角色、權限集和模型集會一併使用,管理使用者可執行的動作和可查看的內容。在「管理」面板的「使用者」部分中,「角色」頁面可供您查看、設定及指派角色、權限集和模型集。
如要搜尋特定角色、權限集和模型集,請在右上方的搜尋框中輸入搜尋字詞,然後按下 Enter 鍵。
定義
- 角色會定義使用者或群組在 Looker 中特定模型的權限。將一組權限與一組模型結合,即可建立角色。
- 權限集會定義使用者或群組可執行的操作。您可以選取要指派給使用者或群組的權限組合。必須做為角色的一部分使用,才能發揮作用。
- 模型集會定義使用者或群組可查看的資料和 LookML 欄位。選取使用者或群組應有權存取的 LookML 模型組合。必須做為角色的一部分使用,才能發揮作用。
管理角色
角色是由一組權限和一組模型組合而成。一般來說,角色會以機構中的人員類型或人員群組命名,例如管理員、Looker 開發人員、財務團隊等,但您也可以採用自己的命名慣例。
使用者在 Looker 中可以擁有多個角色。如果貴公司使用者身兼多職,或是您想建立複雜的模型存取權系統,這項功能就非常實用。
建立、編輯及刪除角色
如要建立角色,請按照下列步驟操作:
- 按一下「角色」頁面頂端的「新增角色」按鈕。
Looker 會顯示「New Role」(新角色) 頁面,您可以在這裡設定下列項目:
設定好角色後,請按一下頁面底部的「新角色」按鈕。
建立角色後,只要按一下「角色」頁面中角色右側的「編輯」按鈕,即可編輯角色。按一下「編輯」,即可前往該角色的「編輯角色」頁面,編輯名稱、權限集、模型集,以及指派給該角色的群組或使用者。
如要刪除角色,請在「角色」頁面中,按一下角色右側的「刪除」按鈕。
預設角色
對於新例項,Looker 會建立下列預設角色,每個角色都包含同名的預設權限集:
- 管理員
- 透過 IAM 指派的管理員
- 開發人員
- Gemini
- 支援進階編輯器
- 支援基本編輯者
- 使用者
- 檢視者
下列各節中的預設角色有使用條件。
透過 IAM 指派的管理員
「透過 IAM 指派的管理員」角色僅適用於 Looker (Google Cloud Core),且只能透過 Google Cloud 控制台管理。詳情請參閱「使用 OAuth 和 IAM 進行驗證和授權」和「管理員 Looker 角色與透過 IAM 管理員 Looker 角色」說明文件。
「透過 IAM 管理」角色會使用「管理」權限集。
Gemini
「Gemini」Gemini角色無法重新命名或刪除,且權限集中只包含 gemini_in_looker 權限。根據預設,這項角色的權限集會套用至 Looker 執行個體上的所有模型。如要限制使用者只能透過特定模型存取 Gemini in Looker 功能,請從「Gemini」Gemini角色移除這些使用者,然後建立新角色,並對所選模型套用 gemini_in_looker 權限。請務必將這些使用者從「Gemini 預設使用者」群組中移除。
這個角色提供的 gemini_in_looker 權限可讓使用者在 Looker 執行個體中,透過 Gemini 協助執行下列工作:
- 編寫 LookML:使用者也必須具備 Looker 角色,且該角色在 LookML 專案中至少有一個模型包含
develop權限。 - 建立自訂 Looker 視覺化效果:前提是他們也擁有包含
can_override_vis_config權限的 Looker 角色。 - 即使使用者未獲指派
explore權限,只要他們在要查詢的模型中具有包含access_data權限的 Looker 角色,就能使用對話式數據分析查詢 Looker 探索資料。
如要進一步瞭解 Gemini in Looker 功能,請參閱 Gemini in Looker 總覽。
支援進階編輯器和基本編輯器
如果 Looker 管理員已停用「分層支援存取權」Labs 功能,這些角色就不會顯示在 Looker (原始版) 執行個體中。如果執行個體使用私人 IP (私人服務存取權或 Private Service Connect) 網路,或公開 IP 和私人 IP 網路,這些角色就不會顯示在 Looker (Google Cloud Core) 執行個體上。
「支援進階編輯者」和「支援基本編輯者」角色無法編輯、刪除,也無法指派給支援存取權使用者以外的使用者。
權限集
權限集會定義使用者或群組可執行的動作。管理員可以使用 Looker 的預設權限集,或建立原始權限集,但請注意權限依附元件。
