请注意，您正在查看 Looker 文档。如需查看 Looker Studio 文档，请访问 https://support.google.com/looker-studio。

此页面由 Cloud Translation API 翻译。

管理员设置 - 角色

角色、权限集和模型集可搭配使用，用于管理用户可以执行哪些操作以及可以查看哪些内容。在管理面板的用户部分中，您可以查看、配置和分配角色、权限集和模型集。

您可以通过在右上角的搜索框中输入搜索字词并按 Enter 键，搜索特定角色、权限集和模型集。

定义

角色用于定义用户或群组对 Looker 中特定一组模型的权限。您可以通过将一个权限集与一个模型集相结合来创建角色。
权限集定义了用户或群组可以执行的操作。您可以选择要分配给用户或群组的权限组合。它必须作为角色的一部分才能发挥作用。
模型集定义了用户或群组可以查看哪些数据和 LookML 字段。您可以选择用户或群组应有权访问的一系列 LookML 模型。它必须用作角色的一部分才能产生任何效果。

分配角色

角色是权限集和模型集的组合。根据组织中的人员或人员类型（管理员、Looker 开发者、财务团队）命名角色是很常见的惯例，但当然您也可以遵循自己的命名惯例。

用户可以在 Looker 中拥有多个角色。如果您有用户在贵公司中扮演多种角色，或者您想要创建复杂的模型访问权限系统，此功能会非常有用。

创建、修改和删除角色

如需创建角色，请按以下步骤操作：

点击角色页面顶部的新建角色按钮。
Looker 会显示新建角色页面，您可以在其中配置以下设置：
- 名称：输入角色的名称。
- 权限集：选择要与角色关联的权限集。
- 模型集：选择要与角色关联的模型集。
- 群组：（可选）选择要向其分配角色的一个或多个群组。
- 用户：您可以根据需要选择一位或多位用户来分配角色。
根据需要配置完角色后，点击页面底部的新建角色按钮。

创建角色后，您可以在角色页面上点击角色右侧的修改按钮来修改角色。点击修改会进入该角色的修改角色页面，您可以在其中修改名称、权限集、模型集以及分配给该角色的群组或用户。

要删除角色，请在角色页面上点击角色右侧的删除按钮。

默认角色

对于新实例，Looker 会创建以下默认角色，每个角色都包含采用相同名称的默认权限集：

管理员
开发者
用户
查看者

权限集

权限集用于定义用户或群组可以执行的操作。管理员可以使用 Looker 的默认权限集或创建原始权限集，同时注意权限依赖项。

权限列表中详细介绍了所有可用权限及其类型。

默认权限集

对于新安装的 Looker，您可以先使用以下几个默认权限集：

权限集	包含的权限
管理	所有权限
开发者	`access_data,` `can_create_forecast,` `clear_cache_refresh,` `create_custom_fields,` `create_table_calculations,` `deploy,` `develop,` `download_without_limit,` `explore,` `manage_spaces,` `mobile_app_access,` `save_content,` `save_dashboards,` `save_looks,` `schedule_look_emails,` `see_drill_overlay,` `see_lookml,` `see_lookml_dashboards,see_looks,` `see_pdts,` `see_sql,` `see_user_dashboards,` `send_to_integration,` `use_sql_runner` 注意：只有在使用 Looker 21.18 或更高版本创建的 Looker 中，`see_pdts` 权限才包含在开发者默认权限中。如需验证 `see_pdts` 权限是否包含在实例上设置的开发者权限中，请前往 Looker 界面中管理面板中的角色页面。
LookML 信息中心用户	`access_data,` `clear_cache_refresh,` `mobile_app_access,` `see_lookml_dashboards,` `send_to_integration`
用户	`access_data,` `can_create_forecast,` `clear_cache_refresh,` `create_custom_fields,` `create_table_calculations,` `download_without_limit,` `explore,` `manage_spaces,` `mobile_app_access,` `save_content,` `save_dashboards,` `save_looks,` `schedule_look_emails,` `see_drill_overlay,` `see_lookml,` `see_lookml_dashboards,` `see_looks,` `see_sql,` `see_user_dashboards,` `send_to_integration`
无法查看 LookML 的用户	`access_data,` `can_create_forecast,` `clear_cache_refresh,` `create_custom_fields,` `create_table_calculations,` `download_without_limit,` `explore,` `manage_spaces,` `mobile_app_access,` `save_content,` `save_dashboards,` `save_looks,` `schedule_look_emails,` `see_lookml_dashboards,` `see_looks,` `see_user_dashboards,` `send_to_integration`
观看者	`access_data,` `clear_cache_refresh,` `download_without_limit,` `mobile_app_access,` `schedule_look_emails,` `see_drill_overlay,` `see_lookml_dashboards,` `see_looks,` `see_user_dashboards`

