 权限，他们也可以使用对话式分析查询 Looker 探索数据。

如需详细了解 Gemini in Looker 功能，请参阅 Gemini in Looker 概览。

支持高级编辑器和基本编辑器

如果 Looker 管理员已停用分层支持访问权限实验室功能，则这些角色不会显示在 Looker（原始版本）实例中。如果 Looker (Google Cloud Core) 实例使用专用 IP（专用服务访问通道或 Private Service Connect）网络或公共 IP 和专用 IP 网络，则这些角色不会显示在该实例上。

支持高级编辑者和支持基本编辑者角色无法修改、删除或分配给支持访问权限用户以外的用户。

权限集

权限集用于定义用户或群组可以执行的操作。管理员可以使用 Looker 的默认权限集或创建原始权限集，但请注意权限依赖关系。

如需详细了解所有可用权限及其类型，请参阅权限列表。

默认权限集

对于新安装，Looker 包含多个默认权限集，您可以从这些权限集开始：

权限集	包含的权限
管理员	所有权限
开发者	`access_data`、`can_create_forecast`、`clear_cache_refresh`、`create_custom_fields`、`create_table_calculations`、`deploy`、`develop`、`download_without_limit`、`explore`、`manage_spaces`、`mobile_app_access`、`save_content`、`save_dashboards`、`save_looks`、`schedule_look_emails`、`see_drill_overlay`、`see_lookml`、`see_lookml_dashboards`、`see_looks`、`see_pdts`、`see_sql`、`see_user_dashboards`、`send_to_integration`、`use_sql_runner` 注意：只有在 Looker 安装是使用 Looker 21.18 或更高版本创建的情况下，`see_pdts` 权限才会包含在开发者默认权限中。如需验证您的实例中的开发者权限集中是否包含 `see_pdts` 权限，请前往 Looker 界面中管理面板的角色页面。
Gemini	`gemini_in_looker`
支持高级编辑器	`access_data`、`clear_cache_refresh`、`create_custom_fields`、`create_table_calculations`、`develop`、`explore`、`follow_alerts`、`manage_embed_settings`、`manage_models`、`manage_privatelabel`、`manage_project_connections`、`manage_project_connections_restricted`、`manage_project_models`、`manage_themes`、`see_admin`、`see_alerts`、`see_datagroups`、`see_drill_overlay`、`see_logs`、`see_lookml`、`see_lookml_dashboards`、`see_looks`、`see_pdts`、`see_queries`、`see_schedules`、`see_sql`、`see_system_activity`、`see_user_dashboards`、`see_users`、`update_datagroups`、`use_global_connections` 注意：如果停用了分层支持访问权限实验室功能，则无法使用支持高级编辑器权限集。支持高级编辑器权限集无法修改或删除。
支持基本编辑器	`access_data`、`clear_cache_refresh`、`create_custom_fields`、`create_table_calculations`、`explore`、`follow_alerts`、`manage_privatelabel`、`manage_themes`、`see_admin`、`see_alerts`、`see_drill_overlay`、`see_logs`、`see_lookml`、`see_lookml_dashboards`、`see_looks`、`see_pdts`、`see_schedules`、`see_sql`、`see_datagroups`、`see_system_activity`、`see_user_dashboards`、`see_users` 注意：如果停用了分层支持访问权限实验室功能，则无法使用支持基本编辑器权限集。支持基本编辑器权限集无法修改或删除。
LookML 信息中心用户	`access_data`、`clear_cache_refresh`、`mobile_app_access`、`see_lookml_dashboards`、`send_to_integration`
用户	`access_data`、`can_create_forecast`、`clear_cache_refresh`、`create_custom_fields`、`create_table_calculations`、`download_without_limit`、`explore`、`manage_spaces`、`mobile_app_access`、`save_content`、`save_dashboards`、`save_looks`、`schedule_look_emails`、`see_drill_overlay`、`see_lookml`、`see_lookml_dashboards`、`see_looks`、`see_sql`、`see_user_dashboards`、`send_to_integration`
无法查看 LookML 的用户	`access_data`、`can_create_forecast`、`clear_cache_refresh`、`create_custom_fields`、`create_table_calculations`、`download_without_limit`、`explore`、`manage_spaces`、`mobile_app_access`、`save_content`、`save_dashboards`、`save_looks`、`schedule_look_emails`、`see_lookml_dashboards`、`see_looks`、`see_user_dashboards`、`send_to_integration`
查看者	`access_data`、`clear_cache_refresh`、`download_without_limit`、`mobile_app_access,` `schedule_look_emails`、`see_drill_overlay`、`see_lookml_dashboards`、`see_looks`、`see_user_dashboards`