如要進一步瞭解所有可用權限及其類型,請參閱權限清單。
預設權限集
如果是新安裝的 Looker,系統會提供多個預設權限集,方便您開始使用:
建立新角色時,您會看到這些權限組合選項。選取其中一組權限後,Looker 會顯示內含的權限清單。
管理員權限集無法編輯或刪除,也無法指派給角色。這項權限僅指派給管理員角色,且無法編輯或刪除。如要將管理員權限集授予使用者或群組,唯一方法是為該使用者或群組新增管理員角色。
建立權限集
如要建立權限集,請按一下「角色」頁面頂端的「新增權限集」按鈕。Looker 會顯示一個頁面,您可以在其中輸入權限集的名稱,並選取應包含的權限。視需要設定完權限組合後,請按一下頁面底部的「新增權限組合」按鈕。
建立權限組合後,如要編輯或刪除,請在「角色」頁面中,按一下權限組合右側的「編輯」或「刪除」按鈕。
權限和依附元件
部分權限必須搭配其他權限才能正常運作。舉例來說,如果使用者想在 LookML 中開發,就必須先能查看 LookML。
建立權限集時,系統會以縮排清單顯示可用權限。如果某項權限縮排在另一項 (父項) 權限下方,您必須先選取父項權限。權限清單可能如下所示:
☑️ access_data
☑️ see_lookml_dashboards
☑️ see_looks
☑️ see_user_dashboards
在這個範例中,Looker 會使用縮排來表示下列項目:
access_data權限隨時可選取。- 如要使用
see_lookml_dashboards和see_looks權限,必須先選取access_data權限。 see_user_dashboards權限取決於see_looks權限,而see_looks權限則取決於access_data權限。
如要選取子項權限,請先選取父項。
權限和 Looker 授權
Looker 授權將使用者分為三種:
- 開發人員 (管理員)
- 標準 (建立者)
- 檢視者
授予使用者的權限會決定該使用者在 Looker 授權下如何分類:
如果使用者擁有管理員預設角色,或至少具備下列其中一項權限,就會歸類為開發人員 (管理員) 使用者:
如果使用者沒有任何開發人員 (管理員) 權限,但具備下列至少一項權限,就會歸類為標準 (建立者) 使用者:
如果使用者擁有
access_data權限,但沒有任何開發人員 (管理員) 權限和標準 (建立者) 權限,就會歸類為檢視者。
權限清單
權限可分為三種類型:
- 模型專屬:這類權限只會套用至屬於相同角色的模型集。這項權限會套用至個別模型或模型集,而非整個 Looker 執行個體。
- 連線專屬:這類權限是在連線層級套用。如果使用者具備這類權限,即使與模型建立關聯的連線也用於其他模型,只要使用者有權存取該模型資料,就能在「管理」面板的頁面上看到內容。
- 執行個體範圍:這類權限適用於整個 Looker 執行個體,共有三種:
- NN = 無法存取內容,無法存取選單:使用者可透過這些權限在整個 Looker 執行個體中執行特定功能,但無法存取角色模型集未納入的模型內容。
- CN = 內容存取權,無選單存取權:使用者擁有這些權限後,就能存取整個 Looker 執行個體的內容和查詢資訊,即使內容和查詢是根據角色模型集未納入的模型也一樣。
- CM = 內容存取權、選單存取權:這些權限可能會向非管理員使用者公開部分管理選單,並允許使用者查看與其角色模型集未包含的模型相關的內容和查詢資訊。
以下列出 Looker 中的所有權限,順序與「管理」部分「新增權限集」頁面上的權限相同:
| 權限 | 取決於 | 類型 | 定義 |
|---|---|---|---|
access_data |
無 | 特定型號 | 使用者可以存取 Looker 中的資料,但僅限管理員指定的資料。幾乎所有 Looker 函式都需要這項權限。如果使用者擁有這項權限,並獲准存取特定專案中的任何模型,即可存取該專案「資料」部分中的任何檔案 (例如 JSON 自訂地圖檔案)。具備這項權限的 Looker Studio 使用者,可以在使用 Looker 連接器的 Looker Studio 報表中查看 Looker 資料。 |
see_lookml_dashboards |
access_data |
特定型號 | 使用者可以查看 LookML |
see_looks |
access_data |
特定型號 | 使用者可以在資料夾中查看已儲存的 Look (但無法查看資訊主頁)。使用者必須擁有相關模型的 explore 權限,才能探索這些 Look。使用者也需要「查看」內容存取層級,才能查看資料夾中的 Look。 |
