角色、权限集和模型集可搭配使用,用于管理用户可以执行哪些操作以及可以查看哪些内容。在管理面板的用户部分中,您可以查看、配置和分配角色、权限集和模型集。
您可以通过在右上角的搜索框中输入搜索字词并按 Enter 键,搜索特定角色、权限集和模型集。
定义
- 角色用于定义用户或群组对 Looker 中特定一组模型的权限。您可以通过将一组权限与一组模型组合来创建角色。
- 权限集用于定义用户或群组可以执行的操作。您可以选择要分配给用户或群组的权限组合。它必须作为角色的一部分才能发挥作用。
- 模型集用于定义用户或群组可以看到哪些数据和 LookML 字段。您可以选择用户或群组应拥有访问权限的 LookML 模型组合。它必须作为角色的一部分才能发挥作用。
管理角色
角色是权限集和模型集的组合。常见的做法是根据贵组织中的人员类型或人员群组(例如管理员、Looker 开发者、财务团队)来命名角色,但您当然也可以遵循自己的命名惯例。
用户可以在 Looker 中拥有多个角色。如果您有用户在贵公司中扮演多种角色,或者您想要创建复杂的模型访问权限系统,此功能会非常有用。
创建、修改和删除角色
如需创建角色,请按以下步骤操作:
- 点击角色页面顶部的新建角色按钮。
Looker 会显示新角色页面,您可以在其中配置以下设置:
按需要配置角色后,点击页面底部的新建角色按钮。
创建角色后,您可以点击角色页面上相应角色右侧的修改按钮对其进行修改。点击修改后,您会进入该角色的修改角色页面,在该页面中,您可以修改名称、权限集、模型集以及分配给该角色的群组或用户。
如需删除角色,请在角色页面上点击相应角色右侧的删除按钮。
默认角色
对于新实例,Looker 会创建以下默认角色,每个角色都包含同名的默认权限集:
- 管理员
- 通过 IAM 分配的 Admin 角色
- 开发者
- Gemini
- 支持高级编辑器
- 支持基本编辑器
- 用户
- 查看者
以下部分中的默认角色具有使用条件。
Gemini
您无法修改或删除 Gemini 角色。此角色的权限集适用于 Looker 实例中的所有模型。
借助此角色提供的 gemini_in_looker
权限,用户可以在 Looker 实例中使用 Gemini 协助执行以下任务:
- 编写 LookML - 当用户还具有 Looker 角色且该角色对 LookML 项目中的至少一个模型具有
develop
权限时。 - 创建自定义 Looker 可视化图表 - 前提是他们还具有包含
can_override_vis_config
权限的 Looker 角色。 - 使用对话式分析查询 Looker 探索数据(前提是已为 Looker 实例启用 Studio in Looker)。
对于同时是 Looker Studio Pro 用户的 Looker 查看者,若要将对话式分析与使用 Looker 连接器构建的 Looker Studio 报告搭配使用,则必须拥有此权限。
如需了解详情,请参阅 Looker 中的 Gemini 概览。
通过 IAM 分配的 Admin 角色
“通过 IAM 的管理员”角色仅适用于 Looker(Google Cloud 核心),并且只能通过 Google Cloud 控制台进行管理。如需了解详情,请参阅使用 OAuth 和 IAM 进行身份验证和授权以及“管理员 Looker 角色”与“通过 IAM Looker 角色的管理员”文档。
通过 IAM 的管理员角色使用管理员权限集。
支持高级编辑器和支持基本编辑器
如果 Looker 管理员停用了分层支持访问权限实验室功能,这些角色将不会显示在 Looker(原始)实例中。如果 Looker (Google Cloud Core) 实例使用专用 IP(专用服务访问通道或 Private Service Connect)网络或公共 IP 和专用 IP 网络,则这些角色不会显示在该实例中。
支持高级编辑者和支持基本编辑者角色无法修改、删除或分配给支持访问权限用户以外的用户。
权限集
权限集用于定义用户或群组可以执行的操作。管理员可以使用 Looker 的默认权限集或创建原始权限集,同时注意权限依赖项。
权限列表中详细介绍了所有可用权限及其类型。
默认权限集
对于新安装的 Looker,您可以先使用以下几个默认权限集:
在创建新角色时,您会看到这些权限集显示为选项。如果您选择其中一个权限集,Looker 会显示其包含的权限列表。
您无法修改或删除“管理员”权限集,也无法将其分配给角色。此权限仅分配给“管理员”角色,该角色也无法修改或删除。若要向用户或群组授予“管理员”权限,唯一的方法是向该用户或群组添加“管理员”角色。
创建权限集
如需创建权限集,请点击角色页面顶部的新建权限集按钮。Looker 会显示一个页面,您可以在其中输入权限集的名称,并选择该权限集应包含的权限。按需要配置完权限集后,点击页面底部的 New Permission Set 按钮。
创建权限集后,您可以点击角色页面上权限集右侧的修改或删除按钮,对其进行修改或删除。
权限和依赖项
有些权限需要依赖于其他权限才能正常运行。例如,如果用户想要使用 LookML 进行开发,就必须先能够看到 LookML。
创建权限集后,您会在缩进列表中看到可用权限。如果某个特权位于另一个(父级)特权下,您必须先选择父级特权。权限列表可能如下所示:
☑️ access_data ☑️ see_lookml_dashboards ☑️ see_looks ☑️ see_user_dashboards
在此示例中,Looker 使用缩进来指明以下内容:
- 您可以随时选择
access_data
特权。 - 若要使用
see_lookml_dashboards
和see_looks
权限,必须先选择access_data
权限。 see_user_dashboards
权限取决于see_looks
权限,而后者又取决于access_data
权限。
您必须先选择父级特权,然后才能选择子级特权。
权限和 Looker 许可
查看者许可将用户分为三类:
- 开发者(管理员)
- 标准(创作者)
- 查看者
授予用户的权限决定了该用户在 Looker 许可下的分类:
如果用户具有“管理员”默认角色或至少以下一项权限,则会被归类为开发者(管理员)用户:
如果用户不具备任何开发者(管理员)权限,但至少拥有以下一项权限,则会被归类为标准(创作者)用户:
如果用户拥有
access_data
权限,但没有任何开发者(管理员)权限和标准(创作者)权限,则会被归类为“查看者”。
权限列表
以下权限可能会以意外的方式与模型集互动:
在 Looker 的 IDE 中,一个项目可以包含多个模型文件。如果您向用户分配了
develop
see_lookml
manage_models
manage_modelsets_restricted
manage_project_connections_restricted
manage_project_connections
develop
或see_lookml
权限,并且允许该用户查看项目中的任何模型,则该用户将能够为该项目中的所有模型开发或查看 LookML。不过,他们仍无法查询您未允许的模型。如果您向用户分配manage_models
权限,该用户将能够访问该实例中所有项目中的所有模型。如果您向用户分配
如果您向用户分配manage_modelsets_restricted
权限,则该用户可以分配其有权访问的项目中的任何模型。manage_project_connections_restricted
或manage_project_connections
权限,该用户将能够查看、修改和创建模型集中包含的任何项目的项目级连接。
权限可分为以下三种类型:
- 特定于模型:此类权限仅适用于属于同一角色的模型集。此权限会应用于单个模型或模型集,而不是整个 Looker 实例。
- 特定于连接:此类权限在连接一级应用。具有此类权限的用户将在管理面板的页面上看到使用与其拥有数据访问权限的模型关联的连接的内容,即使该连接与其无数据访问权限的其他模型搭配使用也是如此。
- 实例级:此类权限适用于整个 Looker 实例,分为以下三种:
- NN = 无内容访问权限,无菜单访问权限:这些权限允许用户在整个 Looker 实例中执行某些功能,但不允许用户访问其角色的模型集中未包含的模型所对应的内容。
- CN = 内容访问权限,无菜单访问权限:借助这些权限,用户可以访问整个 Looker 实例中的内容和查询信息,即使是基于其角色模型集中未包含的模型的内容和查询也是如此。