创建新角色时，您会看到这些权限集显示为选项。如果您选择其中一个权限集，Looker 会显示其中包含的权限列表。

“管理员”权限集无法修改或删除，也无法分配给某个角色。它仅分配给管理员角色，且无法修改或删除。向用户或群组授予“管理员”权限集的唯一方法是将“管理员”角色添加到相应用户或群组。

创建权限集

如需创建权限集，请点击角色页面顶部的新建权限集按钮。Looker 会显示一个页面，您可以在其中输入权限集的名称，并选择应包含的权限。根据需要配置完权限集后，点击页面底部的 New Permission Set 按钮。

创建权限集后，您可以在角色页面上点击权限集右侧的修改或删除按钮来修改或删除该权限集。

权限和依赖项

有些权限需要依赖其他权限才能正常运行。例如，想要使用 LookML 进行开发的人员必须先能够查看 LookML，这很合理。

创建权限集时，您会在缩进列表中看到可用的权限。如果某项权限缩进在另一项（父级）权限下，您必须先选择父级权限。权限列表可能如下所示：

☑️ access_data
  ☑️ see_lookml_dashboards
  ☑️ see_looks
    ☑️ see_user_dashboards

在此示例中，Looker 使用缩进来表示以下内容：

您可以随时选择access_data福利。
see_lookml_dashboards 和 see_looks 权限要求先选择 access_data 权限。
see_user_dashboards 权限依赖于 see_looks 权限，而后者又依赖于 access_data 权限。

您必须先选择父权限，然后才能选择子权限。

权限和 Looker 许可

Looker 许可将用户分为三种类型：

开发者（管理员）
标准版（创作者）
查看者

授予用户的权限决定了该用户在 Looker 许可下的分类：

如果用户拥有管理员默认角色，或者至少拥有以下一项权限，则该用户会被归类为开发者（管理员）用户：
如果用户不具备任何开发者（管理员）权限，但具备以下至少一项权限，则该用户会被归类为标准（创建者）用户：
如果用户拥有 access_data 权限，但没有开发者（管理员）权限和标准（创建者）权限，则该用户会被归类为 Viewer。

权限列表

权限可分为以下三种类型之一：

特定于模型：此类权限仅应用于属于同一角色的模型集。此权限应用于单个模型或模型集，而不是整个 Looker 实例。
连接专用：此类权限在连接级别应用。如果用户拥有此类权限，即使某个连接还与用户无权访问数据的其他模型相关联，用户也能在管理面板中看到使用该连接的网页上的内容，前提是该连接与用户有权访问数据的模型相关联。
实例级：此类权限适用于整个 Looker 实例，共有三种类型：
- NN = 无内容访问权限，无菜单访问权限：这些权限允许用户在整个 Looker 实例中执行某些功能，但不允许用户访问其角色模型集中未包含的模型所对应的内容。
- CN = 内容访问权限，无菜单访问权限：这些权限允许用户访问整个 Looker 实例中的内容和查询信息，即使是基于其角色模型集中未包含的模型的查询和内容也是如此。
- CM = 内容访问权限、菜单访问权限：这些权限可能会向非管理员用户公开部分“管理”菜单，并允许用户查看有关内容和查询的信息，这些信息基于其角色模型集中未包含的模型。