see_user_dashboards |
see_looks |
特定型號 | 使用者可以查看資料夾中的使用者定義資訊主頁,但必須具備任何相關模型的 explore 權限,才能探索這些資訊主頁。使用者也需要「查看」內容存取權,才能查看資料夾中的資訊主頁。如果使用者同時具備 save_dashboards 權限,以及資料夾的「管理存取權、編輯」內容存取權,即可在該資料夾中建立使用者定義的資訊主頁。 |
explore |
see_looks |
特定型號 | 使用者可以存取及使用「探索」頁面,產生「檢視」和資訊主頁。如果沒有這項權限,使用者只能查看已儲存的資訊主頁 (如果已授予 see_lookml_dashboards 或 see_user_dashboards)。具備這項權限的 Looker Studio 使用者,可以根據 Looker 探索在 Looker Studio 中建立資料來源。他們也可以在 Looker Studio 中查看及編輯該資料來源的設定。 |
create_table_calculations |
explore |
執行個體 Wide NN | 使用者可以查看、編輯或新增表格計算 |
create_custom_fields |
explore |
執行個體 Wide NN | 使用者可以查看、編輯或新增自訂欄位;只有 explore 權限的使用者只能查看自訂欄位。 |
can_create_forecast |
explore |
執行個體 Wide NN | 使用者可以在資料視覺化中建立及編輯預測;如果使用者沒有這項權限,只能查看有權存取內容中的現有預測。 |
can_override_vis_config |
explore |
執行個體 Wide NN | 使用者可以存取圖表設定編輯器,修改視覺化效果的 Highchart API JSON 值,並自訂視覺化效果的外觀和格式。 |
save_content |
see_looks |
執行個體 Wide NN | 這項權限是 save_dashboards、save_looks 和 create_public_looks 的父項權限。這項權限必須透過 save_dashboards 或 save_looks 授予。 |
save_dashboards |
save_content |
執行個體 Wide NN | 使用者可以儲存及編輯資訊主頁。使用者必須擁有相關模型的 explore 權限,才能從這些資訊主頁進行探索。使用者必須具備 download_with_limit 和/或 download_without_limit 權限,才能下載內容。 |
save_looks |
save_content |
執行個體 Wide NN | 使用者可以儲存及編輯 Look。使用者必須擁有相關模型的 explore 權限,才能從這些 Look 進行探索。使用者必須具備 download_with_limit 和/或 download_without_limit 權限,才能下載內容。 |
create_public_looks |
save_looks |
特定型號 | 使用者可以將已儲存的 Look 標示為公開,系統隨即會產生網址,讓使用者無須驗證即可存取該 Look。 |
download_with_limit |
see_looks |
特定型號 | 這項權限適用於 Looker 中的 Look 和資訊主頁,以及使用 Looker 連接器的 Looker Studio 報表。 使用者可以下載資料,但必須指定 5,000 列以下的列數限制,以免下載大量資料時發生記憶體問題。 具備這項權限的 Looker Studio Pro 使用者,可以下載使用 Looker 連接器的 Looker Studio 報表。 |
download_without_limit |
see_looks |
特定型號 | 這項權限適用於 Looker 中的 Look 和資訊主頁,以及使用 Looker 連接器的 Looker Studio 報表。 與 |
schedule_look_emails |
see_looks |