创建新角色时，您会看到这些权限集显示为选项。如果您选择其中一个权限集，Looker 会显示其包含的权限列表。

您无法修改或删除“管理员”权限集，也无法将其分配给角色。此角色仅分配给 Admin 角色，此角色也无法修改或删除。若要向用户或群组授予“管理员”权限，唯一的方法是向该用户或群组添加“管理员”角色。

创建权限集

如需创建权限集，请点击角色页面顶部的新建权限集按钮。Looker 会显示一个页面，您可以在其中输入权限集的名称，并选择该权限集应包含的权限。按需要配置完权限集后，点击页面底部的 New Permission Set 按钮。

创建权限集后，您可以点击角色页面上该权限集右侧的修改或删除按钮，修改或删除该权限。

权限和依赖项

有些权限需要依赖于其他权限才能正常运行。例如，如果用户想要使用 LookML 进行开发，就必须先能够看到 LookML。

创建权限集时，您会在缩进列表中看到可用权限。如果某个权限在另一项（父级）权限下缩进，则您必须先选择该父级权限。权限列表可能如下所示：

☑️ access_data
  ☑️ see_lookml_dashboards
  ☑️ see_looks
    ☑️ see_user_dashboards

在此示例中，Looker 使用缩进指示以下内容：

您可以随时选择 access_data 权限。
若要使用 see_lookml_dashboards 和 see_looks 权限，必须先选择 access_data 权限。
see_user_dashboards 权限依赖于 see_looks 权限，而后者依赖于 access_data 权限。

您必须先选择父级特权，然后才能选择子级特权。

权限和 Looker 许可

查看者许可将用户分为三类：

开发者（管理员）
标准（创作者）
查看者

用户授予的权限决定了如何根据 Looker 许可对该用户进行分类：

如果用户拥有管理员默认角色或至少以下任一权限，就会被归类为开发者（管理员）用户：
如果用户不具备任何开发者（管理员）权限，但至少拥有以下一项权限，则会被归类为标准（创作者）用户：
如果用户拥有 access_data 权限，但没有开发者 (Admin) 权限和标准（创建者）权限，则会被归类为 Viewer。

权限列表

以下权限可能会以意外的方式与模型集互动：
develop
see_lookml
manage_models
manage_modelsets_restricted
manage_project_connections_restricted
manage_project_connections
在 Looker 的 IDE 中，一个项目可以包含多个模型文件。如果您向用户分配 develop 或 see_lookml 权限，并且已允许该用户查看项目中的任何模型，则该用户将能够为该项目中的所有模型开发或查看 LookML。不过，他们仍无法查询您未允许的模型。
如果您向用户分配 manage_models 权限，则该用户将能够访问该实例中所有项目中的所有模型。
如果您向用户分配 manage_modelsets_restricted 权限，则他们可以分配项目中自己有权访问的任何模型。
如果您向用户分配 manage_project_connections_restricted 或 manage_project_connections 权限，则该用户将能够查看、修改和创建模型集中包含的任何项目的项目级连接。

权限可分为以下三类：

特定于模型：这种类型的权限仅适用于同一角色中的模型集。此权限会应用于单个模型或模型集，而不是整个 Looker 实例。
连接专用权限：此类权限在连接级别应用。具有此类权限的用户将在管理面板的页面上看到使用与其拥有数据访问权限的模型关联的连接的内容，即使该连接与其无数据访问权限的其他模型搭配使用也是如此。
实例级：此类权限适用于整个 Looker 实例，分为以下三种：
- NN = 没有内容访问权限，没有菜单访问权限：这些权限允许用户在整个 Looker 实例中执行某些功能，但不允许用户基于其角色模型集中未包含的模型访问内容。
- CN = 内容访问权限，无菜单访问权限：这些权限允许用户访问整个 Looker 实例中的内容和查询信息，即使基于未包含在其角色模型集中的模型的内容和查询也是如此。
- CM = 内容访问权限、菜单访问权限：这些权限可能会向非管理员用户公开“管理”菜单的部分内容，并允许用户根据未包含在其角色模型集中的模型来查看有关内容和查询的信息。