下表按权限在管理部分的新权限集页面上显示的顺序，介绍了 Looker 中提供的所有权限：

权限	取决于	类型	定义
`access_data`	无	特定于模型	用户可以访问 Looker 中的数据，但只能访问管理员指定的数据。几乎所有 Looker 功能都需要此权限。如果用户拥有此权限，并且有权访问给定项目中的任何模型，则可以访问该项目的“数据”部分中的任何文件（例如 JSON 自定义地图文件）。拥有此权限的 Looker Studio 用户可以在使用 Looker 连接器的 Looker Studio 报告中查看 Looker 数据。
`see_lookml_dashboards`	`access_data`	特定于模型	用户可以查看 LookML `Dashboards` 文件夹，其中包含所有 LookML 信息中心。用户必须拥有任何相关模型的 `explore` 权限，才能探索相应的信息中心。如果用户还拥有 `develop` 权限，则可以创建 LookML 信息中心
`see_looks`	`access_data`	特定于模型	用户可以在文件夹中查看已保存的 Look（但无法查看信息中心）。用户必须拥有任何相关模型的 `explore` 权限，才能探索这些 Look。用户还需要具有查看内容访问权限级别，才能查看文件夹中的 Look。
`see_user_dashboards`	`see_looks`	特定于模型	用户可以查看文件夹中的用户自定义信息中心，但必须拥有相关模型的 `explore` 权限才能探索这些信息中心。用户还需要拥有查看内容访问权限才能查看文件夹中的信息中心。如果用户同时拥有文件夹的 `save_dashboards` 权限和管理访问权限、编辑内容访问权限，则可以在该文件夹中创建用户自定义的信息中心。
`explore`	`see_looks`	特定于模型	用户可以访问和使用“探索”页面来生成 Look 和信息中心。如果没有此权限，用户只能查看已保存的仪表盘（如果已授予 `see_lookml_dashboards` 或 `see_user_dashboards` 权限）。拥有此权限的 Looker Studio 用户可以在 Looker Studio 中基于 Looker 探索创建数据源。他们还可以在 Looker Studio 中查看和修改相应数据源的配置。
`create_table_calculations`	`explore`	实例 Wide NN	用户可以查看、修改或添加表格计算
`create_custom_fields`	`explore`	实例 Wide NN	用户可以查看、修改或添加自定义字段；仅具有 `explore` 权限的用户只能查看自定义字段。
`can_create_forecast`	`explore`	实例 Wide NN	用户可以在可视化图表中创建和修改预测；没有此权限的用户只能查看他们有权访问的内容中现有的预测。
`can_override_vis_config`	`explore`	实例 Wide NN	用户可以访问图表配置编辑器，该编辑器可让用户修改可视化图表的 Highchart API JSON 值，并自定义可视化图表的外观和格式。
`save_content`	`see_looks`	实例 Wide NN	此权限是 `save_dashboards`、`save_looks` 和 `create_public_looks` 的父权限。必须通过 `save_dashboards` 或 `save_looks` 授予此权限。
`save_dashboards`	`save_content`	实例 Wide NN	用户可以保存和修改信息中心。用户必须拥有相关模型的 `explore` 权限，才能从这些信息中心探索模型。用户必须拥有 `download_with_limit` 和/或 `download_without_limit` 权限才能下载内容。
`save_looks`	`save_content`	实例 Wide NN	用户可以保存和修改 Look。用户必须拥有 `explore` 权限才能从这些 Look 中探索任何相关模型。用户必须拥有 `download_with_limit` 和/或 `download_without_limit` 权限才能下载内容。
`create_public_looks`	`save_looks`	特定于模型	用户可以将已保存的 Look 标记为公开，然后系统会生成网址，以便在无需身份验证的情况下授予对相应 Look 的访问权限。
`download_with_limit`	`see_looks`	特定于模型	此权限适用于 Looker 中的 Look 和信息中心，以及使用 Looker 连接器的 Looker 数据洞察中的报告。用户可以下载数据，但必须指定 5,000 行或更少的行数限制，以避免因下载大量数据而导致内存问题。拥有此权限的 Looker Studio Pro 用户可以下载使用 Looker 连接器的 Looker Studio 报告。