特定型號 | 這項權限適用於 Looker 中的 Look 和資訊主頁,以及使用 Looker 連接器的 Looker Studio 報表。使用者可以透過電子郵件傳送任何具有視覺化效果的 Look、資訊主頁和查詢,前提是他們具有資料存取權。使用者可以排定在資料群組觸發、管理快取,以及重建相關 PDT 後,再進行傳送。如要傳送或排定傳送「系統活動」資訊主頁,使用者必須有權存取所有模型。 如果使用者也擁有 create_alerts 權限,就能傳送電子郵件快訊通知。 Looker 管理員可以透過「管理」面板「設定」頁面中的「電子郵件網域允許清單」,控管 Looker 使用者和嵌入使用者可將電子郵件傳送至哪些網域。具備這項權限的 Looker Studio Pro 使用者,可以排程傳送使用 Looker 連接器的 Looker Studio 報表。 |
schedule_external_look_emails |
schedule_look_emails |
特定型號 | 使用者可以透過電子郵件傳送任何具有視覺化效果的 Look、資訊主頁和查詢,前提是他們必須擁有資料存取權。使用者可以排定在資料群組觸發、管理快取,以及重建相關 PDT 後,再進行傳送。如要傳送或排定傳送「系統活動」資訊主頁,使用者必須有權存取所有模型。 如果使用者也擁有 create_alerts 權限,就能傳送電子郵件快訊通知。無論「管理」面板的「設定」頁面上的「電子郵件網域允許清單」是否包含任何電子郵件網域,使用者都可以將內容傳送或快訊通知電子郵件傳送至任何網域的電子郵件地址。 |
create_alerts |
see_looks |
執行個體 Wide NN | 這項權限適用於 Looker 中的資訊主頁,以及使用 Looker 連接器的 Looker Studio 圖表。 使用者可以透過資訊主頁動態磚建立、複製及刪除自己的快訊,也可以查看及複製其他使用者標示為「公開」的快訊。使用者必須登入 Slack,才能查看傳送 Slack 通知的資訊主頁動態磚快訊。使用者可以在「管理快訊」使用者頁面中,查看、編輯、停用及啟用自己擁有的快訊。使用者必須具備 具備這項權限的 Looker Studio Pro 使用者,可以在使用 Looker 連接器的 Looker Studio 報表上建立、複製及刪除快訊。 |
follow_alerts |
see_looks |
執行個體 Wide NN | |
send_to_s3 |
see_looks |
特定型號 | 使用者可以將任何具有視覺化效果的 Look、資訊主頁和查詢傳送至 Amazon S3 值區,前提是他們必須擁有資料存取權。使用者可以排定在資料群組觸發、管理快取,以及重建相關 PDT 後,再進行傳送。 這項權限會套用至個別模型或模型集,而非整個 Looker 執行個體。 |
send_to_sftp |
see_looks |
特定型號 | 使用者可以將任何具有視覺化效果的 Look、資訊主頁和查詢傳送至 SFTP 伺服器,前提是他們必須擁有資料存取權。使用者可以排定在資料群組觸發、管理快取,以及重建相關 PDT 後,再進行傳送。 這項權限會套用至個別模型或模型集,而非整個 Looker 執行個體。 |
send_outgoing_webhook |
see_looks |
特定型號 | 使用者可以將任何具有資料存取權的 Look、資訊主頁和查詢 (含視覺化) 傳送至 Webhook。使用者可以排定在資料群組觸發、管理快取,以及重建相關 PDT 後,再進行傳送。 這項權限會套用至個別模型或模型集,而非整個 Looker 執行個體。 |
send_to_integration |
see_looks |
特定型號 | 使用者可以透過 Looker Action Hub,將任何具有資料存取權的 Look、資訊主頁和查詢 (含視覺化) 傳送至與 Looker 整合的第三方服務。如果使用自訂動作和使用者屬性,使用者必須具備這項權限,且指定的使用者屬性必須有非空值和有效的使用者屬性值,才能將 Looker 內容傳送至該動作目的地。這項權限與資料動作無關。使用者可以排定在資料群組觸發、管理快取,以及重建相關 PDT 後,再進行傳送。 這項權限會套用至個別模型或模型集,而非整個 Looker 執行個體。 |
see_sql |
see_looks |
特定型號 | 使用者在探索資料時,可以存取「SQL」分頁,並查看查詢造成的任何 SQL 錯誤。 |
see_lookml |
see_looks |
特定型號 | 使用者具備 LookML 的唯讀存取權,使用者必須具備這項權限,才能在「管理」面板中看到「前往 LookML」連結。
如要讓使用者編輯 LookML,您也必須授予 develop 權限。