- CM = 内容访问权限、菜单访问权限:这些权限可能会向非管理员用户显示“管理”菜单的部分内容,并允许用户查看与内容和查询相关的信息,即使这些信息基于其角色的模型集中未包含的模型也是如此。
下表介绍了 Looker 中提供的所有权限,按其在管理部分的新权限集页面上的显示顺序排列:
权限 | 依赖项 | 类型 | 定义 |
---|---|---|---|
access_data |
无 | 特定于模型 | 用户可以访问 Looker 中的数据,但只能访问管理员指定的数据。几乎所有 Looker 函数都需要此权限。如果拥有此权限的用户被授予对给定项目中的任何模型的访问权限,则可以访问该项目的数据部分中的任何文件(例如 JSON 自定义地图文件)。 |
see_lookml_dashboards |
access_data |
特定于模型 | 用户可以看到 LookML Dashboards 文件夹,其中包含所有 LookML 信息中心。用户必须对所有相关模型拥有 explore 权限,才能浏览这些信息中心。同时拥有 develop 权限的用户可以创建 LookML 信息中心。 |
see_looks |
access_data |
特定于模型 | 用户可以在文件夹中查看已保存的 Look(但无法查看信息中心)。用户必须拥有对所有相关模型的 explore 权限,才能浏览这些外观。用户还需要拥有查看内容访问权限级别,才能查看文件夹中的 Look。 |
see_user_dashboards |
see_looks |
特定于模型 | 用户可以在文件夹中查看用户定义的信息中心,但必须对所有相关模型拥有 explore 权限,才能浏览这些信息中心。用户还需要拥有查看内容权限,才能查看文件夹中的信息中心。如果用户同时拥有 save_dashboards 权限和对文件夹的管理访问权限、修改内容访问权限,则可以在该文件夹中创建用户定义的信息中心。 |
explore |
see_looks |
特定于模型 | 用户可以访问和使用“探索”页面生成外观和信息中心。如果没有此权限,用户只能查看已保存的信息中心(如果已授予 see_lookml_dashboards 或 see_user_dashboards )。 |
create_table_calculations |
explore |
实例级 NN | 用户可以查看、修改或添加表格计算。 |
create_custom_fields |
explore |
实例级 NN | 用户可以查看、修改或添加自定义字段;仅具有 explore 权限的用户只能查看自定义字段。 |
can_create_forecast |
explore |
实例级 NN | 用户可以在可视化图表中创建和修改预测;没有此权限的用户只能查看自己有权访问的内容中的现有预测。 |
can_override_vis_config |
explore |
实例级 NN | 用户可以访问图表配置编辑器,通过该编辑器修改可视化的 Highchart API JSON 值,并自定义可视化的外观和格式。 |
save_content |
see_looks |
实例级 NN | 此权限是 save_dashboards 、save_looks 和 create_public_looks 的父级权限。此权限必须通过 save_dashboards 或 save_looks 授予。 |
save_dashboards |
save_content |
实例级 NN |
新增了 24.4
用户可以保存和修改信息中心。用户必须拥有 explore 权限,才能在这些信息中心中探索任何相关模型。用户必须拥有 download_with_limit 和/或 download_without_limit 权限才能下载内容。 |
save_looks |
save_content |
实例级 NN |
新增了 24.4
用户可以保存和修改外观。用户必须拥有 explore 权限,才能浏览这些外观中任何相关的模特。用户必须拥有 download_with_limit 和/或 download_without_limit 权限才能下载内容。 |
