RAM角色是一種虛擬使用者,可以被授予一組權限原則。與RAM使用者不同,RAM角色沒有永久身份憑證(登入密碼或存取金鑰),需要被一個可信實體扮演。扮演成功後,可信實體將獲得RAM角色的臨時身份憑證,即安全性權杖(STS Token),使用該安全性權杖就能以RAM角色身份訪問被授權的資源。具體請參見建立RAM角色並授權。本文為您介紹組織管理員如何添加阿里雲RAM角色至Quick BI組織中。組織管理員可以一次性添加單個或多個阿里雲RAM角色。
前提條件
已擷取RAM角色使用者資訊,請參見擷取帳號資訊。
背景資訊
Quick BI中的組織使用者類型及角色如下:
使用者類型
在組織層面,有三種使用者類型:
開發人員:企業IT人員、資料分析師和資料營運人員等。
分析師:需要進行業務分析、且對技術能力要求不高的業務人員。
分析師通過建立儀表板、試算表等形式分析資料。
訪問者:僅用於查看報表的使用者(例如老闆、領導),或僅用於查看資料結果的一線業務人員。訪問者可以通過URL、或者訂閱的方式查看儀表板、試算表、網站的內容。
使用者角色
組織角色
在組織層面,有三種預置組織角色,支援添加自訂群組織角色。
組織管理員:管理專案的資訊、狀態以及成員。組織管理員可以設定組織使用者為組織管理員。
建議1~3個人,一般由專案PM或負責BI平台的人員來擔任此角色。
許可權管理員:管理專案資源的許可權。建議1~3個人,一般由負責BI平台的人員來擔任此角色。許可權管理員授予使用者帳號許可權管理員角色,主要負責後台統一分配和系統管理權限。
普通使用者:未被設定為組織管理員和許可權管理員的使用者。
自訂群組織角色:可根據業務需要,自訂群組織角色。具體請參見角色管理。
空間角色
在空間層面,有四種預置空間角色,支援添加自訂空間角色。
空間管理員擁有所有模組的建立(編輯)、使用和查看許可權,空間管理員是當前空間下許可權最大的角色,除了上述許可權外,支援管理空間下其他成員的許可權、作品。
空間開發人員擁有所有模組的建立(編輯)、使用和查看許可權。
空間分析師擁有資料門戶、儀表板、資料大屏、試算表、即席分析、自助取數和資料準備模組的建立(編輯)、查看許可權;資料填報、資料來源的查看許可權;資料集的使用和查看許可權。
空間查看者擁有所有模組的查看許可權。
自訂空間角色:可根據業務需要,自訂空間角色。具體請參見角色管理。
使用限制
僅組織管理員支援將阿里雲RAM角色添加為組織使用者。
僅適用於進階版和專業版。
注意事項
大量新增帳號時,需要將附件上傳至Quick BI中:
上傳附件時,推薦您使用Chrome瀏覽器上傳檔案。
上傳附件時,推薦您擷取大量新增使用者資訊的模板,並按照模板要求在附件中填寫使用者資訊。
為避免附件上傳失敗,請檢查附件確保內容未出現以下情形:
任意帳號使用者已經存在,不允許重複添加;
任意帳號暱稱已經存在,組織內不允許暱稱重複;
使用者角色確保在系統中已經存在,以英文逗號分割,不能超過3個;
任意使用者組路徑不存在;
最大支援條數5000條;
除了標籤列可新增or刪除以外,其他列順序的變動或刪除;
添加的使用者數超過license限制;
Quick BI各版本對應的License限制請參見Quick BI計費方式。
添加單個阿里雲RAM角色
登入Quick BI控制台。
在Quick BI首頁,按照下圖指引,進入使用者管理頁面。
在成員管理頁簽的右上方, 選擇。
在添加使用者對話方塊中,選擇帳號類型為阿里雲RAM角色,並配置以下資訊。
參數名
是否必填
說明
角色ID
是
請輸入真實已存在的阿里雲RAM角色ID。
請參見擷取帳號資訊。
暱稱
是
阿里雲RAM角色帳號在Quick BI中的暱稱,您可以自訂暱稱。
暱稱只能由中英文、數字及底線、斜線、反斜線、豎線、小括弧、中括弧組成,不超過50個字元。
使用者類型
是
支援開發人員、分析師和訪問者這三種類型。
開發人員:企業IT人員、資料分析師和資料營運人員等。
分析師:需要進行業務分析、且對技術能力要求不高的業務人員。
分析師通過建立儀表板、試算表等形式分析資料。
訪問者:僅用於查看報表的使用者(例如老闆、領導),或僅用於查看資料結果的一線業務人員。訪問者可以通過URL、或者訂閱的方式查看儀表板、試算表、網站的內容。
組織角色
是
在組織層面,有三種預置組織角色,支援添加自訂群組織角色。
組織管理員:管理專案的資訊、狀態以及成員。組織管理員可以設定組織使用者為組織管理員。