`download_without_limit`	`see_looks`	特定于模型	此权限适用于 Looker 中的 Look 和信息中心，以及使用 Looker 连接器的 Looker 数据洞察中的报告。与 `download_with_limit` 相同，但不需要用户指定行数限制。下载某些类型查询的所有结果可能需要大量内存，这可能会导致性能问题，甚至导致 Looker 实例崩溃。拥有此权限的 Looker Studio Pro 用户可以下载使用 Looker 连接器的 Looker Studio 报告。
`schedule_look_emails`	`see_looks`	特定于模型	此权限适用于 Looker 中的 Look 和信息中心，以及使用 Looker 连接器的 Looker 数据洞察中的报告。用户可以将他们拥有数据访问权限的任何 Look、信息中心和包含可视化的查询发送到电子邮件地址。用户可以安排在数据组触发、管理缓存并重建相关 PDT 后进行交付。如需发送或安排发送系统活动信息中心，用户必须有权访问所有模型。同时拥有 `create_alerts` 权限的用户可以发送电子邮件提醒通知。 Looker 管理员可以在管理面板的设置页面上使用电子邮件网域许可名单来控制 Looker 用户和嵌入式用户可以向哪些电子邮件网域发送电子邮件传送内容。拥有此权限的 Looker Studio Pro 用户可以安排传送使用 Looker 连接器的 Looker Studio 报告。
`schedule_external_look_emails`	`schedule_look_emails`	特定于模型	用户可以将他们拥有数据访问权限的任何 Look、信息中心和包含可视化的查询发送到电子邮件。用户可以安排在数据组触发、管理缓存并重建相关 PDT 后进行交付。如需发送或安排发送系统活动信息中心，用户必须有权访问所有模型。同时拥有 `create_alerts` 权限的用户可以发送电子邮件提醒通知。用户可以将内容递送或提醒通知通过电子邮件发送到任何网域的电子邮件地址，无论管理面板的设置页面上的电子邮件网域许可名单是否包含任何电子邮件网域。
`create_alerts`	`see_looks`	实例 Wide NN	此权限适用于 Looker 中的信息中心，以及使用 Looker 连接器的 Looker Studio 中的图表。用户可以在信息中心板块中创建、复制和删除自己的提醒；还可以查看和复制其他用户标记为公开的提醒。用户必须登录 Slack 才能看到发送 Slack 通知的信息中心板块提醒。用户可以在“管理提醒”用户页面上查看、修改、停用和启用自己拥有的提醒。用户必须拥有 `schedule_look_emails` 或 `schedule_external_look_emails` 权限才能发送电子邮件提醒通知。拥有此权限的 Looker Studio Pro 用户可以在使用 Looker 连接器的 Looker Studio 报告中创建、复制和删除提醒。
`follow_alerts`	`see_looks`	实例 Wide NN	用户可以查看和关注提醒。在管理提醒用户页面中，查看他们关注的提醒或他们被列为接收者的提醒。
`send_to_s3`	`see_looks`	特定于模型	用户可以将他们有数据访问权限的任何 Look、信息中心和包含可视化的查询传送到 Amazon S3 存储桶。用户可以安排在数据组触发、管理缓存并重建相关 PDT 后进行交付。此权限应用于单个模型或模型集，而不是整个 Looker 实例。
`send_to_sftp`	`see_looks`	特定于模型	用户可以将他们有数据访问权限的任何 Look、信息中心和包含可视化的查询交付到 SFTP 服务器。用户可以安排在数据组触发、管理缓存并重建相关 PDT 后进行交付。此权限应用于单个模型或模型集，而不是整个 Looker 实例。
`send_outgoing_webhook`	`see_looks`	特定于模型	用户可以将他们拥有数据访问权限的任何包含可视化的 Look、信息中心和查询传送到 Webhook。用户可以安排在数据组触发、管理缓存并重建相关 PDT 后进行交付。此权限应用于单个模型或模型集，而不是整个 Looker 实例。
`send_to_integration`	`see_looks`	特定于模型	用户可以使用 Looker Action Hub 将他们有数据访问权限的任何 Look、信息中心和包含可视化的查询交付给与 Looker 集成的第三方服务。如果将自定义操作与用户属性搭配使用，用户必须拥有此权限，并且指定的用户属性必须具有非 null 的有效用户属性值，才能将 Looker 内容传递到相应操作目的地。此权限与数据操作无关。用户可以安排在数据组触发、管理缓存并重建相关 PDT 后进行交付。此权限应用于单个模型或模型集，而不是整个 Looker 实例。
