雾象Fogsight权限管理需五步完成:一、创建角色并分配基础权限;二、将用户加入角色组;三、配置数据级行权限(RLS);四、设置仪表板级访问白名单;五、启用审计日志验证效果。
☞☞☞AI 智能聊天, 问答助手, AI 智能搜索, 免费无限量使用 DeepSeek R1 模型☜☜☜
如果您在使用雾象Fogsight平台时需要控制不同用户对数据、仪表板或功能模块的访问范围,则需通过其内置权限管理体系进行精细化配置。以下是完成雾象Fogsight权限管理设置的具体操作步骤:
一、创建角色并分配基础权限
角色是权限分配的基本单位,通过预设角色可统一管理多用户的访问能力。系统支持自定义角色,并为每个角色绑定具体的操作权限集合。
1、登录雾象Fogsight管理后台,进入【系统设置】→【权限管理】→【角色管理】。
2、点击【新建角色】,输入角色名称(如“数据分析员”“运维查看员”)及描述。
3、在权限列表中勾选该角色可执行的操作,例如:查看所有数据源、编辑当前仪表板、导出报表(仅限CSV)。
4、保存角色配置。
二、将用户加入指定角色组
用户本身不直接拥有权限,而是通过隶属一个或多个角色来继承对应权限。支持单用户多角色、多用户同角色的灵活映射关系。
1、在【权限管理】页面切换至【用户管理】标签页。
2、搜索目标用户名,点击其右侧【编辑】按钮。
3、在【角色分配】区域勾选已创建的角色,例如同时分配“只读观察员”和“告警响应员”两个角色。
4、确认提交,系统立即生效新权限组合。
三、配置数据级行权限(RLS)
行级权限用于限制用户仅能查看与其所属组织、区域或标签匹配的数据记录,适用于多租户或分区域运营场景。
1、进入【数据源管理】,选择需启用RLS的数据源,点击【编辑】。
2、展开【安全策略】选项卡,开启【启用行级权限】开关。
3、在规则表达式栏填写SQL WHERE条件,例如:region = current_user_region() 或 tenant_id IN (SELECT tenant_ids FROM user_tenants WHERE username = CURRENT_USER)。
4、保存后,该数据源下所有查询将自动应用此过滤逻辑。
四、设置仪表板级访问白名单
针对高敏感仪表板,可绕过角色通用权限,单独设定允许访问的用户列表,实现最小权限原则下的强管控。
1、打开目标仪表板,点击右上角【更多】→【仪表板设置】。
2、切换至【访问控制】面板,关闭【继承角色权限】选项。
3、在【白名单用户】输入框中,逐个添加用户名或使用通配符模式,例如:dev-* 或 audit-team@company.com。
4、保存设置,非白名单用户将无法看到该仪表板入口,即使其角色具备查看仪表板权限。
五、启用操作审计日志并验证权限效果
权限配置完成后,需通过实际行为验证是否按预期生效,并借助审计日志追踪越权尝试或配置偏差。
1、前往【系统监控】→【审计日志】,筛选操作类型为“权限拒绝”或“数据查询”。
2、以测试用户身份登录,尝试执行各类操作(如修改某字段、导出某报表、打开受限仪表板)。
3、检查日志中是否出现对应记录,确认拒绝提示是否包含准确原因,例如:无导出权限(缺少export_csv权限项) 或 行过滤拦截:region字段不匹配。
4、根据日志反馈调整角色权限或RLS规则。
