角色、权限集和模型集可共同管理用户可以执行的操作以及可以查看的内容。在管理面板的用户部分的角色页面中,您可以查看、配置和分配角色、权限集和模型集。
您可以搜索特定角色、权限集和模型集,方法是在右上方的搜索框中输入搜索字词,然后按 Enter 键。
定义
- 角色定义了用户或群组对 Looker 中的一组特定模型拥有的权限。您可以通过将一个权限集与一个模型集相结合来创建角色。
- 权限集定义了用户或群组可以执行的操作。您可以选择要分配给用户或群组的权限组合。它必须用作角色的一部分才能产生任何效果。
- 模型集定义了用户或群组可以查看哪些数据和 LookML 字段。您可以选择用户或群组应有权访问的一系列 LookML 模型。它必须用作角色的一部分才能产生任何效果。
管理角色
一个角色由一个权限集和一个模型集构成。根据组织中的人员或人员类型(管理员、Looker 开发者、财务团队)命名角色是一种常见的惯例,不过您当然可以遵循自己的命名惯例。
一个用户可以在 Looker 中有多个角色。如果您的用户在公司中担任多种角色,或者您想要创建对模型的访问权限的复杂系统,此功能将非常有用。
创建、修改和删除角色
如需创建角色,请按以下步骤操作:
- 点击角色页面顶部的新建角色按钮。
Looker 会显示新建角色页面,您可以在其中配置以下设置:
按预期配置角色后,点击页面底部的新建角色按钮。
创建角色后,您可以在角色页面上点击角色右侧的修改按钮来修改角色。点击修改会进入该角色的修改角色页面,您可以在其中修改名称、权限集、模型集以及分配给该角色的群组或用户。
要删除角色,请在角色页面上点击角色右侧的删除按钮。
默认角色
对于新实例,Looker 会创建以下默认角色,每个角色都包含采用相同名称的默认权限集:
- 管理员
- 通过 IAM 进行管理
- 开发者
- Gemini
- 支持高级编辑器
- 支持基本编辑器
- 用户
- 查看者
以下部分中的默认角色具有使用条件。
Gemini
您无法修改或删除 Gemini 角色。此角色的权限集适用于 Looker 实例上的所有模型。
通过此角色提供的 gemini_in_looker 权限,用户可以在 Gemini 的协助下在 Looker 实例中执行以下任务:
- 编写 LookML - 如果这些项目还拥有 Looker 角色,该角色包含 LookML 项目中至少一个模型的
develop权限。 - 创建自定义 Looker 可视化图表 - 前提是这些项目还拥有包含
can_override_vis_config权限的 Looker 角色。 - 使用 Conversational Analytics 查询 Looker 探索数据,即使用户未被分配
explore权限,只要用户的 Looker 角色拥有针对所查询模型的access_data权限,也是如此。
如需详细了解 Looker 中的 Gemini 功能,请参阅 Looker 中的 Gemini 概览。
通过 IAM 分配的 Admin 角色
“通过 IAM 进行管理员”角色仅在 Looker (Google Cloud Core) 中提供,并且只能通过 Google Cloud 控制台进行管理。如需了解详情,请参阅使用 OAuth 和 IAM 进行身份验证和授权以及 Looker 管理员角色与管理员通过 IAM Looker 角色进行授权文档。
Admin via IAM 角色使用 Admin 权限集。
支持高级编辑器和支持基本编辑器
如果 Looker 管理员已停用分层支持访问权限实验室功能,则 Looker(原始)实例上不会显示这些角色。如果 Looker (Google Cloud Core) 实例使用专用 IP(专用服务访问通道或 Private Service Connect)网络或公共 IP 和专用 IP 网络,这些角色将不会显示在 Looker (Google Cloud Core) 实例上。
您无法修改、删除支持高级编辑者和支持基本编辑者角色,也无法将其分配给支持访问权限用户以外的用户。
权限集
权限集定义了用户或群组可以执行的操作。管理员可以使用 Looker 的默认权限集,也可以创建原始权限集,并谨记权限依赖项。
权限列表更详细地讨论了所有可用权限及其类型。
默认权限集
对于新安装的应用,Looker 提供多个默认权限集,您可以先从它们入手:
创建新角色时,您会看到这些权限集显示为选项。如果您选择其中一个权限集,Looker 会显示其所含权限的列表。
无法修改或删除管理员权限集,也无法将其分配给角色。此角色仅分配给 Admin 角色,此角色也无法修改或删除。将 Admin 权限集授予某个用户或群组的唯一方法是将 Admin 角色添加到该用户或群组。
创建权限集
要创建权限集,请点击角色页面顶部的新建权限集按钮。Looker 将显示一个页面,您可以在其中输入权限集的名称,并选择权限集应包含的权限。根据需要配置权限集后,点击页面底部的新权限集按钮。
创建权限集后,您可以点击角色页面上权限集右侧的修改或删除按钮,修改或删除该权限。
权限和依赖项
有些权限有赖于其他权限,才能正常工作。例如,想要使用 LookML 进行开发的人必须先能够看到 LookML。
创建权限集时,您会在缩进列表中看到可用权限。如果某个权限在另一项(父级)权限下缩进,则您必须先选择该父级权限。权限列表可能如下所示:
☑️ access_data
☑️ see_lookml_dashboards
☑️ see_looks
☑️ see_user_dashboards
在此示例中,Looker 使用缩进来表示以下内容:
- 您可以随时选择
access_data权限。 - 若要使用
see_lookml_dashboards和see_looks权限,必须先选择access_data权限。 see_user_dashboards权限依赖于see_looks权限,而后者依赖于access_data权限。
您必须先选择父级权限,然后才能选择子级权限。
权限和 Looker 许可
Looker 许可将用户分为三种类型:
- 开发者(管理员)
- 标准(创作者)
- 查看者
向用户授予的权限决定了如何根据 Looker 许可对该用户进行分类:
如果用户拥有管理员默认角色或至少以下任一权限,就会被归类为开发者(管理员)用户:
如果用户不具备任何开发者(管理员)权限,但至少拥有以下权限之一,则会被归类为标准(创建者)用户:
如果用户拥有
access_data权限,但没有开发者 (Admin) 权限和标准(创建者)权限,则会被归类为查看者。
权限列表
权限可分为以下三类:
- 特定于模型:这种类型的权限仅适用于同一角色中的模型集。此权限适用于单个模型或模型集,而非整个 Looker 实例。
- 连接专用权限:此类权限在连接级别应用。拥有此类权限的用户会在管理面板中看到使用与用户具有数据访问权限的模型相关联的连接的页面内容,即使该连接已用于他们无权访问的数据的其他模型也是如此。
- 实例级:这种类型的权限适用于整个 Looker 实例,有三种类型:
- NN = 没有内容访问权限,没有菜单访问权限:这些权限允许用户在整个 Looker 实例中执行某些功能,但不允许用户基于其角色模型集中未包含的模型访问内容。
- CN = 内容访问权限,无菜单访问权限:这些权限允许用户访问整个 Looker 实例中的内容和查询信息,即使基于未包含在其角色模型集中的模型的内容和查询也是如此。
- CM = 内容访问权限、菜单访问权限:这些权限可能会向非管理员用户公开“管理”菜单的部分内容,并允许用户根据未包含在其角色模型集中的模型来查看有关内容和查询的信息。
以下列表介绍了 Looker 中提供的所有权限,这些权限按照这些权限在管理部分的新权限集页面上显示的顺序进行了说明:
| 权限 | 取决于 | 类型 | 定义 |
|---|---|---|---|
access_data |
无 | 特定于模型 | 用户可以访问 Looker 中的数据,但只能访问管理员指定的数据。几乎所有 Looker 函数都需要此权限。拥有此权限的用户如果被授予对指定项目中任何模型的访问权限,则可以访问该项目的数据部分中的任何文件(例如 JSON 自定义地图文件)。拥有此权限的 Looker Studio 用户可以在使用 Looker 连接器的 Looker Studio 报告中查看 Looker 数据。 |
see_lookml_dashboards |
access_data |
特定于模型 | 用户可以查看 LookML Dashboards 文件夹,其中包含所有 LookML 信息中心。用户必须对任何相关模型拥有 explore 权限才能探索这些信息中心。还拥有 develop 权限的用户可以创建 LookML 信息中心。 |