以下列表介绍了 Looker 中提供的所有权限，按其在管理部分的新权限集页面上的显示顺序排列：

权限	取决于	类型	定义
`access_data`	无	特定于模型	用户可以访问 Looker 中的数据，但只能访问管理员指定的数据。几乎所有 Looker 函数都需要此权限。如果拥有此权限的用户被授予对给定项目中的任何模型的访问权限，则可以访问该项目的数据部分中的任何文件（例如 JSON 自定义地图文件）。
`see_lookml_dashboards`	`access_data`	特定于模型	用户可以查看 LookML `Dashboards` 文件夹，其中包含所有 LookML 信息中心。用户必须对任何相关模型拥有 `explore` 权限才能探索这些信息中心。同时拥有 `develop` 权限的用户可以创建 LookML 信息中心。
`see_looks`	`access_data`	特定于模型	用户可以在文件夹中查看已保存的 Look（但无法查看信息中心）。用户必须拥有对任何相关模型的 `explore` 权限，才能浏览这些外观。用户还需要拥有查看内容访问权限级别，才能在文件夹中查看 Look。
`see_user_dashboards`	`see_looks`	特定于模型	用户可以在文件夹中查看用户定义的信息中心，但必须对任何相关模型拥有 `explore` 权限才能探索这些信息中心。用户还需要拥有查看内容访问权限，才能在文件夹中查看信息中心。如果用户同时拥有某个文件夹的 `save_dashboards` 权限和管理、修改内容访问权限，则可以在该文件夹中创建用户定义的信息中心。
`explore`	`see_looks`	特定于模型	用户可以访问和使用“探索”页面生成外观和信息中心。如果没有此权限，用户只能查看已保存的信息中心（前提是已授予 `see_lookml_dashboards` 或 `see_user_dashboards`）。
`create_table_calculations`	`explore`	实例级 NN	用户可以查看、修改或添加表格计算。
`create_custom_fields`	`explore`	实例级 NN	用户可以查看、修改或添加自定义字段；仅具有 `explore` 权限的用户只能查看自定义字段。
`can_create_forecast`	`explore`	实例级 NN	用户可以在可视化图表中创建和修改预测；没有此权限的用户只能查看他们有权访问的内容中的现有预测。
`can_override_vis_config`	`explore`	实例级 NN	用户可以访问图表配置编辑器，通过该编辑器修改可视化的 Highchart API JSON 值，并自定义可视化的外观和格式。
`save_content`	`see_looks`	实例级 NN	此权限是 `save_dashboards`、`save_looks` 和 `create_public_looks` 的父级权限。必须通过 `save_dashboards` 或 `save_looks` 授予此权限。
`save_dashboards`	`save_content`	实例级 NN	已添加 24.4 用户可以保存和修改信息中心。用户必须拥有 `explore` 权限，才能在这些信息中心中探索任何相关模型。用户必须拥有 `download_with_limit` 和/或 `download_without_limit` 权限才能下载内容。
`save_looks`	`save_content`	实例级 NN	已添加 24.4 用户可以保存和修改 Look。用户必须拥有 `explore` 权限，才能浏览这些外观中任何相关的模特。用户必须拥有 `download_with_limit` 和/或 `download_without_limit` 权限才能下载内容。
`create_public_looks`	`save_looks`	特定于模型	用户可以将已保存的妆容标记为公开，系统便会生成网址，供用户无需身份验证即可访问该妆容。
`download_with_limit`	`see_looks`	特定于模型	用户可以下载和安排查询（以 CSV、Excel 和其他格式），但必须指定行数上限（不超过 5,000 行），以免因实例上有大量下载内容而导致内存问题。
`download_without_limit`	`see_looks`	特定于模型	与 `download_with_limit` 相同，但无需用户指定行数限制。下载或安排某些类型的查询的所有结果可能需要大量内存，可能会导致性能问题，甚至导致 Looker 实例崩溃。
`schedule_look_emails`	`see_looks`	特定于模型	用户可以传送任何包含其对电子邮件拥有数据访问权限的可视化图表的 Look、信息中心和查询。用户可以安排在触发数据集群、管理缓存并重新构建相关 PDT 后进行传送。如需发送或安排系统活动信息中心，用户必须拥有所有模型的访问权限。同时拥有 `create_alerts` 权限的用户可以发送电子邮件提醒通知。 Looker 管理员可以在管理面板的设置页面上使用电子邮件域名许可名单来控制 Looker 用户和嵌入用户可以向哪些电子邮件域名发送电子邮件。此权限会应用于单个模型或模型集，而不是整个 Looker 实例。
