Superset 用戶權(quán)限管理原理

在企業(yè)生產(chǎn)環(huán)境中,用戶權(quán)限管理是非常重要的一個(gè)環(huán)節(jié),涉及數(shù)據(jù)安全管控处硬。Superset 實(shí)現(xiàn)了基于角色的訪問控制(Role Based Access Control, RBAC), 這是一種非常流行和高效的訪問控制機(jī)制。RBAC 可以將復(fù)雜的安全權(quán)限規(guī)則抽象為簡單的角色概念, 通過為用戶分配角色實(shí)現(xiàn)其對(duì)數(shù)據(jù)和對(duì)象的控制。

RBAC的基本原理

RBAC(Role-Based Access Control)是一種基于角色的訪問控制機(jī)制烫葬。其基本思想是:

  1. 將權(quán)限分配給角色, 而不是直接分配給用戶。一個(gè)角色包含一組權(quán)限凡蜻。
  2. 將用戶與角色進(jìn)行關(guān)聯(lián), 一個(gè)用戶可以被分配一個(gè)或多個(gè)角色搭综。
  3. 用戶通過所擁有的角色間接獲得權(quán)限。
RBAC有以下基本規(guī)則:
  1. 分離職責(zé): 創(chuàng)建角色時(shí)按職責(zé)進(jìn)行分離, 如普通用戶角色咽瓷、管理員角色等设凹。
  2. 最少權(quán)限: 每個(gè)角色分配的權(quán)限應(yīng)該是其工作職責(zé)所需要的最少權(quán)限。
  3. 不可傳遞的角色繼承: 如果角色A繼承角色B, 則A擁有B的所有權(quán)限, 但B不擁有A的權(quán)限茅姜。
  4. 角色指定: 用戶只能通過被分配的角色獲得權(quán)限, 不能直接獲得權(quán)限闪朱。
  5. 相關(guān)的角色和權(quán)限: 將權(quán)限按職責(zé)進(jìn)行分組并賦予角色可以簡化管理。

RBAC通過上述規(guī)則實(shí)現(xiàn)了權(quán)限與角色的解耦, 使用戶钻洒、權(quán)限奋姿、角色三者之間建立了清晰的關(guān)聯(lián)關(guān)系。這使得權(quán)限的授權(quán)管理變得非常靈活與簡單素标。通過為用戶分配適當(dāng)?shù)慕巧? 就可以實(shí)現(xiàn)對(duì)其訪問權(quán)限的控制, 這是RBAC流行于各大系統(tǒng)的基本原因称诗。

Superset就采用了RBAC實(shí)現(xiàn)細(xì)粒度數(shù)據(jù)訪問控制,通過創(chuàng)建不同的角色并分配相關(guān)權(quán)限,再將角色賦予用戶或用戶組, 可以實(shí)現(xiàn)對(duì)數(shù)據(jù)、查詢头遭、儀表盤等的安全管理寓免。

Superset 管理用戶和權(quán)限

Superset可以有效地管理用戶, 主要包含以下功能:

  • 創(chuàng)建用戶

可以在Superset的“用戶管理”頁面點(diǎn)擊“+ 新建用戶”按鈕創(chuàng)建一個(gè)新的用戶癣诱。需要輸入用戶名、密碼袜香、確認(rèn)密碼撕予、郵箱等信息。

  • 修改用戶信息

在“用戶管理”頁面選擇一個(gè)用戶,點(diǎn)擊“編輯”按鈕可以修改其信息,包括用戶名蜈首、密碼实抡、郵箱、是否激活狀態(tài)等欢策。

  • 刪除用戶

在“用戶管理”頁面選擇一個(gè)用戶,點(diǎn)擊“刪除”按鈕可以徹底刪除該用戶吆寨。刪除后,該用戶的一切訪問權(quán)限、內(nèi)容均會(huì)被刪除踩寇。

  • 用戶組管理
    可以在Superset里創(chuàng)建用戶組,將多個(gè)用戶放在同一個(gè)用戶組里統(tǒng)一管理啄清。在“用戶組管理”頁面可以創(chuàng)建、修改和刪除用戶組姑荷。

  • 權(quán)限管理
    Superset采用角色權(quán)限管理的模式盒延。有兩種角色類型:

    • 預(yù)定義角色:提供一組預(yù)定義好的角色,如Alpha鼠冕、Gamma添寺、Delta等,包含不同的權(quán)限組。
    • 自定義角色:可以創(chuàng)建自定義角色,選擇相應(yīng)的權(quán)限粒度進(jìn)行分配,如數(shù)據(jù)訪問懈费、SQL表創(chuàng)建计露、儀表盤創(chuàng)建權(quán)限等。

將創(chuàng)建好的角色分配給用戶或用戶組,即可控制其對(duì)應(yīng)的數(shù)據(jù)集和功能訪問權(quán)限憎乙。

  • Auditing日志記錄
    Superset會(huì)記錄詳細(xì)的用戶交互日志,如登錄日志票罐、SQLexecuted日志、Dashboard訪問日志等泞边。這些日志可以追溯數(shù)據(jù)和功能的訪問記錄,用于權(quán)限管理判斷和數(shù)據(jù)安全審查该押。

Auditing 日志的查詢示例,可以在 SQL Lab 中執(zhí)行

SELECT * FROM logs 
WHERE 
    user_id=(SELECT id FROM ab_user WHERE username='gamma')
    AND schema_name='examples'
    AND dttm 
        BETWEEN DATE_SUB(NOW(), INTERVAL 3 DAY) AND NOW()