`see_sql`	`see_looks`	特定于模型	用户可以在探索时访问 SQL 标签页，并查看由其查询导致的任何 SQL 错误。
`see_lookml`	`see_looks`	特定于模型	用户拥有 LookML 的只读权限。用户必须拥有此权限才能在管理面板中看到前往 LookML 链接。如果您希望用户能够修改 LookML，还必须向其授予 `develop` 权限。注意：此权限可能会以意想不到的方式与模型集互动。如果您向用户分配 `see_lookml` 权限，并且允许该用户查看项目中的任何模型，则该用户将能够查看相应项目中所有模型的 LookML。不过，他们仍然无法查询您未允许的模型。
`develop`	`see_looks`	特定于模型	用户可以对 LookML 进行本地更改，但除非他们还拥有 `deploy` 权限，否则无法让所有人都能看到这些更改。您需要拥有此权限才能在帮助菜单中看到获取支持选项，以及在 Looker IDE 中查看元数据。用户还需要此权限才能访问“探索”齿轮菜单中的重新构建派生表并运行选项。此权限并非特定于某个模型，因此如果用户在某个模型中拥有此权限，则可以在所有模型中访问重新构建派生表并运行。注意：此权限可能会以意想不到的方式与模型集互动。如果您向用户分配 `develop` 权限，并且允许该用户查看项目中的任何模型，则该用户将能够为该项目中的所有模型开发 LookML。不过，他们仍然无法查询您未允许的模型。
`deploy`	`develop`	实例 Wide NN	用户可以将本地 LookML 更改推送到生产环境，以便所有用户都能使用这些更改。
`support_access_toggle`	`develop`	实例 Wide NN	用户可以允许或禁止 Looker 分析师访问您的 Looker 实例。
`manage_project_models`	`develop`	特定于模型	用户可以在修改模型配置页面上为允许的模型添加、修改或删除模型配置。配置模型时，用户只能使用项目级连接。注意：此权限可能会以意想不到的方式与模型集互动。如果您创建具有 `manage_project_models` 权限的角色，则该角色将授予对以下所有模型的访问权限：与该角色模型集中的任何模型共享项目的模型。
`use_global_connections`	`manage_project_models`	特定于模型	用户可以通过任何项目范围的连接或任何实例范围的连接来配置允许的模型。
`manage_project_connections_restricted`	`develop`	特定于型号的 CM	用户可以在“管理”菜单中看到关联页面。他们可以查看、修改和创建模型集中任何项目的项目级连接。不过，他们只能修改以下连接设置：常规设置部分中的所有设置 SSH 服务器部分中的所有设置时区部分中的所有设置其他设置部分中的其他 JDBC 参数、SSL、验证 SSL 和使用 TNS 设置用户无法修改其他设置部分中的任何其他设置。他们也无法修改永久性派生表 (PDT) 部分中的任何设置。注意：此权限可能会以意想不到的方式与模型集互动。如果您向用户分配 `manage_project_connections_restricted` 权限，该用户将能够查看、修改和创建模型集中包含的任何项目的项目级连接。
`manage_project_connections`	`manage_project_connections_restricted`	特定于型号的 CM	用户可以在“管理”菜单中看到关联页面。他们可以查看、修改和创建模型集中包含的任何项目的项目级连接。注意：此权限可能会以意想不到的方式与模型集互动。如果您向用户分配 `manage_project_connections_restricted` 权限，该用户将能够查看、修改和创建模型集中包含的任何项目的项目级连接。
`see_ci`	`develop`	实例 Wide NN	添加了 25.6 用户可以查看持续集成运行的结果、查看持续集成套件页面，以及运行测试套件。
`manage_ci`	`see_ci`	实例 Wide NN	添加了 25.6 用户可以创建持续集成套件、管理持续集成用户，以及配置与持续集成的 Git 连接。只有管理员可以为 Looker 实例启用持续集成功能。
`use_sql_runner`	`see_lookml`	特定于模型	用户可以使用 SQL Runner 针对其允许的连接运行原始 SQL。用户还可以通过 SQL Runner 齿轮菜单中的下载选项下载结果，无论用户是否拥有 `download_with_limit` 或 `download_without_limit` 权限。