注意:這項權限與模型集互動時,可能會發生無法預期的情況。如果您將 see_lookml 權限指派給使用者,並允許該使用者查看專案中的任何模型,他們就能查看該專案中所有模型的 LookML。不過,他們仍無法查詢您未允許的模型。 |
develop |
see_looks |
特定型號 | 使用者可以對 LookML 進行本機變更,但除非他們也具備 deploy 權限,否則無法讓所有人都能使用這些變更。如要在「說明」選單中看到「取得支援」選項,以及在 Looker IDE 中查看中繼資料,就必須具備這項權限。使用者也必須具備這項權限,才能存取「探索」齒輪選單中的「重建衍生資料表並執行」選項。這項權限不限於特定模型,因此如果使用者在某個模型中擁有這項權限,就能在所有模型中重建衍生資料表並執行。注意:這項權限與模型集互動時,可能會發生無法預期的情況。如果您將 develop 權限指派給使用者,並允許該使用者查看專案中的任何模型,他們就能為該專案中的所有模型開發 LookML。不過,他們仍無法查詢您未允許的模型。 |
deploy |
develop |
執行個體 Wide NN | 使用者可以將本機 LookML 變更推送至正式環境,讓所有人都可使用這些變更。 |
support_access_toggle |
develop |
執行個體 Wide NN | 使用者可以啟用或停用 Looker 分析師對 Looker 執行個體的存取權。 |
manage_project_models |
develop |
特定型號 | 使用者可以在「編輯模型設定」頁面,新增、編輯或刪除允許模型的模型設定。設定模型時,使用者只能使用專案範圍的連線。注意:這項權限與模型集互動時,可能會發生無法預期的情況。如果您建立具有 manage_project_models 權限的角色,該角色會授予所有模型的存取權,這些模型與角色模型集中的任何模型共用專案。 |
use_global_connections |
manage_project_models |
特定型號 | 使用者可以透過任何專案範圍的連線或執行個體範圍的連線,設定允許使用的模型。 |
manage_project_connections_restricted |
develop |
特定型號 CM | 使用者可以在管理選單中看到「連結」頁面。他們可以查看、編輯及建立模型集中任何專案的專案範圍連線。不過,他們只能編輯下列連線設定:
manage_project_connections_restricted 權限指派給使用者,該使用者就能查看、編輯及建立模型集中任何專案的專案範圍連線。
|
manage_project_connections |
manage_project_connections_restricted |
特定型號 CM | 使用者可以在管理選單中看到「連結」頁面。他們可以查看、編輯及建立模型集中任何專案的專案範圍連線。注意:這項權限與模型集互動時,可能會發生無法預期的情況。如果您將 manage_project_connections_restricted 權限指派給使用者,該使用者就能查看、編輯及建立模型集中任何專案的專案範圍連線。 |
see_ci |
develop |
執行個體 Wide NN | 25.6 版新增功能 使用者可以查看持續整合執行作業的結果、持續整合套件頁面,以及執行測試套件。 |
manage_ci |
see_ci |
執行個體 Wide NN | 新增 25.6 使用者可以建立持續整合套件、管理持續整合使用者,以及設定與持續整合的 Git 連線。只有管理員可以為 Looker 執行個體啟用「持續整合」功能。 |
use_sql_runner |
see_lookml |
特定型號 | 使用者可以透過 SQL Runner,針對允許的連線執行原始 SQL。無論使用者是否具備 download_with_limit 或 download_without_limit 權限,都能透過 SQL Runner 齒輪選單中的「下載」選項下載結果。 |
clear_cache_refresh |
access_data |
特定型號 | 使用者可以清除快取,並重新整理內部和嵌入式資訊主頁、資訊主頁圖塊、Look 和探索。如果現有的權限組合包含下列任一權限:see_user_dashboards、see_lookml_dashboards 或 explore,系統會自動新增 clear_cache_refresh 權限。clear_cache_refresh 權限不會自動套用至任何內嵌角色。擁有這項權限的 Looker Studio 使用者,可以重新整理使用 Looker 連接器的 Looker Studio 報表資料。 |