create_public_looks |
save_looks |
特定于模型 | 用户可以将已保存的妆容标记为公开,系统便会生成网址,供用户无需身份验证即可访问该妆容。 |
download_with_limit |
see_looks |
特定于模型 | 用户可以下载查询(以 CSV、Excel 和其他格式),但必须指定行数限制(不超过 5,000 行),以免因实例上有大量下载内容而导致内存问题。 |
download_without_limit |
see_looks |
特定于模型 | 与 download_with_limit 相同,但无需用户指定行数限制。下载某些类型查询的所有结果可能需要大量内存,可能会导致性能问题,甚至导致 Looker 实例崩溃。 |
schedule_look_emails |
see_looks |
特定于模型 | 用户可以发送包含他们拥有数据访问权限的可视化图表的任何数据分析、信息中心和查询,以电子邮件形式发送。用户可以安排在数据集触发、管理缓存并重新构建相关 PDT 后进行传送。若要发送或安排系统活动信息中心,用户必须有权访问所有模型。 同时拥有 create_alerts 权限的用户可以发送电子邮件提醒通知。 Looker 管理员可以在管理面板的设置页面上使用电子邮件网域许可名单来控制 Looker 用户和嵌入用户可以向哪些电子邮件网域发送电子邮件。此权限会应用于单个模型或模型集,而不是整个 Looker 实例。 |
schedule_external_look_emails |
schedule_look_emails |
特定于模型 | 用户可以发送包含他们拥有数据访问权限的可视化图表的任何数据分析、信息中心和查询,以电子邮件形式发送。用户可以安排在数据集触发、管理缓存并重新构建相关 PDT 后进行传送。若要发送或安排系统活动信息中心,用户必须有权访问所有模型。 同时拥有 create_alerts 权限的用户可以发送电子邮件提醒通知。无论管理面板的设置页面上的电子邮件网域许可名单是否包含任何已列入许可名单的电子邮件网域,用户都可以将内容传送或提醒通知通过电子邮件发送到任何网域的电子邮件地址。此权限会应用于单个模型或模型集,而不是整个 Looker 实例。 |
create_alerts |
see_looks |
实例级 NN | 在信息中心功能块中,用户可以创建、复制和删除自己的提醒;还可以查看和复制其他用户标记为公开的提醒。用户必须登录 Slack,才能看到发送 Slack 通知的信息中心功能块提醒。用户可以在“管理提醒”用户页面上查看、修改、停用和启用自己拥有的提醒。用户必须拥有 schedule_look_emails 或 schedule_external_look_emails 权限,才能发送电子邮件提醒通知。 |
follow_alerts |
see_looks |
实例级 NN | 用户可以查看和关注提醒。在管理提醒用户页面中查看他们关注的提醒或已列为收件人的提醒。 |
send_to_s3 |
see_looks |
特定于模型 | 用户可以提交任何包含可视化图表的 Look、信息中心和查询,前提是他们对 Amazon S3 存储分区拥有数据访问权限。用户可以安排在数据集触发、管理缓存并重新构建相关 PDT 后进行传送。此权限会应用于单个模型或模型集,而不是整个 Looker 实例。 |
send_to_sftp |
see_looks |
特定于模型 | 用户可以提交任何包含可视化图表且对其拥有 SFTP 服务器数据访问权限的 Look、信息中心和查询。用户可以安排在数据集触发、管理缓存并重新构建相关 PDT 后进行传送。此权限会应用于单个模型或模型集,而不是整个 Looker 实例。 |
send_outgoing_webhook |
see_looks |
特定于模型 | 用户可以将自己有数据访问权限的任何包含可视化的 Look、信息中心和查询提交到 webhook。用户可以安排在数据集触发、管理缓存并重新构建相关 PDT 后进行传送。此权限会应用于单个模型或模型集,而不是整个 Looker 实例。 |
send_to_integration |
see_looks |