`clear_cache_refresh`	`access_data`	特定于模型	用户可以清除缓存并刷新内部信息中心和嵌入式信息中心、信息中心图块、Look 和 Explore。系统会自动将 `clear_cache_refresh` 权限添加到包含以下任意权限的任何现有权限集：`see_user_dashboards`、`see_lookml_dashboards` 或 `explore`。`clear_cache_refresh` 权限不会自动应用于任何嵌入式角色。拥有此权限的 Looker Studio 用户可以刷新使用 Looker 连接器的 Looker Studio 报告中的 Looker 数据。
`see_drill_overlay`	`access_data`	特定于模型	用户可以查看深入分析信息中心图块的结果，但无法探索这些结果。如果授予 `explore`，系统也会自动授予此权限（即使未勾选此权限）。用户还必须拥有 `explore` 权限才能以 PNG 格式下载钻取结果。
`manage_spaces`	无	实例范围广 CN	用户可以创建、修改、移动和删除文件夹。用户还需要拥有管理访问权限、编辑内容访问权限。
`manage_homepage`	无	实例 Wide NN	用户可以在边栏中修改和添加内容，以便所有 Looker 用户都能在预构建的 Looker 首页上看到这些内容。
`manage_models`	无	实例范围广 CN	每个 LookML 模型都会在管理 LookML 项目页面上映射到一组特定的数据库连接。拥有此权限的用户可以配置这些映射、创建新项目和删除项目。获得此权限的非管理员用户将有权访问其有权访问的模型允许的所有连接。注意：此权限可能会以意想不到的方式与模型集互动。如果您向用户分配 `manage_models` 权限，该用户将能够访问实例中所有项目中的所有模型。
`create_prefetches`	无	实例级	强烈建议不要进行预提取。我们建议改用 datagroups。
`login_special_email`	无	实例级	即使您的实例上已启用其他登录机制（例如 Google、LDAP 或 SAML），用户也可以使用电子邮件地址/密码凭据登录。对于可能不属于您的常规身份验证系统的顾问或其他人员，此功能非常有用。
`embed_browse_spaces`	无	实例 Wide NN	为已签名的嵌入内容启用内容浏览器。如果您使用的是签名嵌入，则应向具有 `save_content` 权限的用户授予此权限。
`embed_save_shared_space`	无	实例级	允许具有 `save_content` 权限的用户将内容保存到组织的共享文件夹（如果有）。如果用户拥有 `save_content` 权限但没有 `embed_save_shared_space` 权限，则只能选择将内容保存到其个人嵌入文件夹。
`manage_embed_settings`	无	实例范围的 CM	用户可以在管理菜单的平台部分中的嵌入页面上修改嵌入设置。
`manage_modelsets_restricted`	无	特定于型号的 CM	已添加 25.2 用户可以修改其拥有 `manage_modelsets_restricted` 权限的模型集。用户只能添加其拥有 `manage_modelsets_restricted` 权限的模型集中的模型。注意：此权限可能会以意想不到的方式与模型集互动。如果您向用户分配了 `manage_modelsets_restricted` 权限，并且允许该用户访问项目中的任何模型，那么该用户将能够将相应项目中的所有模型分配给他们有权访问的模型集。
`manage_schedules`	无	特定于型号的 CM	添加了 25.2 用户可以在时间表页面上重新分配和删除指定型号的时间表。此权限不会让用户能够查看安排历史记录页面。
`manage_themes`	无	实例范围的 CM	用户可以在管理菜单的平台部分中的主题页面上配置主题设置。仅当您的实例已启用主题时，此权限才可用。
`manage_privatelabel`	无	实例范围的 CM	用户可以在管理菜单的平台部分中的自有品牌页面上配置自有品牌设置。仅当您的实例已启用私密标签时，此权限才可用。
`see_alerts`	无	实例范围的 CM	用户可以访问管理部分中的提醒和提醒历史记录页面，从而查看 Looker 实例中的所有提醒。用户可以在提醒管理页面中查看、关注、修改、自行分配和停用其他用户拥有的提醒。用户必须拥有访问提醒的基础内容的权限，才能在提醒的可视化图表（位于提醒详情页面中）中查看或探索该内容，或者导航到相应的信息中心。此权限不允许用户在信息中心图块中查看、创建、关注或删除提醒。
`see_queries`	无	实例范围的 CM	用户可以在 Looker 的管理部分中看到查询页面。此权限不会让用户能够在查询页面上终止查询。