`schedule_external_look_emails`	`schedule_look_emails`	特定于模型	用户可以发送包含他们有数据访问权限的可视化图表的任何数据分析、信息中心和查询，以电子邮件形式发送。用户可以安排在触发数据集群、管理缓存并重新构建相关 PDT 后进行传送。如需发送或安排系统活动信息中心，用户必须拥有所有模型的访问权限。同时拥有 `create_alerts` 权限的用户可以发送电子邮件提醒通知。无论管理面板设置页面上的电子邮件网域许可名单是否包含任何已列入许可名单的电子邮件网域，用户都可以将内容传送或提醒通知通过电子邮件发送到任何网域。此权限会应用于单个模型或模型集，而不是整个 Looker 实例。
`create_alerts`	`see_looks`	实例级 NN	在信息中心功能块中，用户可以创建、复制和删除自己的提醒；还可以查看和复制其他用户标记为公开的提醒。用户必须登录 Slack 才能看到发送 Slack 通知的信息中心功能块提醒。用户可以在“管理提醒”用户页面上查看、修改、停用和启用自己拥有的提醒。用户必须拥有 `schedule_look_emails` 或 `schedule_external_look_emails` 权限才能发送电子邮件提醒通知。
`follow_alerts`	`see_looks`	实例级 NN	用户可以查看和关注提醒。在管理提醒用户页面中查看用户已关注或被列为收件人的提醒。
`send_to_s3`	`see_looks`	特定于模型	用户可以传送任何包含其对 Amazon S3 存储桶数据访问权限的可视化图表的 Look、信息中心和查询。用户可以安排在datagroup被触发、管理缓存并重建相关 PDT 后传送数据。此权限会应用于单个模型或模型集，而不是整个 Looker 实例。
`send_to_sftp`	`see_looks`	特定于模型	用户可以传送任何包含其对 SFTP 服务器具有数据访问权限的可视化图表的 Look、信息中心和查询。用户可以安排在触发数据集群、管理缓存并重新构建相关 PDT 后进行传送。此权限适用于单个模型或模型集，而非整个 Looker 实例。
`send_outgoing_webhook`	`see_looks`	特定于模型	用户可以传送任何包含其对网络钩子拥有数据访问权限的可视化图表的 Look、信息中心和查询。用户可以安排在datagroup被触发、管理缓存并重建相关 PDT 后传送数据。此权限适用于单个模型或模型集，而非整个 Looker 实例。
`send_to_integration`	`see_looks`	特定于模型	用户可以通过 Looker 操作中心，将自己对与 Looker 集成的第三方服务拥有数据访问权限的任何 Look、信息中心和查询（包含可视化）提交。如果将自定义操作与用户属性搭配使用，用户必须拥有此权限，并且指定用户属性的非 null 且有效的用户属性值才能将 Looker 内容传送到该操作目标位置。此权限与数据操作无关。用户可以安排在datagroup被触发、管理缓存并重建相关 PDT 后传送数据。此权限适用于单个模型或模型集，而非整个 Looker 实例。
`see_sql`	`see_looks`	特定于模型	用户在探索时可以访问 SQL 标签页，以及查看其查询导致的任何 SQL 错误。
`see_lookml`	`see_looks`	特定于模型	用户拥有对 LookML 的只读权限。用户必须拥有此权限，才能在管理面板中看到转到 LookML 链接。如果您希望用户能够修改 LookML，还必须向其授予 `develop` 权限。注意：此权限可能会以意外的方式与模型集互动。如果您向用户分配了 `see_lookml` 权限，并允许该用户查看项目中的任何模型，则该用户将能够查看该项目中所有模型的 LookML。但是，他们仍然无法查询您不允许的模型。
`develop`	`see_lookml`	特定于模型	用户可以对 LookML 进行本地更改，但除非同时拥有 `deploy` 权限，否则他们无法向所有人提供这些更改。您需要此权限才能在帮助菜单中看到获取支持选项，以及查看 Looker IDE 中的元数据。用户还需要此权限才能访问重新构建派生表和跑步选项。这并非特定于模型，因此如果用户在一个模型中具有此权限，他们将有权访问重新构建派生表和运行。注意：此权限以可能意想不到的方式与模型集交互。如果您向用户分配 `develop` 权限，并且已允许该用户查看项目中的任何模型，则该用户将能够为该项目中的所有模型开发 LookML。不过，他们仍无法查询您未允许的模型。
`deploy`	`develop`	实例级 NN	用户可以将其本地 LookML 更改推送到生产环境，以便所有人都可以使用这些更改。
`support_access_toggle`	`develop`	实例级 NN	用户可以启用或停用 Looker 分析师对您的 Looker 实例的访问权限。
`manage_project_models`	`develop`	特定于模型	用户可以在修改模型配置页面上为允许的模型添加、修改或删除模型配置。配置模型时，用户只能使用项目级连接。注意：此权限可能会以意外的方式与模型集互动。如果您创建了具有 `manage_project_models` 权限的角色，则该角色将授予对与该角色的模型集中的任何模型共享项目的所有模型的访问权限。
