作者:潘炎峰 更多内容详见数据中台官网 https://dp.alibaba.com
引言
作为阿里云上的智能BI套件,Quick BI的服务架构包含web应用和后端执行机。其中,WEB应用主要提供浏览器端的访问接入,执行机承载数据源连接及OLAP分析服务。Quick BI基于阿里云提供安全、可靠、可控的安全访问机制。
Quick BI服务架构:依托阿里云保障数据库访问安全可控
我们访问Quick BI服务,首先需要登录阿里云,由阿里云RAM统一认证身份合法性。基于Quick BI进行数据分析,核心步骤之一就是进行数据源链接。那么Quick BI如何对数据源连接过程中进行安全管控呢?首先,我们可以自己管理Quick BI访问数据库的schema安全,尽量采用只读权限。数据库访问层面则通过添加数据库白名单策略,保证Quick BI与数据库之间的网络连通性。另外,在Quick BI平台访问数据库走阿里云上内网传输通道,不会造成额外的流量费用也不会在公网上进行数据传输,阿里云可以为云上客户提供数据访问的安全管控。
Quick BI安全访问机制:登录、访问、开发三层安全控制
Quick BI在内部访问安全管控上,从登录、访问、开发等三个层面进行安全管控。登录控制层面,除了阿里云上RAM认证,Quick BI内部会进行组织成员的合法性验证,保证多组织之间的数据访问隔离。访问控制层面,采用用户/用户组进行查看或下载权限的授权,采用用户/用户组、标签两种行级权限管理机制。开发控制层面,Quick BI内置工作空间管理机制,进行多角色的管理机制和协同编辑管控,保证空间内成员开发过程中的安全可控。
- 登录控制
Quick BI内置组织成员管理,我们可以将阿里云上的账号(主账号或RAM子账号)添加为组织内成员,并且一个账号只能归属一个组织,保证多组织之间的访问成员完全隔离和登录认证的唯一性。如下图所示:
- 访问控制
- 查看及下载权限
我们可以通过分享功能,将每个仪表板、电子表格等分享给指定的用户、用户组,在分享过程中我们可以选择授权类型来控制查看和下载权限,通过选择有效期控制访问权限的时间范围。通过授权的用户对象、查询及下载范围、有效期等保证报表访问的安全控制。
- 行级权限
Quick BI提供用户/用户组、标签授权两种行级权限管控机制。Quick BI独创了千人千面的标签式授权,只需配置数据集与用户标签的映射关系,即可实现行级权限管控,大幅提升了行级授权的管理效率。用户/用户组授权如下图所示:
标签权限如下图所示,详细介绍参见《Quick BI独创千人千面的行级权限管控机制》篇。
- 开发控制
作为敏捷BI工具,Quick BI通过工作空间实现开发者之间的逻辑隔离,也是敏捷BI在面向业务开放过程中的核心。在实际过程中,可以按照业务、子公司、项目团队等进行工作空间规划,保证各团队直接的数据开发隔离。工作空间角色包括空间管理员、开发者、分析师、阅览者4种角色,空间管理员和开发者可以进行数据源和数据集管理,分析师可进行电子表格和仪表板制作,阅览者默认可预览群空间下的作品。另外,作品编辑一般情况下只有拥有者可以进行编辑,空间管理员可以任意修改各作品。
看了这么多,是不是可以放心大胆地使用Quick BI进行数据分析啦,快来和小编一起体验吧!
阿里巴巴数据中台团队,致力于输出阿里云数据智能的最佳实践,助力每个企业建设自己的数据中台,进而共同实现新时代下的智能商业!
阿里巴巴数据中台解决方案,核心产品:
• Dataphin,以阿里巴巴大数据核心方法论OneData为内核驱动,提供一站式数据构建与管理能力;
• Quick BI,集阿里巴巴数据分析经验沉淀,提供一站式数据分析与展现能力;
• Quick Audience,集阿里巴巴消费者洞察及营销经验,提供一站式人群圈选、洞察及营销投放能力,连接阿里巴巴商业,实现用户增长。
欢迎志同道合者一起成长!更多内容详见数据中台官网 https://dp.alibaba.com