see_looks |
access_data |
特定于模型 | 用户可以查看文件夹中已保存的 Look(但无法查看信息中心)。用户必须对任何相关模型拥有 explore 权限才能探索这些 Look。用户还需要拥有查看内容访问权限级别,才能在文件夹中查看 Look。 |
see_user_dashboards |
see_looks |
特定于模型 | 用户可以在文件夹中查看用户定义的信息中心,但必须对任何相关模型拥有 explore 权限才能探索这些信息中心。用户还需要拥有查看内容访问权限,才能在文件夹中查看信息中心。如果用户同时拥有某个文件夹的 save_dashboards 权限和管理、修改内容访问权限,则可以在该文件夹中创建用户定义的信息中心。 |
explore |
see_looks |
特定于模型 | 用户可以访问并使用“探索”页面生成 Look 和信息中心。如果没有此权限,用户只能查看已保存的信息中心(前提是已授予 see_lookml_dashboards 或 see_user_dashboards)。拥有此权限的 Looker Studio 用户可以根据 Looker 探索在 Looker Studio 中创建数据源。还可以在 Looker Studio 中查看和修改该数据源的配置。 |
create_table_calculations |
explore |
实例级 NN | 用户可以查看、修改或添加表格计算。 |
create_custom_fields |
explore |
实例级 NN | 用户可以查看、修改或添加自定义字段;仅拥有 explore 权限的用户只能查看自定义字段。 |
can_create_forecast |
explore |
实例级 NN | 用户可以在可视化图表中创建和修改预测;没有此权限的用户只能查看他们有权访问的内容中的现有预测。 |
can_override_vis_config |
explore |
实例级 NN | 用户可以使用图表配置编辑器修改可视化图表的 Highchart API JSON 值,并自定义可视化图表的外观和格式。 |
save_content |
see_looks |
实例级 NN | 此权限是 save_dashboards、save_looks 和 create_public_looks 的父级权限。必须通过 save_dashboards 或 save_looks 授予此权限。 |
save_dashboards |
save_content |
实例级 NN | 用户可以保存和修改信息中心。用户必须具有 explore 权限才能从这些信息中心内探索任何相关模型。用户必须拥有 download_with_limit 和/或 download_without_limit 权限才能下载内容。 |
save_looks |
save_content |
实例级 NN | 用户可以保存和修改 Look。用户必须拥有 explore 权限才能从这些 Look 中探索任何相关模型。用户必须拥有 download_with_limit 和/或 download_without_limit 权限才能下载内容。 |
create_public_looks |
save_looks |
特定于模型 | 用户可以将已保存的 Look 标记为公开,此操作会生成网址,无需身份验证即可授予对该 Look 的访问权限。 |
download_with_limit |
see_looks |
特定于模型 | 此权限适用于 Looker 中的 Look 和信息中心,以及使用 Looker 连接器的 Looker Studio 报告。 用户可以下载数据,但必须指定行数上限(5,000 或更少),以避免因下载大量数据而导致内存问题。 拥有此权限的 Looker Studio Pro 用户可以下载使用 Looker 连接器的 Looker Studio 报告。 |
download_without_limit |
see_looks |
特定于模型 | 此权限适用于 Looker 中的 Look 和信息中心,以及使用 Looker 连接器的 Looker Studio 报告。 与 |