建議1~3個人,一般由專案PM或負責BI平台的人員來擔任此角色。
許可權管理員:管理專案資源的許可權。建議1~3個人,一般由負責BI平台的人員來擔任此角色。許可權管理員授予使用者帳號許可權管理員角色,主要負責後台統一分配和系統管理權限。
普通使用者:未被設定為組織管理員和許可權管理員的使用者。
自訂群組織角色:可根據業務需要,自訂群組織角色。具體請參見組織角色。
空間角色
否
在空間層面,有四種預置空間角色,支援添加自訂空間角色。
空間管理員擁有所有模組的建立(編輯)、使用和查看許可權,空間管理員是當前空間下許可權最大的角色,除了上述許可權外,支援管理空間下其他成員的許可權、作品。
空間開發人員擁有所有模組的建立(編輯)、使用和查看許可權。
空間分析師擁有資料門戶、儀表板、資料大屏、試算表、即席分析、自助取數和資料準備模組的建立(編輯)、查看許可權;資料填報、資料來源的查看許可權;資料集的使用和查看許可權。
空間查看者擁有所有模組的查看許可權。
自訂空間角色:可根據業務需要,自訂空間角色。具體請參見空間角色。
所屬使用者組
否
待添加阿里雲角色帳號所歸屬的使用者組。
單擊確定,完成組織使用者添加。
大量新增阿里雲RAM角色
按照下圖指引,大量新增使用者。
在大量新增使用者資訊對話方塊中,選擇阿里雲RAM角色,單擊擷取大量新增使用者資訊的模板,下載使用者資訊的模板。
將待添加使用者資訊填入並儲存至模板中。
附件中的關鍵字段填寫說明如下。
欄位名稱
是否必填
說明
帳號ID
是
阿里雲RAM角色帳號ID。
暱稱
是
阿里雲RAM角色帳號在Quick BI中的暱稱,您可以自訂暱稱。
暱稱只能由中英文、數字及底線、斜線、反斜線、豎線、小括弧、中括弧組成,不超過50個字元。
使用者類型
是
支援開發人員、分析師和訪問者這三種類型,取值如下:
開發人員:可以被添加為工作空間成員,並授予資料開發和系統管理權限。
分析師:需要進行業務分析、且對技術能力要求不高的業務人員。
分析師通過建立儀表板、試算表等形式分析資料。
訪問者:不允許被添加為工作空間成員,僅允許查看被授權的報表。
使用者角色
是
在組織層面,有三種預置組織角色,支援添加自訂群組織角色。
組織管理員:管理專案的資訊、狀態以及成員。組織管理員可以設定組織使用者為組織管理員。
建議1~3個人,一般由專案PM或負責BI平台的人員來擔任此角色。
許可權管理員:管理專案資源的許可權。建議1~3個人,一般由負責BI平台的人員來擔任此角色。許可權管理員授予使用者帳號許可權管理員角色,主要負責後台統一分配和系統管理權限。
普通使用者:未被設定為組織管理員和許可權管理員的使用者。
自訂群組織角色:可根據業務需要,自訂群組織角色。具體請參見角色管理。
郵箱
否
註冊阿里雲角色帳號時綁定的郵箱。
電話號碼
否
註冊阿里雲角色帳號時綁定的電話號碼。
使用者組
否
當前阿里雲角色帳號歸屬的使用者組。
tag_example
否
使用者標籤欄位可以自訂擴充,擴充列名稱以tag_開頭,例如tag_example。
取值說明:
$ALL_MEMBERS$:表示擁有所有資料存取權限。
填寫具體的值,例如north:表示擁有north地區資料的存取權限。
說明如果標籤項對應多個許可權,以半形逗號(,)分隔,例如north,east。
單擊選擇Excel檔案,從本地上傳待添加的使用者資訊。
上傳附件時,推薦您使用Chrome瀏覽器上傳檔案。
上傳附件時,推薦您擷取大量新增使用者資訊的模板,並按照模板要求在附件中填寫使用者資訊。
單擊確定,完成組織使用者的大量新增。
阿里雲RAM角色登入
阿里雲RAM角色本身不支援直接登入Quick BI,RAM角色作為一種虛擬使用者,需要由可信實體(比如阿里雲RAM帳號)扮演RAM角色後登入訪問。您可以按照以下步驟登入並訪問Quick BI。
使用阿里雲RAM帳號登入阿里雲控制台 。
在阿里雲RAM使用者控制台中,右上方單擊切換身份。
在角色切換頁面,輸入主帳號ID(或者企業別名/預設網域名稱)和角色名稱,單擊提交按鈕,完成角色切換。
此時,可以看到右上方的使用者資訊已切換顯示為RAM角色。
說明需要為阿里雲RAM帳號授予AliyunSTSAssumeRoleAccess許可權,否則在切換角色時會報錯。
訪問Quick BI控制台,可以看到頁面右上方登入的使用者資訊是RAM角色。
說明RAM角色需要加入到Quick BI組織中,才可以訪問Quick BI。