`see_logs`	无	实例范围的 CM	用户可以在 Looker 的管理部分中看到日志页面。
`see_users`	无	实例范围的 CM	用户可以在 Looker 的管理部分中看到用户页面（但看不到群组页面）。此权限不会赋予用户创建新用户、查看或创建 API 凭据、重置密码或以其他方式修改用户或权限的能力。获得此权限的用户可以查看实例中所有群组的所有用户，即使是在封闭式系统中也是如此。用户可以查看所有群组名称和所有角色名称，而有些公司可能会认为这些信息属于敏感信息。
`sudo`	`see_users`	实例范围的 CM	用户可以在用户页面上点击 Sudo 按钮，以 sudo（即以另一用户的身份行事并暂时继承其权限）。 `sudo` 权限不允许非管理员用户以管理员身份使用 sudo，但非管理员用户可能会使用 sudo 提升自己的权限，因此请谨慎操作。注意：Looker (Google Cloud Core) 实例不包含 `sudo` 权限。
`manage_groups`	`see_users`	实例范围的 CM	用户可以在管理菜单的用户部分中的群组页面上创建、修改和删除群组，但与管理员角色相关联的群组除外。
`manage_roles`	`manage_groups`	实例范围的 CM	用户可以在管理菜单的用户部分中的角色页面上创建、修改和删除角色，但管理员角色除外。用户仍然无法创建、修改或删除权限集或模型集。
`manage_user_attributes`	`see_users`	实例范围的 CM	用户可以在管理菜单的用户部分中的用户属性页面上创建、修改和删除用户属性。
`see_schedules`	无	实例范围的 CM	用户可以在 Looker 的管理面板中查看时间安排（时间安排）和时间安排历史记录（时间安排历史记录）页面。此权限不会让用户能够重新分配、修改或删除其他用户在时间表和时间表历史记录页面上的安排。
`see_pdts`	无	连接专用	用户可以在 Looker 的管理部分中查看持久性派生表页面，并查看有关 PDT 的信息，这些 PDT 来自使用与模型关联的任何连接的项目，用户对这些模型拥有数据访问权限。对于新安装的 Looker，此权限包含在 Developer 默认权限集中。此权限适用于用户拥有数据访问权限的连接，而不是整个 Looker 实例或单个模型或模型集。
`see_datagroups`	无	特定于模型	用户可以在 Looker 的管理部分中看到数据组页面。用户可以查看连接名称、模型名称以及模型中定义的他们拥有数据访问权限的数据组的其他信息。此权限应用于单个模型或模型集，而不是整个 Looker 实例或连接。
`update_datagroups`	`see_datagroups`	特定于模型	用户可以通过 Looker 的管理部分的“数据组”页面触发数据组或重置其缓存。与具有 `see_datagroups` 权限的用户一样，具有 `update_datagroups` 权限的用户可以查看在以下项目中使用模型定义的数据组：他们对该模型具有数据访问权限。此权限应用于单个模型或模型集，而不是整个 Looker 实例或连接。
`see_system_activity`	无	实例范围的 CM	用户可以访问“系统活动”探索和信息中心，以查看 Looker 实例的使用情况、历史记录和其他元数据。
`see_admin`	无	实例范围的 CM	用户可以拥有对管理资源的只读权限，包括管理面板中的页面，但以下页面除外：支持服务权限实验室旧版功能导出内容访问权限操作（如果页面仅显示操作的启用或停用状态）此权限无法让用户访问“系统活动”页面。
`mobile_app_access`	无	实例 Wide NN	用户可以使用 Looker 移动应用在移动设备上登录您的实例。用户必须先在 Looker 的管理部分的常规设置页面中启用移动应用访问权限选项，才能登录 Looker 移动应用。 `mobile_app_access` 权限可以添加到新的或现有的权限集中，并且是所有 Looker 默认权限集的一部分。
`gemini_in_looker`	无	实例 Wide NN	此权限是 Gemini 默认角色中包含的唯一权限。此权限无法添加到任何其他权限集或角色中。如果用户还拥有包含 `develop` 权限的 Looker 角色，则可以在 Gemini 的帮助下编写 LookML。如果用户还拥有包含 `can_override_vis_config` 权限的 Looker 角色，则可以在 Gemini 的帮助下创建自定义 Looker 可视化图表。用户可以使用 Looker 探索数据进行对话式分析，即使他们没有包含 `explore` 权限的角色，只要他们还拥有包含所查询模型 `access_data` 权限的 Looker 角色即可。