schedule_look_emails |
see_looks |
特定于模型 | 此权限适用于 Looker 中的 Look 和信息中心,以及使用 Looker 连接器的 Looker Studio 报告。 用户可以使用他们拥有电子邮件数据访问权限的可视化图表来传送任何 Look、信息中心和查询。用户可以安排在数据组被触发、管理缓存并重建相关 PDT 后传送数据。 如需发送或安排系统活动信息中心,用户必须拥有所有模型的访问权限。 同时拥有 拥有此权限的 Looker Studio Pro 用户可以安排传送使用 Looker 连接器的 Looker Studio 报告。 |
schedule_external_look_emails |
schedule_look_emails |
特定于模型 | 用户可以传送任何包含其对电子邮件拥有数据访问权限的可视化图表的 Look、信息中心和查询。用户可以安排在数据组被触发、管理缓存并重建相关 PDT 后传送数据。如需发送或安排系统活动信息中心,用户必须拥有所有模型的访问权限。 同时拥有 create_alerts 权限的用户可以发送电子邮件提醒通知。无论管理面板设置页面上的电子邮件网域许可名单是否包含任何电子邮件网域,用户都可以将内容传送或提醒通知通过电子邮件发送至任何网域。 |
create_alerts |
see_looks |
实例级 NN | 此权限适用于 Looker 中的信息中心,以及 Looker Studio 中使用 Looker 连接器的图表。 在信息中心图块中,用户可以创建、复制和删除自己的提醒,还可以查看和复制其他用户标记为公开的提醒。用户必须登录 Slack,才能查看发送 Slack 通知的信息中心图块提醒。用户可以在管理提醒用户页面上查看、修改、停用和启用他们拥有的提醒。用户必须拥有 |
follow_alerts |
see_looks |
实例级 NN | 用户可以查看和关注提醒。在管理提醒用户页面中查看用户已关注或被列为收件人的提醒。 |
send_to_s3 |
see_looks |
特定于模型 | 用户可以传送任何包含其对 Amazon S3 存储分区数据访问权限的可视化图表的 Look、信息中心和查询。用户可以安排在数据组被触发、管理缓存并重建相关 PDT 后传送数据。此权限适用于单个模型或模型集,而非整个 Looker 实例。 |
send_to_sftp |
see_looks |
特定于模型 | 用户可以传送任何包含其对 SFTP 服务器具有数据访问权限的可视化图表的 Look、信息中心和查询。用户可以安排在数据组被触发、管理缓存并重建相关 PDT 后传送数据。此权限适用于单个模型或模型集,而非整个 Looker 实例。 |
send_outgoing_webhook |
see_looks |
特定于模型 | 用户可以传送任何包含他们对网络钩子数据访问权限的可视化图表的 Look、信息中心和查询。用户可以安排在数据组被触发、管理缓存并重建相关 PDT 后传送数据。此权限适用于单个模型或模型集,而非整个 Looker 实例。 |
send_to_integration |
see_looks |
特定于模型 | 通过 Looker 操作中心,用户可以提交任何包含他们对与 Looker 集成的第三方服务数据访问权限的 Look、信息中心和查询。如果将自定义操作与用户属性搭配使用,用户必须拥有此权限,并且指定用户属性的非 null 且有效的用户属性值才能将 Looker 内容传送到该操作目标位置。此权限与数据操作无关。用户可以安排在数据组被触发、管理缓存并重建相关 PDT 后传送数据。此权限适用于单个模型或模型集,而非整个 Looker 实例。 |
see_sql |
see_looks |
特定于模型 | 用户在探索由其查询引起的任何 SQL 错误时,可以访问 SQL 标签页。 |
see_lookml |
see_looks |
特定于模型 | 用户拥有对 LookML 的只读权限。用户必须拥有此权限,才能在管理面板中看到转到 LookML 链接。如果您希望用户能够修改 LookML,还必须向其授予 develop 权限。注意:此权限以可能意想不到的方式与模型集交互。如果您向用户分配 see_lookml 权限,并且您允许该用户查看项目中的任何模型,则他们将能够看到该项目中所有模型的 LookML。但是,他们仍然无法查询您不允许的模型。 |