see_drill_overlay |
access_data |
特定型號 | 使用者可以查看深入分析資訊主頁圖塊的結果,但無法探索這些結果。如果授予 explore,系統也會自動授予這項權限 (即使未勾選)。使用者也必須具備 explore 權限,才能以 PNG 格式下載深入分析結果。 |
manage_spaces |
無 | 執行個體廣播 CN | 使用者可以建立、編輯、移動及刪除資料夾。使用者也需要「管理存取權、編輯」內容存取權。 |
manage_homepage |
無 | 執行個體 Wide NN | 使用者可以編輯及新增側欄內容,所有 Looker 使用者都會在預先建立的 Looker 首頁上看到這些內容。 |
manage_models |
無 | 執行個體廣播 CN | 每個 LookML 模型都會對應至「管理 LookML 專案」頁面上的特定資料庫連線組合。具備這項權限的使用者可以設定這些對應關係、建立新專案,以及刪除專案。獲得這項權限的非管理員使用者,可以存取模型允許的所有連線。注意:這項權限與模型集互動時,可能會發生無法預期的情況。如果將 manage_models 權限指派給使用者,該使用者就能存取執行個體中所有專案的所有模型。 |
create_prefetches |
無 | 整個執行個體 | 強烈建議不要預先擷取。建議改用資料群組。 |
login_special_email |
無 | 整個執行個體 | 即使您已在執行個體中啟用其他登入機制 (例如 Google、LDAP 或 SAML),使用者仍可透過電子郵件/密碼憑證登入。這項功能對顧問或其他不屬於一般驗證系統的使用者來說,可能相當實用。 |
embed_browse_spaces |
無 | 執行個體 Wide NN | 啟用簽署的嵌入內容瀏覽器。如果您使用簽署的嵌入內容,請將這項權限授予具備 |
embed_save_shared_space |
無 | 整個執行個體 | 允許具有 save_content 權限的使用者將內容儲存到機構的「共用」資料夾 (如有)。如果使用者擁有 save_content 權限,但沒有 embed_save_shared_space 權限,則只能將內容儲存至個人嵌入資料夾。 |
manage_embed_settings |
無 | 執行個體寬度 CM | 使用者可以在「管理」選單的「平台」部分,前往「嵌入」頁面編輯嵌入設定。 |
manage_modelsets_restricted |
無 | 特定型號 CM |
已新增 25.2
使用者可以修改擁有 manage_modelsets_restricted 權限的模型集。使用者只能新增自己擁有 manage_modelsets_restricted 權限的模型集所含的模型。注意:這項權限與模型集互動時,可能會發生無法預期的情況。如果您將 manage_modelsets_restricted 權限指派給使用者,並允許該使用者存取專案中的任何模型,他們就能將該專案中的所有模型指派給他們有權存取的模型集。 |
manage_schedules |
無 | 特定型號 CM | 新增 25.2 使用者可以在指定模型的「時間表」頁面上重新指派及刪除時間表。使用者無法透過這項權限查看「排程記錄」頁面。 |
manage_themes |
無 | 執行個體寬度 CM | 使用者可以在「管理」選單的「平台」部分,前往「主題」頁面設定主題。只有在執行個體已啟用主題時,才能使用這項權限。 |
manage_privatelabel |
無 | 執行個體寬度 CM | 使用者可以在「管理」選單的「平台」部分,前往「自有品牌」頁面設定自有品牌。只有在執行個體啟用私人標籤時,才能使用這項權限。 |
see_alerts |
無 | 執行個體寬度 CM | 使用者可以存取「管理」部分的「快訊」和「快訊記錄」頁面,查看 Looker 執行個體上的所有快訊。使用者可以在「快訊」管理頁面中,查看、追蹤、編輯、自行指派及停用其他使用者擁有的快訊。使用者必須有權存取基礎內容,才能透過快訊的視覺化資料 (位於「快訊詳細資料」頁面) 查看或探索快訊,或是前往快訊的資訊主頁。使用者無法透過這項權限,在資訊主頁動態磚中查看、建立、追蹤或刪除快訊。 |
see_queries |