綜上,Superset提供比較全面而細(xì)致的用戶管理功能阵谚。通過控制用戶蚕礼、用戶組和權(quán)限,可以實(shí)現(xiàn)對(duì)數(shù)據(jù)、SQL查詢和儀表盤等的安全訪問管理梢什。這是Superset作為企業(yè)BI平臺(tái)廣泛應(yīng)用的重要條件奠蹬。

如果你需要自定義一些用戶權(quán)限,可以參考我的下一篇~ 如果對(duì)Superset的使用想要深入交流嗡午,也歡迎你來connect囤躁。

國內(nèi)的公司使用 Superset 的越來越多了,很多開發(fā)遇到問題的也都主動(dòng)找到我。我都非常樂意分享我對(duì)Superset的實(shí)踐 威信: pabi2020狸演。一方面可以了解大家關(guān)注什么問題言蛇,另一方面我可以繼續(xù)整理和輸出。

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
  • 序言:七十年代末宵距,一起剝皮案震驚了整個(gè)濱河市猜极,隨后出現(xiàn)的幾起案子,更是在濱河造成了極大的恐慌消玄,老刑警劉巖,帶你破解...
    沈念sama閱讀 217,185評(píng)論 6 503
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件丢胚,死亡現(xiàn)場離奇詭異翩瓜,居然都是意外死亡,警方通過查閱死者的電腦和手機(jī)携龟,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 92,652評(píng)論 3 393
  • 文/潘曉璐 我一進(jìn)店門兔跌,熙熙樓的掌柜王于貴愁眉苦臉地迎上來,“玉大人峡蟋,你說我怎么就攤上這事坟桅。” “怎么了蕊蝗?”我有些...
    開封第一講書人閱讀 163,524評(píng)論 0 353
  • 文/不壞的土叔 我叫張陵仅乓,是天一觀的道長。 經(jīng)常有香客問我蓬戚,道長夸楣,這世上最難降的妖魔是什么? 我笑而不...
    開封第一講書人閱讀 58,339評(píng)論 1 293
  • 正文 為了忘掉前任子漩,我火速辦了婚禮豫喧,結(jié)果婚禮上,老公的妹妹穿的比我還像新娘幢泼。我一直安慰自己紧显,他們只是感情好,可當(dāng)我...
    茶點(diǎn)故事閱讀 67,387評(píng)論 6 391
  • 文/花漫 我一把揭開白布缕棵。 她就那樣靜靜地躺著孵班,像睡著了一般。 火紅的嫁衣襯著肌膚如雪挥吵。 梳的紋絲不亂的頭發(fā)上重父,一...
    開封第一講書人閱讀 51,287評(píng)論 1 301
  • 那天,我揣著相機(jī)與錄音忽匈,去河邊找鬼房午。 笑死,一個(gè)胖子當(dāng)著我的面吹牛丹允,可吹牛的內(nèi)容都是我干的郭厌。 我是一名探鬼主播袋倔,決...
    沈念sama閱讀 40,130評(píng)論 3 418
  • 文/蒼蘭香墨 我猛地睜開眼,長吁一口氣:“原來是場噩夢(mèng)啊……” “哼折柠!你這毒婦竟也來了宾娜?” 一聲冷哼從身側(cè)響起,我...
    開封第一講書人閱讀 38,985評(píng)論 0 275
  • 序言:老撾萬榮一對(duì)情侶失蹤扇售,失蹤者是張志新(化名)和其女友劉穎前塔,沒想到半個(gè)月后,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體承冰,經(jīng)...
    沈念sama閱讀 45,420評(píng)論 1 313
  • 正文 獨(dú)居荒郊野嶺守林人離奇死亡华弓,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 37,617評(píng)論 3 334
  • 正文 我和宋清朗相戀三年,在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了困乒。 大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片寂屏。...
    茶點(diǎn)故事閱讀 39,779評(píng)論 1 348
  • 序言:一個(gè)原本活蹦亂跳的男人離奇死亡,死狀恐怖娜搂,靈堂內(nèi)的尸體忽然破棺而出迁霎,到底是詐尸還是另有隱情,我是刑警寧澤百宇,帶...
    沈念sama閱讀 35,477評(píng)論 5 345
  • 正文 年R本政府宣布考廉,位于F島的核電站,受9級(jí)特大地震影響携御,放射性物質(zhì)發(fā)生泄漏芝此。R本人自食惡果不足惜,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 41,088評(píng)論 3 328
  • 文/蒙蒙 一因痛、第九天 我趴在偏房一處隱蔽的房頂上張望婚苹。 院中可真熱鬧,春花似錦鸵膏、人聲如沸膊升。這莊子的主人今日做“春日...
    開封第一講書人閱讀 31,716評(píng)論 0 22
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽廓译。三九已至,卻和暖如春债查,著一層夾襖步出監(jiān)牢的瞬間非区,已是汗流浹背。 一陣腳步聲響...
    開封第一講書人閱讀 32,857評(píng)論 1 269
  • 我被黑心中介騙來泰國打工盹廷, 沒想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留征绸,地道東北人。 一個(gè)月前我還...
    沈念sama閱讀 47,876評(píng)論 2 370
  • 正文 我出身青樓,卻偏偏與公主長得像管怠,于是被迫代替她去往敵國和親淆衷。 傳聞我的和親對(duì)象是個(gè)殘疾皇子,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 44,700評(píng)論 2 354

推薦閱讀更多精彩內(nèi)容