develop |
see_lookml |
特定于模型 | 用户可以对 LookML 进行本地更改,但除非同时拥有 deploy 权限,否则他们无法向所有人提供这些更改。必须具备此权限,才能查看帮助菜单中的获取支持选项,以及查看 Looker IDE 中的元数据。用户还需要此权限才能访问“探索”齿轮菜单中的重新构建派生表和运行选项。这并非特定于模型,因此如果用户在一个模型中具有此权限,那么他们可以在所有模型中访问重新构建派生表并运行。注意:此权限以可能意想不到的方式与模型集交互。如果您向用户分配 develop 权限,并且已允许该用户查看属于项目的任何模型,则该用户将能够为该项目中的所有模型开发 LookML。但是,他们仍然无法查询您不允许的模型。 |
deploy |
develop |
实例级 NN | 用户可以将其本地 LookML 更改推送到生产环境,以便所有人都可以使用这些更改。 |
support_access_toggle |
develop |
实例级 NN | 用户可以启用或停用 Looker 分析师对您的 Looker 实例的访问权限。 |
manage_project_models |
develop |
特定于模型 | 用户可以在修改模型配置页面上为允许的模型添加、修改或删除模型配置。配置模型时,用户只能使用项目级连接。注意:此权限以可能意想不到的方式与模型集交互。如果您创建了具有 manage_project_models 权限的角色,则该角色将授予对与该角色的模型集中的任何模型共享项目的所有模型的访问权限。 |
use_global_connections |
manage_project_models |
特定于模型 | 用户可以使用任何项目级连接或任何实例级连接来配置允许的模型。 |
manage_project_connections_restricted |
develop |
特定于模型的 CM | 用户可以在“管理”菜单中查看关联页面。他们可以查看、修改和创建模型集中任何项目的项目级连接。但是,他们只能修改以下连接设置:用户无法修改其他设置部分中的任何其他设置。他们也无法修改永久性派生表 (PDT) 部分的任何设置。注意:此权限以可能意想不到的方式与模型集交互。如果您向用户分配 manage_project_connections_restricted 权限,则该用户将能够查看、修改和创建模型集内包含的任何项目的项目级连接。 |
manage_project_connections |
manage_project_connections_restricted |
特定于模型的 CM | 用户可以在“管理”菜单中查看关联页面。他们可以查看、修改和创建模型集中包含的任何项目的项目级连接。注意:此权限以可能意想不到的方式与模型集交互。如果您向用户分配 manage_project_connections_restricted 权限,则该用户将能够查看、修改和创建模型集内包含的任何项目的项目级连接。 |
see_ci |
develop |
实例级 NN | 已添加 25.6 用户可以查看持续集成运行结果、查看持续集成套件页面,以及运行测试套件。 |
manage_ci |
see_ci |
实例级 NN | 已添加 25.6 用户可以创建持续集成套件、管理持续集成用户,以及通过持续集成配置 Git 连接。只有管理员可以为 Looker 实例启用持续集成功能。 |
use_sql_runner |
see_lookml |
特定于模型 | 用户可以使用 SQL Runner 针对允许的连接运行原始 SQL。无论用户是具有 download_with_limit 还是 download_without_limit 权限,都可以通过 SQL Runner 齿轮菜单中的下载选项下载结果。 |
clear_cache_refresh |
access_data |