無 | 執行個體寬度 CM | 使用者可以在 Looker 的「管理」部分中查看「查詢」頁面。使用者無法透過這項權限在「查詢」頁面終止查詢。 |
see_logs |
無 | 執行個體寬度 CM | 使用者可以在 Looker 的「管理」部分中查看「記錄」頁面。 |
see_users |
無 | 執行個體寬度 CM | 使用者可以在 Looker 的「管理」部分查看「使用者」頁面 (但無法查看「群組」頁面)。使用者無法透過這項權限建立新使用者、查看或建立 API 憑證、重設密碼,或修改使用者或權限。獲授此權限的使用者可以查看執行個體中所有群組的所有使用者,即使是在封閉系統中也一樣。使用者可以查看所有群組名稱和角色名稱,部分公司可能會認為這些資訊屬於機密。 |
sudo |
see_users |
執行個體寬度 CM | 使用者可以按一下「使用者」頁面上的「Sudo」Sudo按鈕,以其他使用者的身分執行 sudo (也就是以其他使用者的身分行動,並暫時繼承其權限)。sudo 權限不允許非管理員以管理員身分執行 sudo,但非管理員可能會使用 sudo 提升權限,因此請謹慎操作。 |
manage_groups |
see_users |
執行個體寬度 CM | 使用者可以在「管理」選單的「使用者」部分,透過「群組」頁面建立、編輯及刪除群組,但與「管理」角色相關聯的群組除外。 |
manage_roles |
manage_groups |
執行個體寬度 CM | 使用者可以在「管理」選單的「使用者」部分,透過「角色」頁面建立、編輯及刪除角色 (「管理員」角色除外)。使用者仍無法建立、編輯或刪除權限集或模型集。 |
manage_user_attributes |
see_users |
執行個體寬度 CM | 使用者可以在「管理」選單的「使用者」部分,透過「使用者屬性」頁面建立、編輯及刪除使用者屬性。 |
see_schedules |
無 | 執行個體寬度 CM | 使用者可以在 Looker 的「管理」面板中查看「時間表」 (時間表) 和「時間表記錄」 (時間表記錄) 頁面。使用者無法透過這項權限,在「時間表」和「時間表記錄」頁面重新指派、編輯或刪除其他使用者的時間表。 |
see_pdts |
無 | 連線專屬 | 使用者可以在 Looker 的「管理」部分查看「永久衍生資料表」頁面,並查看專案中 PDT 的相關資訊,這些專案使用的連線與模型相關聯,而使用者對這些模型具有資料存取權。新 Looker 安裝作業的開發人員 預設權限集包含這項權限。這項權限適用於使用者有權存取的連線,而非整個 Looker 執行個體,或個別模型或模型集。 |
see_datagroups |
無 | 特定型號 | 使用者可以在 Looker 的「管理」部分中查看「資料群組」頁面。使用者可以查看模型中定義的資料群組相關資訊,包括連線名稱、模型名稱,以及他們有資料存取權的其他資訊。這項權限會套用至個別模型或模型集,而非整個 Looker 執行個體或連線。 |
update_datagroups |
see_datagroups |
特定型號 | 使用者可以透過 Looker「管理」部分的資料群組頁面,觸發資料群組或重設其快取。與具備 see_datagroups 權限的使用者一樣,具備 update_datagroups 權限的使用者可以查看專案中定義的資料群組,這些專案使用的模型必須具備 資料存取權。這項權限會套用至個別模型或模型集,而非整個 Looker 執行個體或連線。 |
see_system_activity |
無 | 執行個體寬度 CM | 使用者可以存取「系統活動」探索和資訊主頁,查看 Looker 執行個體的使用情形、記錄和其他中繼資料。 |
see_admin |
無 | 執行個體寬度 CM | 使用者可以具備管理資源的唯讀存取權,包括「管理」面板中的頁面,但下列頁面除外:
|
mobile_app_access |
無 | 執行個體 Wide NN | 使用者可以透過Looker 行動應用程式,在行動裝置上登入執行個體。如要讓使用者登入 Looker 行動應用程式,請先在 Looker 的「管理」部分中,啟用「一般設定」頁面的「行動應用程式存取權」選項。mobile_app_access 權限可以新增至現有或新的權限集,且是所有 Looker 預設權限集的一部分。 |
gemini_in_looker |