`use_global_connections`	`manage_project_models`	特定于模型	用户可以使用任何项目级连接或任何实例级连接配置允许的模型。
`manage_project_connections_restricted`	`develop`	特定于模型的 CM	用户可以在“管理”菜单中查看关联页面。他们可以查看、修改和创建模型集中的任何项目的项目级连接。但是，他们只能修改以下连接设置：常规设置部分中的所有设置 SSH 服务器部分中的所有设置时区部分中的所有设置其他设置部分中的 Additional JDBC Parameters（其他 JDBC 参数）、SSL（SSL）、Verify SSL（验证 SSL）和 Use TNS（使用 TNS）设置用户无法修改其他设置部分中的任何其他设置。他们也不得修改永久性派生表 (PDT) 部分的任何设置。注意：此权限可能会以意外的方式与模型集互动。如果您向用户分配 `manage_project_connections_restricted` 权限，该用户将能够查看、修改和创建模型集中包含的任何项目的项目级范围的连接。
`manage_project_connections`	`manage_project_connections_restricted`	特定于模型的 CM	用户可以在“管理”菜单中查看关联页面。他们可以查看、修改和创建模型集中包含的任何项目的项目级连接。注意：此权限可能会以意外的方式与模型集互动。如果您向用户分配 `manage_project_connections_restricted` 权限，则该用户将能够查看、修改和创建模型集内包含的任何项目的项目级连接。
`use_sql_runner`	`see_lookml`	特定于模型	用户可以使用 SQL Runner 对其允许的连接运行原始 SQL。无论用户是具有 `download_with_limit` 还是 `download_without_limit` 权限，都可以通过 SQL Runner 齿轮菜单中的下载选项下载结果。
`clear_cache_refresh`	`access_data`	特定于模型	用户可以清除缓存并刷新内部信息中心和嵌入式信息中心、信息中心功能块、主题和探索。系统会自动将 `clear_cache_refresh` 权限添加到包含以下任一权限的任何现有权限集：`see_user_dashboards`、`see_lookml_dashboards` 或 `explore`。`clear_cache_refresh` 权限不会自动应用于任何嵌入式角色。
`see_drill_overlay`	`access_data`	特定于模型	用户可以查看深入到信息中心功能块中的结果，但无法探索这些结果。如果已授予 `explore`，则系统也会自动授予此权限（即使未勾选此权限）。用户还必须拥有 `explore` 权限，才能以 PNG 格式下载深入分析结果。
`manage_spaces`	无	实例级 CN	用户可以创建、编辑、移动和删除文件夹。用户还需要拥有管理访问权限、修改内容访问权限。
`manage_homepage`	无	实例级 NN	用户可以修改侧边栏并向其中添加内容，所有 Looker 用户都会在预构建的 Looker 首页上看到这些内容。
`manage_models`	无	实例级 CN	每个 LookML 模型都会映射到“管理 LookML 项目”页面上一组特定的数据库连接。借助此权限，用户可以配置这些映射、创建新项目和删除项目。获得此权限的非管理员用户将可以访问他们有权访问的模型允许的所有连接。注意：此权限可能会以意外的方式与模型集互动。如果您向用户分配 `manage_models` 权限，则该用户将能够访问该实例中所有项目中的所有模型。
`create_prefetches`	无	实例级	强烈建议不要预提取。建议改用 datagroups。
`login_special_email`	无	实例级	用户可以使用传统的电子邮件/密码凭据登录，即使您的实例上已启用其他登录机制（例如 Google、LDAP 或 SAML）也是如此。对于可能不属于您常规身份验证系统的顾问或其他人员，此功能会非常有用。
`embed_browse_spaces`	无	实例级 NN	为签名的嵌入启用内容浏览器。如果您使用的是已签名的嵌入内容，则应向具有 `save_content` 权限的用户授予此权限。
`embed_save_shared_space`	无	实例级	允许拥有 `save_content` 权限的用户将内容保存到组织的共享文件夹（如果有）。如果用户拥有 `save_content` 权限但没有 `embed_save_shared_space` 权限，则只能选择将内容保存到自己的个人嵌入文件夹中。
`manage_embed_settings`	无	实例级 CM	新增了 24.0 版用户可以在管理菜单的平台部分中，前往嵌入页面修改嵌入设置。