特定于模型 | 用户可以清除缓存和刷新内部和嵌入式信息中心、信息中心图块、Look 和探索。clear_cache_refresh 权限会自动添加到包含以下任何权限的任何现有权限集中:see_user_dashboards、see_lookml_dashboards 或 explore。clear_cache_refresh 权限不会自动应用于任何嵌入式角色。拥有此权限的 Looker Studio 用户可以刷新使用 Looker 连接器的 Looker Studio 报告中的 Looker 数据。 |
see_drill_overlay |
access_data |
特定于模型 | 用户可以查看深入到信息中心图块的结果,但无法浏览这些结果。如果已授予 explore,则系统也会自动授予此权限(即使未勾选此权限)。用户还必须具有 explore 权限才能下载 PNG 格式的深入分析结果。 |
manage_spaces |
无 | 实例级 CN | 用户可以创建、编辑、移动和删除文件夹。用户还需要拥有管理访问权限、修改内容访问权限。 |
manage_homepage |
无 | 实例级 NN | 用户可以修改边栏并将内容添加到边栏,所有 Looker 用户可以在预构建的 Looker 首页中看到这些内容。 |
manage_models |
无 | 实例级 CN | 每个 LookML 模型都会映射到“管理 LookML 项目”页面上一组特定的数据库连接。借助此权限,用户可以配置这些映射、创建新项目和删除项目。获得此权限的非管理员用户将可以访问他们有权访问的模型允许的所有连接。注意:此权限以可能意想不到的方式与模型集交互。如果您向用户分配 manage_models 权限,则该用户将能够访问该实例中所有项目中的所有模型。 |
create_prefetches |
无 | 实例级 | 强烈建议不要进行预提取。建议改用 datagroups。 |
login_special_email |
无 | 实例级 | 即使您的实例上启用了其他登录机制(例如 Google、LDAP 或 SAML),用户也可以使用电子邮件/密码凭据登录。这对顾问或不属于您常规身份验证系统的其他人员非常有用。 |
embed_browse_spaces |
无 | 实例级 NN | 为签名的嵌入启用内容浏览器。如果您使用的是签名的嵌入,则应向具有 save_content 权限的用户授予此权限。 |
embed_save_shared_space |
无 | 实例级 | 允许拥有 save_content 权限的用户将内容保存到组织的共享文件夹(如果有)。如果用户拥有 save_content 权限但没有 embed_save_shared_space 权限,则只能选择将内容保存到自己的个人嵌入文件夹中。 |
manage_embed_settings |
无 | 实例级 CM | 用户可以在管理菜单的平台部分的嵌入页面上修改嵌入设置。 |
manage_modelsets_restricted |
无 | 特定于模型的 CM |
ADDED 25.2
用户可以修改他们具有 manage_modelsets_restricted 权限的模型集。用户只能添加用户还拥有 manage_modelsets_restricted 权限的模型集中包含的模型。注意:此权限以可能意想不到的方式与模型集交互。如果您向用户分配 manage_modelsets_restricted 权限,并且已允许该用户访问项目中的任何模型,该用户就能将该项目中的所有模型分配给他们有权访问的模型集。 |
manage_schedules |
无 | 特定于模型的 CM | ADDED 25.2 用户可以在时间表页面上重新分配和删除指定模型的时间表。拥有此权限的用户无法查看时间表历史记录页面。 |
manage_themes |
无 | 实例级 CM | 用户可以在管理菜单的平台部分的主题页面上配置主题设置。只有在为您的实例启用主题后,此权限才可用。 |
manage_privatelabel |
无 | 实例级 CM | 用户可以在管理菜单的平台部分的自有标签页面上配置私密标签设置。仅当为您的实例启用了私密标签时,此权限才可用。 |
see_alerts |