無 | 執行個體 Wide NN | 這項權限是 Gemini 預設角色中唯一的權限。您無法為任何其他權限集或角色新增這項權限,使用者必須擁有 Looker 角色,且該角色在 LookML 專案中至少有一個模型包含 develop 權限,才能使用 Gemini 輔助功能編寫 LookML。如果使用者具備包含 can_override_vis_config 權限的 Looker 角色,就能使用 Gemini 輔助功能建立自訂 Looker 視覺化圖表。使用者即使沒有包含 explore 權限的角色,只要擁有對所查詢模型包含 access_data 權限的 Looker 角色,就能搭配 Looker 探索資料使用對話式 Analytics。 |
權限集須知
develop;see_lookml- 在 Looker 的 IDE 中,單一專案可以包含多個模型檔案。如果您將develop或see_lookml權限指派給使用者,並允許該使用者查看專案中的任何模型,他們就能開發或查看該專案中所有模型的 LookML。不過,他們仍無法查詢您未允許的模型。manage_models:如果將manage_models權限指派給使用者,該使用者就能存取執行個體中所有專案的所有模型。manage_modelsets_restricted:如果將manage_modelsets_restricted權限指派給使用者,對方就能指派有權存取的專案中的任何模型。manage_project_connections:如果將manage_project_connections_restricted或manage_project_connections權限指派給使用者,使用者就能查看、編輯及建立模型集中任何專案的專案範圍連線。
模型集
模型集可定義使用者或群組可查看的資料和 LookML 欄位。每個集合都是一份 LookML 模型清單,使用者或群組應可存取這些模型。您可以將模型集視為執行兩項功能:
- 模型集會控管權限適用的 LookML 模型 (如果這些權限是模型專屬)。
- 模型集會限制使用者可查看的資料和 LookML 欄位,因為每個模型都會連線至特定資料庫連線,並包含特定 LookML 欄位。
建立模型集
如要建立模型集,請按照下列步驟操作:
按一下「角色」頁面頂端的「新增模型集」按鈕。
Looker 會顯示「New Model Set」(新增模型集) 頁面。輸入新模型集的名稱。
選取要納入新模型集的模型。
按一下頁面底部的「New Model Set」(新增模型集) 按鈕。新模型集會顯示在「角色」頁面的「模型集」部分。
待處理專案中包含的模型會顯示在「New Model Set」(新增模型集) 和「Edit Model Set」(編輯模型集) 頁面的「Models」(模型) 清單中。
刪除或重新命名模型不會變更包含該模型的所有模型集。移除或重新命名模型後,建議 Looker 管理員也使用「編輯模型集」頁面,從任何相關聯的模型集中移除該模型名稱。從模型集中移除已刪除模型的名稱,可避免同名的新模型意外納入該模型集。
如要進一步瞭解模型,請參閱「模型參數」說明文件頁面。
建立多個模型和模型集
以下範例說明如何使用多個模型集來限制資料存取權。假設您有兩個團隊:行銷和支援。在本例中,這兩個團隊不應存取整個模型,因此您會為每個團隊建立個別模型。如要區隔資料存取權,請執行下列步驟:
- 將模型複製到兩個新模型中。
- 在第一個新模型中,只納入行銷團隊應有權存取的檢視區塊、欄位和探索。
- 為行銷團隊建立模型集,只包含這個新模型。
- 為行銷團隊建立新角色,其中包含這個新模型集和行銷團隊的適當權限。
- 將這個新角色指派給行銷團隊群組。
- 重複執行步驟 2 至 5,為支援團隊設定第二個模型。
編輯模型集
建立模型集後,請按照下列步驟編輯:
在「角色」頁面中,按一下要編輯模型集右側的「編輯」按鈕。
Looker 會顯示「Edit Model Set」(編輯模型集) 頁面。如要為模型集輸入新名稱,請在「名稱」欄位中輸入。
在「模型」部分新增或移除模型集中的模型。
按一下頁面底部的「更新模型集」按鈕。
待處理專案中包含的模型會顯示在「New Model Set」(新增模型集) 和「Edit Model Set」(編輯模型集) 頁面的「Models」(模型) 清單中。
刪除或重新命名模型不會變更包含該模型的所有模型集。移除或重新命名模型後,建議 Looker 管理員也使用「編輯模型集」頁面,從任何相關聯的模型集中移除該模型名稱。從模型集中移除已刪除模型的名稱,可避免同名的新模型意外納入該模型集。
刪除模型集
如要刪除模型集,請在「角色」頁面中,按一下要刪除的模型集右側的「刪除」。