`manage_modelsets_restricted`	无	特定型号的 CM	Beta 版 24.16 用户可以向其任何角色包含的模型集中添加或移除模型。注意：此权限以可能意想不到的方式与模型集交互。如果您向用户分配了 `manage_modelsets_restricted` 权限，并允许该用户访问项目中的任何模型，则该用户将能够将该项目中的所有模型分配给他们有权访问的模型集。
`manage_schedules`	无	特定型号的 CM	BETA 版 24.12 用户可以在时间表页面上为指定模型重新分配和删除时间表。拥有此权限的用户无法查看时间表历史记录页面。
`manage_themes`	无	实例级 CM	已添加 24.0 用户可以在管理菜单的平台部分的主题页面上配置主题设置。只有在为您的实例启用主题后，此权限才可用。
`manage_privatelabel`	无	实例级 CM	新增于 24.0 用户可以在管理菜单的平台部分中的自有品牌页面上配置自有品牌设置。仅当为您的实例启用了私密标签时，此权限才可用。
`see_alerts`	无	实例级 CM	用户可以访问管理部分中的提醒和提醒历史记录页面，从而查看 Looker 实例的所有提醒。用户可以在提醒管理页面中查看、关注、修改、自行指定和停用归其他用户所有的提醒。用户必须有权访问提醒的基础内容，才能在提醒的可视化图表（位于提醒详情页面中）中查看或探索或前往其信息中心。此权限不会授予用户在信息中心功能块中查看、创建、关注或删除提醒的权限。
`see_queries`	无	实例级 CM	用户可以在 Looker 的管理部分中看到查询页面。拥有此权限的用户无法在查询页面上终止查询。
`see_logs`	无	实例级 CM	用户可以在 Looker 的管理部分中查看日志页面。
`see_users`	无	实例级 CM	用户可以在 Looker 的管理部分查看用户页面，但无法查看群组页面。此权限不会让用户能够创建新用户、查看或创建 API 凭据、重置密码，或以其他方式修改用户或权限。获得此权限的用户可以查看实例中所有群组中的所有用户，即使是在封闭系统中也是如此。用户可以查看所有群组名称和所有角色名称，而有些公司可能会认为这是敏感内容。
`sudo`	`see_users`	实例级 CM	用户可以点击用户页面上的 Sudo 按钮，以其他用户身份执行操作并暂时继承该用户的权限（即 sudo）。 `sudo` 权限不允许非管理员使用 sudo 作为管理员，但非管理员或许可以使用 sudo 提升自己的权限，因此请谨慎操作。注意：Looker (Google Cloud Core) 实例不包含 `sudo` 权限。
`manage_groups`	`see_users`	实例级 CM	新增于 24.0 用户可以在管理菜单的用户部分中的群组页面上创建、修改和删除群组，但与管理角色关联的任何群组除外。
`manage_roles`	`manage_groups`	实例级 CM	已添加 24.0 用户可以在管理菜单的用户部分的角色页面上创建、修改和删除角色（管理角色除外）。用户仍然无法创建、修改或删除权限集或模型集。
`manage_user_attributes`	`see_users`	实例级 CM	新增于 24.0 用户可以在管理菜单的用户部分中的用户属性页面上创建、修改和删除用户属性。
`see_schedules`	无	实例级 CM	用户可以通过 Looker 的管理面板查看时间表和时间表历史记录页面。拥有此权限的用户无法重新分配、修改或删除其他用户的时间表和时间表历史记录页面上的时间表。
`see_pdts`	无	特定连接	用户可以在 Looker 的管理部分看到永久派生表页面，并查看使用与其拥有数据访问权限的模型关联的任何连接的项目中的 PDT 相关信息。新安装的 Looker 的开发者默认权限集中包含此权限。此权限适用于用户具有数据访问权限的连接，而非整个 Looker 实例或个别模型或模型集。
`see_datagroups`	无	特定于模型	用户可以在 Looker 的管理部分查看“数据组”页面。用户可以查看连接名称、模型名称，以及他们在拥有数据访问权限的模型中定义的数据组的其他信息。此权限适用于单个模型或模型集，而不是整个 Looker 实例或连接。
`update_datagroups`	`see_datagroups`	特定于模型	用户可以通过 Looker 的管理部分中的“数据集群”页面触发数据集群或重置其缓存。与具有 `see_datagroups` 权限的用户一样，具有 `update_datagroups` 权限的用户也可以查看在使用其拥有数据访问权限的模型的项目中定义的数据集群。此权限适用于单个模型或模型集，而不是整个 Looker 实例或连接。
`see_system_activity`	无	实例级 CM	用户可以访问系统活动探索和信息中心以及内部 `i__looker` 数据库，查看 Looker 实例的使用情况、历史记录和其他元数据。
`mobile_app_access`	无	实例级 NN	用户可以在移动设备上使用 Looker 移动应用登录您的实例。为了让用户能够登录 Looker 移动应用，必须先在 Looker 管理部分的常规设置页面中启用移动应用访问权限选项。 `mobile_app_access` 权限可添加到新的或现有权限集中，并且属于 Looker 的所有默认权限集。