无 | 实例级 CM | 用户可以访问管理部分中的提醒和提醒历史记录页面,从而查看 Looker 实例的所有提醒。用户可以在提醒管理页面中查看、关注、修改、自行指定和停用归其他用户所有的提醒。用户必须有权访问提醒的基础内容,以便在相应提醒的可视化图表(位于提醒详情页面中)中查看或探索或前往其信息中心。此权限不会授予用户通过信息中心图块查看、创建、关注或删除提醒的权限。 |
see_queries |
无 | 实例级 CM | 用户可以在 Looker 的管理部分查看查询页面。拥有此权限的用户无法在查询页面上终止查询。 |
see_logs |
无 | 实例级 CM | 用户可以在 Looker 的管理部分查看日志页面。 |
see_users |
无 | 实例级 CM | 用户可以在 Looker 的管理部分查看用户页面,但无法查看群组页面。拥有此权限的用户无法创建新用户、查看或创建 API 凭据、重置密码或者以其他方式修改用户或权限。获得此权限的用户可以查看实例上所有群组中的所有用户,即使在封闭系统中也不例外。用户可以查看所有群组名称和所有角色名称,而有些公司可能会认为这是敏感内容。 |
sudo |
see_users |
实例级 CM | 用户可以执行 sudo(换言之,即充当其他用户并暂时继承其权限),只需点击用户页面上的 Sudo 按钮即可。sudo 权限不允许非管理员使用 sudo 作为管理员,但非管理员或许可以使用 sudo 提升自己的权限,因此请谨慎操作。 |
manage_groups |
see_users |
实例级 CM | 用户可以在团体页面中的用户部分行政菜单,但与行政角色。 |
manage_roles |
manage_groups |
实例级 CM | 用户可以创建、编辑和删除角色,但以下角色除外:行政角色,角色页面中的用户部分行政菜单。用户仍然无法创建、修改或删除权限集或模型集。 |
manage_user_attributes |
see_users |
实例级 CM | 用户可以在管理菜单的用户部分的用户属性页面上创建、修改和删除用户属性。 |
see_schedules |
无 | 实例级 CM | 用户可以通过 Looker 的管理面板查看时间表和时间表历史记录页面。拥有此权限的用户无法在时间表和时间表历史记录页面上重新分配、修改或删除其他用户的时间表。 |
see_pdts |
无 | 特定连接 | 用户可以在 Looker 的管理部分查看永久性派生表页面,还可以查看项目使用的任何连接(与其具有数据访问权限的模型相关联的任何连接)中的 PDT 的相关信息。此权限包含在安装新 Looker 的开发者 默认权限集中。此权限适用于用户具有数据访问权限的连接,而非整个 Looker 实例或个别模型或模型集。 |
see_datagroups |
无 | 特定于模型 | 用户可以在 Looker 的管理部分查看“数据组”页面。用户可以查看连接名称、模型名称,以及他们在拥有数据访问权限的模型中定义的数据组的其他信息。此权限适用于单个模型或模型集,而非整个 Looker 实例或连接。 |
update_datagroups |
see_datagroups |
特定于模型 | 用户可以通过 Looker 管理部分中的“数据组”页面触发数据组或重置其缓存。与具有 see_datagroups 权限的用户一样,具有 update_datagroups 权限的用户也可以查看在使用具有数据访问权限的模型的项目中定义的数据组。此权限适用于单个模型或模型集,而非整个 Looker 实例或连接。 |
see_system_activity |
无 | 实例级 CM | 用户可以访问系统活动探索和信息中心以及内部 i__looker 数据库,查看 Looker 实例的使用情况、历史记录和其他元数据。 |
see_admin |
无 | 实例级 CM | 用户可以对管理员资源(包括管理面板中的页面)拥有只读权限,但以下页面除外:
|
mobile_app_access |
无 | 实例级 NN | 用户可以使用Looker 移动应用。为了让用户能够登录 Looker 移动应用程序,移动应用程序访问选项常规设置页面中的行政必须先启用 Looker 部分。mobile_app_access 权限可添加到新的或现有权限集中,并且属于 Looker 的所有默认权限集。 |
gemini_in_looker |