关于权限集的注意事项

以下权限可能会以意想不到的方式与模型集互动：

develop；see_lookml - 在 Looker 的 IDE 中，单个项目可以包含多个模型文件。如果您向用户分配了 develop 或 see_lookml 权限，并且允许该用户查看项目中的任何模型，那么该用户将能够开发或查看相应项目中所有模型的 LookML。不过，他们仍然无法查询您未允许的模型。
manage_models - 如果您向用户分配 manage_models 权限，该用户将能够访问实例中所有项目中的所有模型。
manage_modelsets_restricted - 如果您向用户分配 manage_modelsets_restricted 权限，则该用户可以分配其有权访问的项目中的任何模型。
manage_project_connections - 如果您向用户分配 manage_project_connections_restricted 或 manage_project_connections 权限，该用户将能够查看、修改和创建模型集中包含的任何项目的项目级连接。

模型集

模型集用于定义用户或群组可以查看哪些数据和 LookML 字段。每个集合都是一个 LookML 模型列表，用户或群组应有权访问这些模型。您可以将模型集视为执行以下两项功能：

模型集用于控制权限适用于 LookML 中的哪些模型（如果这些权限是特定于模型的）。
模型集会限制用户可查看的数据和 LookML 字段，因为每个模型都连接到特定的数据库连接并包含某些 LookML 字段。

创建模型集

如需创建模型集，请执行以下操作：

点击角色页面顶部的新建模型集按钮。
Looker 会显示新模型集页面。输入新模型集的名称。
选择应包含在新模型集中的模型。
点击页面底部的新建模型集按钮。新模型集将显示在“角色”页面的“模型集”部分中。

待处理项目中包含的模型会显示在新建模型集和修改模型集页面上的模型列表中。
删除或重命名模型不会更改包含该模型的任何模型集。当模型被移除或重命名时，我们建议 Looker 管理员也使用修改模型集页面从任何关联的模型集中移除该模型的名称。从模型集中移除已删除模型的名称可防止具有相同名称的新模型意外包含在该模型集中。

如需详细了解模型，请参阅模型参数文档页面。

创建多个模型和模型集

以下示例展示了如何使用多个模型集来限制对数据的访问。假设您有两个团队：营销团队和支持团队。在此示例中，这两个团队不应有权访问整个模型，因此您需要为每个团队创建一个单独的模型。如需分离其数据访问权限，请执行以下步骤：

将模型复制到两个新模型中。
在第一个新模型中，仅包含营销团队应有权访问的视图、字段和探索。
为营销团队创建一个仅包含此新模型的模型集。
为营销团队创建一个新角色，其中包含此新模型集以及营销团队的相应权限。
将此新角色分配给营销团队群组。
重复第 2 步到第 5 步，为支持团队配置第二个模型。

修改模型集

创建模型集后，请按以下步骤操作以对其进行修改：

在角色页面上，点击要修改的模型集右侧的修改按钮。
Looker 会显示修改模型集页面。如果需要，请在名称字段中输入模型集的新名称。
在模型部分中，从模型集中添加或移除任意模型。
点击页面底部的更新模型集按钮。