模型集

模型集用于定义用户或群组可以看到哪些数据和 LookML 字段。每个集合都是一个用户或群组应有权访问的 LookML 模型的列表。您可以将模型集视为执行以下两项功能：

模型集用于控制权限应用于 LookML 中的哪些模型（如果这些权限因模型而异）。
模型集会限制用户可以看到的数据和 LookML 字段，因为每个模型都连接到特定的数据库连接并包含某些 LookML 字段。

创建模型集

如需创建模型集，请执行以下操作：

点击角色页面顶部的新建模型集按钮。
Looker 会显示新建模型集页面。为新模型集输入名称。
选择应包含在新模型集中的一个或多个模型。
点击页面底部的新建模型集按钮。新模型集将显示在角色页面的模型集部分中。

待处理项目中包含的模型会显示在新模型集和修改模型集页面的模型列表中。
删除或重命名模型不会更改包含该模型的任何模型集。移除或重命名模型后，我们建议 Looker 管理员还应使用修改模型集页面从任何关联的模型集中移除该模型的名称。从模型集中移除已删除模型的名称可防止不小心将具有相同名称的新模型纳入该模型集中。

如需详细了解模型，请参阅模型参数文档页面。

创建多个模型和模型集

以下示例展示了如何使用多个模型集来限制对数据的访问权限。假设您有两个团队，分别是营销团队和支持团队。在本示例中，这两个团队不应有权访问整个模型，因此您需要为每个团队创建一个单独的模型。如需对其数据访问权限进行分离，请执行以下步骤：

将该模型复制到两个新模型中。
在第一个新模型中，仅添加营销团队应有权访问的视图、字段和探索。
为营销团队创建一个仅包含此新模型的模型集。
为营销团队创建一个新角色，其中包含此新模型集以及营销团队的适当权限。
将此新角色分配给“营销团队”群组。
重复第 2 步到第 5 步，为支持团队配置第二个模型。

修改模型集

创建模型集后，请按以下步骤修改该模型集：

在角色页面上，点击要修改的模型集右侧的修改按钮。
Looker 会显示修改模型集页面。如果需要，在名称字段中为模型集输入一个新名称。
在模型部分中，向模型集添加或从中移除任何模型。
点击页面底部的更新模型集按钮。

待处理项目中包含的模型会显示在新建模型集和修改模型集页面上的模型列表中。
删除或重命名模型不会更改包含该模型的任何模型集。移除或重命名模型后，我们建议 Looker 管理员使用修改模型集页面从所有关联的模型集中移除该模型的名称。从模型集中移除已删除模型的名称，可以防止将同名的新模型意外添加到该模型集中。

删除模型集

要删除模型集，请在角色页面上点击要删除的模型集右侧的删除。