无 | 实例级 NN | 这是 Gemini 默认角色包含的唯一权限。此权限不能添加到任何其他权限集或角色中。如果用户还拥有 Looker 角色,且该角色包含 LookML 项目中至少一个模型的 develop 权限,则用户可以使用 Gemini 辅助编写 LookML。如果用户还拥有包含 can_override_vis_config 权限的 Looker 角色,则可以借助 Gemini 的辅助功能创建自定义 Looker 可视化图表。如果用户的 Looker 角色中包含对所查询模型的 access_data 权限,那么即使用户没有包含 explore 权限的角色,也可以将对话分析与 Looker 探索数据搭配使用。 |
关于权限集的注意事项
develop;see_lookml- 在 Looker 的 IDE 中,一个项目可以包含多个模型文件。如果您向用户分配develop或see_lookml权限,并且已允许该用户查看项目中的任何模型,则该用户将能够为该项目中的所有模型开发或查看 LookML。但是,他们仍然无法查询您不允许的模型。manage_models- 如果您为用户分配manage_models权限,则该用户将能够访问该实例中所有项目中的所有模型。manage_modelsets_restricted- 如果您为用户分配manage_modelsets_restricted权限,则他们可以分配项目中自己有权访问的任何模型。manage_project_connections- 如果您为用户分配manage_project_connections_restricted或manage_project_connections权限,则该用户将能够查看、修改和创建模型集中包含的任何项目的项目级连接。
模型集
模型集定义用户或群组可以查看的数据和 LookML 字段。每个集合都是一个用户或群组应有权访问的 LookML 模型的列表。您可以将模型集视为执行两个函数:
- 模型集用于控制 LookML 中的哪些模型具有相应权限(如果这些权限特定于模型)。
- 模型集会限制用户可以看到的数据和 LookML 字段,因为每个模型都连接到特定的数据库连接并包含某些 LookML 字段。
创建模型集
如需创建模型集,请执行以下操作:
点击角色页面顶部的新建模型集按钮。
Looker 会显示新建模型集页面。输入新模型集的名称。
选择应包含在新模型集中的一个或多个模型。
点击页面底部的新建模型集按钮。新模型集将显示在角色页面的模型集部分中。
待处理项目中包含的模型会显示在新模型集和修改模型集页面的模型列表中。
删除或重命名模型不会影响任何包含该模型的模型集。移除或重命名模型后,我们建议 Looker 管理员使用修改模型集页面从所有关联的模型集中移除该模型的名称。从模型集中移除已删除模型的名称,可防止使用相同名称的新模型意外添加到该模型集中。
如需详细了解模型,请参阅模型参数文档页面。
创建多个模型和模型集
以下示例说明了如何使用多个模型集来限制对数据的访问。假设您有两个团队,营销和支持。在本示例中,这两个团队不应有权访问整个模型,因此您需要为每个团队创建一个单独的模型。要分离其数据访问权限,您需要执行以下步骤:
- 将该模型复制到两个新模型中。
- 在第一个新模型中,仅添加营销团队应有权访问的视图、字段和探索。
- 为营销团队创建一个仅包含此新模型的模型集。
- 为营销团队创建一个新角色,其中包含这个新模型集以及营销团队的相应权限。
- 将这个新角色分配给营销团队群组。
- 重复第 2 步到第 5 步,为支持团队配置第二个模型。
修改模型集
创建模型集后,请执行以下步骤进行修改:
在角色页面上,点击要修改的模型集右侧的修改按钮。
Looker 会显示修改模型集页面。如果需要,在名称字段中为模型集输入一个新名称。
在模型部分的模型集中添加或移除任何模型。
点击页面底部的更新模型集按钮。
待处理项目中包含的模型会显示在新模型集和修改模型集页面的模型列表中。
删除或重命名模型不会影响任何包含该模型的模型集。移除或重命名模型后,我们建议 Looker 管理员使用修改模型集页面从所有关联的模型集中移除该模型的名称。从模型集中移除已删除模型的名称,可防止使用相同名称的新模型意外添加到该模型集中。
删除模型集
要删除模型集,请在角色页面上点击要删除的模型集右侧的删除。