特定于模型 | 用户可以通过 Looker 操作中心,将自己对与 Looker 集成的第三方服务拥有数据访问权限的任何 Look、信息中心和查询(包含可视化)提交。如果将自定义操作与用户属性搭配使用,用户必须拥有此权限,并且为指定的用户属性提供非 null 且有效的用户属性值,才能将 Looker 内容传送到该操作目的地。此权限与数据操作无关。用户可以安排在数据集触发、管理缓存并重新构建相关 PDT 后进行传送。此权限会应用于单个模型或模型集,而不是整个 Looker 实例。 |
see_sql |
see_looks |
特定于模型 | 用户可以在探索时访问 SQL 标签页,以及查看其查询导致的任何 SQL 错误。 |
see_lookml |
see_looks |
特定于模型 | 用户对 LookML 拥有只读权限。用户必须拥有此权限,才能在管理面板中看到前往 LookML 链接。如果您希望用户能够修改 LookML,还必须向其授予 develop 权限。注意:此权限可能会以意外的方式与模型集互动。如果您向用户分配了 see_lookml 权限,并允许该用户查看项目中的任何模型,则该用户将能够查看该项目中所有模型的 LookML。不过,他们仍无法查询您未允许的模型。 |
develop |
see_lookml |
特定于模型 | 用户可以对 LookML 进行本地更改,但除非他们还拥有 deploy 权限,否则无法将这些更改提供给所有人。您需要此权限才能在帮助菜单中看到获取支持选项,以及查看 Looker IDE 中的元数据。用户还需要此权限才能访问“探索”齿轮菜单中的重新构建派生表并运行选项。此权限并非特定于模型,因此,如果用户在一个模型中拥有此权限,则可以在所有模型中使用重新构建派生表并运行。注意:此权限可能会以意外的方式与模型集互动。如果您向用户分配了 develop 权限,并允许该用户查看项目中的任何模型,则该用户将能够为该项目中的所有模型开发 LookML。不过,他们仍无法查询您未允许的模型。 |
deploy |
develop |
实例级 NN | 用户可以将本地 LookML 更改推送到生产环境,以便所有人都可以使用这些更改。 |
support_access_toggle |
develop |
实例级 NN | 用户可以启用或停用 Looker 分析师对您的 Looker 实例的访问权限。 |
manage_project_models |
develop |
特定于模型 | 用户可以在修改模型配置页面上为允许的模型添加、修改或删除模型配置。配置模型时,用户只能使用项目级连接。注意:此权限可能会以意外的方式与模型集互动。如果您创建具有 manage_project_models 权限的角色,该角色将授予对与角色模型集中的任何模型共用项目的所有模型的访问权限。 |
use_global_connections |
manage_project_models |
特定于模型 | 用户可以使用任何项目级连接或任何实例级连接配置允许的模型。 |
manage_project_connections_restricted |
develop |
特定型号的 CM | 用户可以在“管理”菜单中看到关联页面。他们可以查看、修改和创建模型集中的任何项目的项目级连接。不过,他们只能修改以下连接设置:用户无法修改其他设置部分中的任何其他设置。此外,他们还无法修改永久性派生表 (PDT) 部分中的任何设置。注意:此权限可能会以意外的方式与模型集互动。如果您向用户分配 manage_project_connections_restricted 权限,该用户将能够查看、修改和创建模型集中包含的任何项目的项目级范围的连接。 |
manage_project_connections |
manage_project_connections_restricted |
特定型号的 CM | 用户可以在“管理”菜单中看到关联页面。他们可以查看、修改和创建模型集中包含的任何项目的项目级范围的连接。注意:此权限可能会以意外的方式与模型集互动。如果您向用户分配 manage_project_connections_restricted 权限,该用户将能够查看、修改和创建模型集中包含的任何项目的项目级范围的连接。 |
