Documentation
搜索文档
karat

+

K

API 参考 ↗
安全Concepts项目与角色

注意:以下翻译的准确性尚未经过验证。这是使用 AIP ↗ 从原始英文文本进行的机器翻译。

项目与角色

项目 是在 Foundry 中组织工作的主要方式,也是主要的安全边界。您可能希望将您的管道设置为一系列项目。为了与他人协作,您将为每个项目中的各种用户和组授予角色。项目和角色共同管理 Foundry 的自主访问控制。

了解更多关于在 Foundry 中 保护数据基础的信息。

项目和资源

项目 是 Foundry 中的主要安全边界,可以被视为共享工作的容器。由于其边界强制执行安全性,项目是组织数据和在安全空间内实现开放协作的关键手段。

每个项目都是一个协作空间,组织用户、文件和文件夹以实现特定目的。项目应该设计为在每个项目中协作的用户对内容具有大致统一的访问权限,但对内容的权限各不相同——例如,您的项目中的每个人可能都具有默认的只读角色,但只有一个特定的组对所有项目资源具有编辑角色。项目强制执行安全边界,这使得工作能够被包含在一个空间中。工作(变换、分析等)在项目中完成,工作的输出与其逻辑一起存在于项目中。

Projects

由于工作及其输出必须存在于同一个项目中,因此要在其他项目中重用或搭建工作,您必须使用 引用

为了简化权限管理,我们建议在项目级别授予角色。通过组管理项目权限允许具有相同权限的一组用户一起管理,减少了单独角色授予的混乱。项目内容将继承在项目级别授予的角色,为用户提供统一的项目内容访问。

创建项目

用户需要在一个空间上具有 EditorOwner 权限才能在该空间中创建项目。

Create projects

空间权限可以从空间设置页面进行管理。

请求访问项目

用户可以提交访问请求以访问他们无权访问的项目。访问请求将包括授予用户访问项目所需的所有更改,包括任何必需的权限标记

项目访问请求可以从 Foundry 文件系统视图中的多个访问点提交:

  • 请求访问
    • 位于项目和文件视图中的项目名称旁边。
    • 当打开用户无权限查看的资源(例如,直接链接)时出现。
  • 请求项目访问
    • 如果用户在项目中只有发现者角色,则位于项目视图中。
  • 请求额外访问
    • 如果用户有权访问项目,则位于项目视图中的操作下拉菜单中。

选择上述入口点之一后,用户将看到一个请求访问弹出窗口。他们必须提供访问理由、应授予访问权限的用户和组(如果代表其他人请求)以及他们应如何获得访问权限。

上文所述,我们建议通过组管理项目的权限。在请求访问弹出窗口中,用户可以选择获得具有项目相应角色的组的访问权限。对于在 Foundry 内部管理的组,用户可以选择加入一个组,这将把请求路由到组管理员以供批准。

project request access

对于在 Foundry 之外管理的组,用户将看到一条消息和一个 URL,将他们重定向到 Foundry 平台外请求必要的组访问。了解如何在外部组文档中配置此消息和 URL。

如果项目没有分配任何组,用户可以请求直接以给定角色添加到项目中。这将创建一个项目访问请求任务,并需要项目中具有所有者角色的用户批准。

一旦用户创建请求,应该出现一条消息,指示请求成功。通过选择消息上的查看详情查看创建的请求,或导航到 Foundry 工作区侧边栏中的审批收件箱并从左侧筛选中选择我的请求

success message

文件和文件夹访问请求

当用户在项目内的文件或文件夹上选择请求访问时,访问请求将在项目本身上提交(而不是特定资源)。在审核请求时,将显示提交请求的文件或文件夹以提供更多上下文。

resource requests access request

共享和移动资源

为了将项目作为安全边界,我们建议将资源移动到已为您的应用案例授予权限的项目中,而不是直接从您的文件中共享。这有助于明确访问权限和谁能访问什么的可读性。可以通过单击访问面板管理对项目的用户和组的访问:

Share and move resources

引用

项目是 Foundry 中的核心安全边界,这也延伸到 Foundry 的搭建系统。一个搭建需要输入若干数据集,并生成若干输出数据集。这些输入和输出必须在同一个项目中。然而,为了创建一个有用的管道,您可能希望使用来自其他项目的数据集。在使用来自其他项目的数据集时,我们建议应用文件引用。

references

添加文件引用允许您在项目中使用上游数据集。一旦导入,您的同事无需访问上游项目即可与您合作进行变换或查看项目内派生的任何数据集(只要他们满足任何组织和权限标记)。

reference to flights dataset

在上图中,我们在 Flight Delays [Transform] 项目中引用了来自 Flight Control System [Datasource] 项目的航班数据集。如果我们将用户添加到我们的变换项目中,他们将能够查看 delays 数据集,甚至在新变换中使用原始的 flights 数据集,而无需访问上游数据源项目。

项目和引用有助于组织协作,因为项目所有者可以轻松地将用户添加到他们自己的项目中,并确保后者拥有适当的权限。

可以从 Foundry 中的许多地方添加引用,例如代码库代码工作簿管道构建器FusionContour。具有 Editor 角色的用户可以向项目添加文件引用。

您不能添加引用到位于您的文件中的文件,因为这可能会导致权限问题。如果您想引用位于您的文件中的文件,首先将文件移动到一个项目中,以便您的同事可以看到。

通过权限标记实现中央数据治理

在某些情况下,我们可能希望更集中地控制对某一类数据的访问。也许任何访问任何类型航班数据的人都应首先通过强制培训。对原始 flights 数据集应用权限标记将要求用户通过中央机构以获得对 flights 和从中派生的任何数据集(例如 delays 数据集)的访问权限。有关使用权限标记的更多信息,请参见权限标记

角色

角色是授予不同资源访问级别的权限集合。角色是一种自主权限,通常在项目级别授予,以在项目范围内的所有资源上提供统一的功能。然而,强制控制、组织和权限标记将始终阻止不合格用户访问资源,无论用户的角色如何。

在 Foundry 中,从最强大到最不强大的默认角色为:Owner、Editor、Viewer 和 Discoverer。每个角色可以为其他用户指派相同或更低的角色。例如,Owner 可以为任何其他用户授予 Owner、Editor、Viewer 或 Discoverer 角色,而 Discoverer 只能为其他用户授予 Discoverer 角色。这些默认值可以自定义为包括完全新角色

重要的是,像强制控制一样,角色授予继承到子资源。例如,授予用户项目或文件夹的 Viewer 权限会赋予他们对该项目或文件夹中包含的所有资源的 Viewer 权限。通常,一组用户在项目上被授予角色。

Flight delay project

了解更多关于配置您的组织角色的信息。

文件夹和文件上的角色授予

如上所述,我们建议仅在项目级别授予角色,以在项目范围内的所有资源上提供统一的功能。为了强制执行此行为,您可以使用切换开关在项目视图的设置部分禁用文件夹和文件角色授予。当此设置被禁用时,角色授予只能在项目级别进行,而不能在文件夹或文件级别进行。此切换可以由项目中具有 Owner 角色的用户设置。

Advanced settings - roles

如果项目中已包含具有角色授予的资源且角色授予设置被禁用,则这些个别资源上的角色授予将被移除。一旦现有角色授予被移除,除非重新启用设置,否则无法重新添加。同样,如果具有角色授予的资源被移动到角色授予设置被禁用的项目中,资源级别的角色授予将被移除。在禁用角色授予设置和将资源移动到角色授予设置被禁用的项目时,系统会警告用户这一行为。

此外,项目链接共享功能也将被移除,因为链接共享会为链接的接收者直接授予个别文件夹或文件的角色。

默认情况下,文件夹和文件上的角色授予是禁用的。空间管理员可以在空间级别更改默认行为。我们建议保持文件夹和文件上的角色授予禁用。