use_sql_runner |
see_lookml |
特定于模型 | 用户可以使用 SQL Runner 对其允许的连接运行原始 SQL。无论用户是否拥有 download_with_limit 或 download_without_limit 权限,都将能够通过 SQL Runner 齿轮菜单中的下载选项下载结果。 |
clear_cache_refresh |
access_data |
特定于模型 | 用户可以清除缓存并刷新内部和嵌入式信息中心、信息中心功能块、主题和探索。系统会自动将 clear_cache_refresh 权限添加到包含以下任一权限的任何现有权限集:see_user_dashboards 、see_lookml_dashboards 或 explore 。系统不会自动将 clear_cache_refresh 权限应用于任何嵌入式角色。 |
see_drill_overlay |
access_data |
特定于模型 | 用户可以查看深入到信息中心功能块中的结果,但无法探索这些结果。如果授予 explore ,系统也会自动授予此权限(即使未选中此权限)。用户还必须拥有 explore 权限,才能以 PNG 格式下载数据分析结果。 |
manage_spaces |
无 | 实例级 CN | 用户可以创建、修改、移动和删除文件夹。用户还需要拥有管理访问权限、修改内容访问权限。 |
manage_homepage |
无 | 实例级 NN | 用户可以修改侧边栏中的内容并向其中添加内容,所有 Looker 用户都会在预构建的 Looker 首页上看到这些内容。 |
manage_models |
无 | 实例级 CN | 每个 LookML 模型都会映射到管理 LookML 项目页面上的一组特定数据库连接。拥有此权限后,用户可以配置这些映射、创建新项目和删除项目。获得此权限的非管理员用户将可以访问其有权访问的模型允许的所有关联。注意:此权限可能会以意外的方式与模型集互动。如果您向用户分配 manage_models 权限,该用户将能够访问该实例中所有项目中的所有模型。 |
create_prefetches |
无 | 实例级 | 强烈建议不要预提取。我们建议改用数据集。 |
login_special_email |
无 | 实例级 | 用户可以使用传统的电子邮件地址/密码凭据登录,即使您的实例上已启用其他登录机制(例如 Google、LDAP 或 SAML)也是如此。对于可能不属于您常规身份验证系统的顾问或其他人员,此功能会非常有用。 |
embed_browse_spaces |
无 | 实例级 NN | 为已签名的嵌入启用内容浏览器。如果您使用的是已签名的嵌入内容,则应向具有 save_content 权限的用户授予此权限。 |
embed_save_shared_space |
无 | 实例级 | 允许拥有 save_content 权限的用户将内容保存到组织的共享文件夹(如果有)。拥有 save_content 权限但不拥有 embed_save_shared_space 权限的用户只能将内容保存到其个人嵌入文件夹。 |
manage_embed_settings |
无 | 实例级 CM | 新增于 24.0 用户可以在管理菜单的平台部分中,点击嵌入页面来修改嵌入设置。 |
manage_modelsets_restricted |
无 | 特定型号的 CM |
新增了 25.2
用户可以修改自己拥有 manage_modelsets_restricted 权限的模型集。用户只能添加其还拥有 manage_modelsets_restricted 权限的模型集所包含的模型。注意:此权限可能会以意外的方式与模型集互动。如果您向用户分配了 manage_modelsets_restricted 权限,并允许该用户访问项目中的任何模型,则该用户将能够将该项目中的所有模型分配给他们有权访问的模型集。 |
manage_schedules |
无 | 特定型号的 CM | 新增了 25.2 用户可以在时间表页面上为指定模型重新分配和删除时间表。此权限不会授予用户查看时间表历史记录页面的权限。 |
manage_themes |
无 | 实例级 CM | 新增于 24.0 用户可以在管理菜单的平台部分中的主题页面上配置主题设置。只有在为您的实例启用主题后,此权限才可用。 |
manage_privatelabel |
无 | 实例级 CM | 新增于 24.0 用户可以在管理菜单的平台部分中的自有品牌页面上配置自有品牌设置。只有在为您的实例启用私密标签后,您才能使用此权限。 |
see_alerts |
无 | 实例级 CM | 用户可以访问管理部分中的提醒和提醒历史记录页面,以查看 Looker 实例中的所有提醒。用户可以在提醒管理页面中查看、关注、修改、自行分配和停用其他用户拥有的提醒。用户必须拥有访问提醒的底层内容的权限,才能通过提醒的可视化界面(在提醒详情页面中)查看或浏览提醒,或前往其信息中心。此权限不会授予用户在信息中心功能块中查看、创建、关注或删除提醒的权限。 |
see_queries |
无 | 实例级 CM | 用户可以在 Looker 的管理部分中看到查询页面。此特权不会让用户能够在查询页面上终止查询。 |
see_logs |
无 | 实例级 CM | 用户可以在 Looker 的管理部分中查看日志页面。 |
see_users |
无 | 实例级 CM | 用户可以在 Looker 的管理部分看到用户页面(但看不到群组页面)。此权限不会让用户能够创建新用户、查看或创建 API 凭据、重置密码,或以其他方式修改用户或权限。获得此权限的用户可以查看实例中所有群组中的所有用户,即使是在封闭系统中也是如此。用户可以查看所有群组名称和所有角色名称,而有些公司可能会认为这些信息敏感。 |
sudo |
see_users |
实例级 CM | 用户可以点击用户页面上的 Sudo 按钮,以其他用户身份执行操作并暂时继承该用户的权限(即 sudo)。sudo 权限不允许非管理员以管理员身份使用 sudo,但非管理员可能会通过使用 sudo 来提升其权限,因此请务必谨慎。 |
manage_groups |
see_users |
实例级 CM | 新增于 24.0 用户可以在管理菜单的用户部分中的群组页面上创建、修改和删除群组,但与管理角色关联的任何群组除外。 |
manage_roles |
manage_groups |
实例级 CM | 新增于 24.0 用户可以在管理菜单的用户部分中的角色页面上创建、修改和删除角色(管理员角色除外)。用户仍然无法创建、修改或删除权限集或模型集。 |
manage_user_attributes |
see_users |
实例级 CM | 新增于 24.0 用户可以在管理菜单的用户部分中的用户属性页面上创建、修改和删除用户属性。 |
see_schedules |
无 | 实例级 CM | 用户可以在 Looker 的管理面板中查看时间表和时间表历史记录页面。此特权不会让用户能够在时间表和时间表历史记录页面上重新分配、修改或删除其他用户的时间表。 |
see_pdts |
无 | 连接专用 | 用户可以在 Looker 的管理部分看到永久派生表页面,并查看使用与其拥有数据访问权限的模型关联的任何连接的项目中的 PDT 相关信息。新安装的 Looker 的开发者 默认权限集中包含此权限。此权限适用于用户拥有数据访问权限的关联,而不是整个 Looker 实例或单个模型或模型集。 |
see_datagroups |
无 | 特定于模型 | 用户可以在 Looker 的管理部分中看到“数据集群”页面。用户可以查看自己拥有数据访问权限的模型中定义的数据集群的连接名称、模型名称和其他信息。此权限适用于单个模型或模型集,而不是整个 Looker 实例或连接。 |
update_datagroups |
see_datagroups |
特定于模型 | 用户可以通过 Looker 的管理部分中的“数据集群”页面触发数据集群或重置其缓存。与具有 see_datagroups 权限的用户一样,具有 update_datagroups 权限的用户也可以查看在使用其拥有数据访问权限的模型的项目中定义的数据集群。此权限适用于单个模型或模型集,而不是整个 Looker 实例或连接。 |
see_system_activity |
无 | 实例级 CM | 用户可以访问“系统活动”探索和信息中心,以及内部 i__looker 数据库,以查看与 Looker 实例相关的使用情况、历史记录和其他元数据。 |
see_admin |
无 | 实例级 CM | 用户可以对管理资源(包括管理控制台中的页面)拥有只读权限,但以下页面除外:
|
mobile_app_access |
无 | 实例级 NN | 用户可以使用 Looker 移动应用在移动设备上登录您的实例。若要让用户能够登录 Looker 移动应用,必须先在 Looker 的管理部分的常规设置页面中启用移动应用访问权限选项。mobile_app_access 权限可添加到新权限集或现有权限集中,并且是 Looker 的所有默认权限集的一部分。 |
gemini_in_looker |
无 | 实例级 NN | Gemini 默认角色仅包含此权限。此权限无法添加到任何其他权限集或角色中。如果用户还具有 Looker 角色,并且该角色包含对 LookML 项目中至少一个模型的 develop 权限,则可以使用 Gemini 辅助功能编写 LookML。如果用户还具有包含 can_override_vis_config 权限的 Looker 角色,则可以使用 Gemini 辅助功能创建自定义 Looker 可视化图表。启用 Looker 中的 Studio 后,用户可以使用对话式分析查询 Looker 探索数据。对于使用 Looker 连接器构建的 Looker Studio 报告,Looker Studio Pro 用户可以通过发出 API 调用来使用对话式分析,以提取模型和探索的列表,以及提取用户有数据访问权限的给定探索的所有元数据。 |
模型集
模型集用于定义用户或群组可以看到哪些数据和 LookML 字段。每个集都是用户或群组应有权访问的 LookML 模型的列表。您可以将模型集视为执行以下两项功能:
- 模型集用于控制权限应用于 LookML 中的哪些模型(如果这些权限因模型而异)。
- 由于每个模型都连接到特定的数据库连接并包含特定的 LookML 字段,因此模型集会限制用户可以看到的数据和 LookML 字段。
创建模型集
如需创建模型集,请执行以下操作:
点击角色页面顶部的新建模型集按钮。
Looker 会显示新建模型集页面。为新模型集输入名称。
选择应包含在新模型集中的一个或多个模型。
点击页面底部的新建模型集按钮。新模型集会显示在角色页面的模型集部分中。
待处理项目中包含的模型会显示在新建模型集和修改模型集页面上的模型列表中。
删除或重命名模型不会更改包含该模型的任何模型集。移除或重命名模型后,我们建议 Looker 管理员还应使用修改模型集页面从任何关联的模型集中移除该模型的名称。从模型集中移除已删除模型的名称可防止不小心将具有相同名称的新模型纳入该模型集中。
如需详细了解模型,请参阅模型参数文档页面。
创建多个模型和模型集
以下示例展示了如何使用多个模型集来限制对数据的访问权限。假设您有两个团队,分别是营销团队和支持团队。在此示例中,这两个团队不应有权访问整个模型,因此您需要为每个团队分别创建一个模型。如需分隔其数据访问权限,请执行以下步骤:
- 将该模型复制到两个新模型中。
- 在第一个新模型中,仅添加营销团队应有权访问的视图、字段和探索。
- 为营销团队创建一个仅包含此新模型的模型集。
- 为营销团队创建一个新角色,其中包含此新模型集以及营销团队的适当权限。
- 将此新角色分配给“营销团队”群组。
- 重复第 2 步到第 5 步,为支持团队配置第二个模型。
修改模型集
创建模型集后,请按以下步骤修改该模型集:
在角色页面上,点击要修改的模型集右侧的修改按钮。
Looker 会显示修改模型集页面。如有需要,在名称字段中为模型集输入新名称。
在模型部分中,向模型集添加或从中移除任何模型。
点击页面底部的更新模型集按钮。
待处理项目中包含的模型会显示在新建模型集和修改模型集页面上的模型列表中。
删除或重命名模型不会更改包含该模型的任何模型集。移除或重命名模型后,我们建议 Looker 管理员还应使用修改模型集页面从任何关联的模型集中移除该模型的名称。从模型集中移除已删除模型的名称可防止不小心将具有相同名称的新模型纳入该模型集中。
删除模型集
如需删除模型集,请在角色页面上,点击要删除的模型集右侧的删除。