在數(shù)字化時(shí)代，數(shù)據(jù)已成為企業(yè)最寶貴的資產(chǎn)之一。如何管理這些資產(chǎn)，確保數(shù)據(jù)的安全和有效利用，是每個(gè)企業(yè)都必須面對(duì)的挑戰(zhàn)。本文深入探討了數(shù)據(jù)運(yùn)營(yíng)中的權(quán)限問(wèn)題，分析了數(shù)據(jù)權(quán)限跨產(chǎn)品打通的復(fù)雜性、權(quán)限分配的限制以及角色劃分的重要性。

面向開發(fā)的數(shù)據(jù)權(quán)限，在數(shù)據(jù)管理篇中提到過(guò)了，開發(fā)的權(quán)限主要是在開發(fā)團(tuán)隊(duì)，開發(fā)體系內(nèi)進(jìn)行授權(quán)設(shè)置，可以說(shuō)還是相對(duì)比較固定的，范圍相對(duì)較小的。

這里主要說(shuō)面向運(yùn)營(yíng)場(chǎng)景下的數(shù)據(jù)權(quán)限，運(yùn)營(yíng)的數(shù)據(jù)權(quán)限面向的群體是整個(gè)公司的數(shù)據(jù)消費(fèi)者，范圍就要更大，因此在功能上需要更加的靈活。但本質(zhì)上，這兩者都是對(duì)于數(shù)據(jù)訪問(wèn)權(quán)限的分配。

一、數(shù)據(jù)權(quán)限的跨產(chǎn)品打通

數(shù)據(jù)運(yùn)營(yíng)過(guò)程中數(shù)據(jù)的查詢，數(shù)據(jù)服務(wù)API，可視化的報(bào)表、大屏，都需要有權(quán)限限制，一個(gè)API能查哪些數(shù)據(jù)？一個(gè)報(bào)表、大屏能夠看到哪些數(shù)據(jù)？使用統(tǒng)一登陸的用戶身份本身就已經(jīng)申請(qǐng)了一些表權(quán)限，這些權(quán)限能不能在其他的產(chǎn)品中直接獲取對(duì)應(yīng)的權(quán)限，如果可以，如何做到的？如果不可以為什么要讓用戶反復(fù)申請(qǐng)權(quán)限？這個(gè)其實(shí)就是一個(gè)數(shù)據(jù)權(quán)限跨產(chǎn)品打通的問(wèn)題。

面對(duì)數(shù)據(jù)消費(fèi)者，一個(gè)平臺(tái)提供方的理想視角是，我提供了一次數(shù)據(jù)權(quán)限的授權(quán)，那么后續(xù)用戶在使用我平臺(tái)提供的其他產(chǎn)品的時(shí)候，都能夠自動(dòng)的獲取到對(duì)應(yīng)的數(shù)據(jù)權(quán)限，而不是用戶每到一個(gè)產(chǎn)品里，都需要在對(duì)應(yīng)的產(chǎn)品里面走一遍申請(qǐng)數(shù)據(jù)權(quán)限的流程。

舉個(gè)例子來(lái)說(shuō)，我在即席查詢中申請(qǐng)了一張表A的數(shù)據(jù)權(quán)限，審批通過(guò)之后。有用戶基于表A開發(fā)了一張報(bào)表，那么只需要對(duì)這張報(bào)表權(quán)限進(jìn)行設(shè)置就行了，而不需要再對(duì)表A進(jìn)行權(quán)限操作了。同理，基于表A開發(fā)了一個(gè)數(shù)據(jù)服務(wù)API，那么也是能夠自動(dòng)獲取相應(yīng)的數(shù)據(jù)權(quán)限的。

上面這是一種理想狀態(tài)，實(shí)際情況就要復(fù)雜不少了。不同產(chǎn)品中權(quán)限的開通授權(quán)流程不同。不同產(chǎn)品使用的底層數(shù)據(jù)存儲(chǔ)不同。不同產(chǎn)品的權(quán)限授權(quán)模型不同，等等。都讓上面的理想狀態(tài)顯的不那么現(xiàn)實(shí)。但是，我想說(shuō)的是，雖然道路是曲折的，但是目標(biāo)確實(shí)清洗明確的。我們只需要盡量往目標(biāo)上靠近。來(lái)最終打造一個(gè)圍繞元數(shù)據(jù)為中心的數(shù)據(jù)權(quán)限體系。（當(dāng)然，也有可能這條路是一條彎路，誰(shuí)知道那。）

二、權(quán)限分配上的限制

在數(shù)據(jù)運(yùn)營(yíng)部分的權(quán)限主要是數(shù)據(jù)的查詢權(quán)限。雖然，僅僅是查詢權(quán)限，但是復(fù)雜的點(diǎn)在于，權(quán)限的二次分配。

權(quán)限分配上的限制的話，需要轉(zhuǎn)換一個(gè)視角，數(shù)據(jù)平臺(tái)的數(shù)據(jù)開發(fā)者，或者說(shuō)主要的使用者是數(shù)據(jù)中臺(tái)部門的。這個(gè)部門在申請(qǐng)數(shù)據(jù)權(quán)限時(shí)，數(shù)據(jù)開發(fā)者可能會(huì)申請(qǐng)—?jiǎng)?chuàng)建、修改、刪除、查詢等權(quán)限，而在數(shù)據(jù)運(yùn)營(yíng)過(guò)程中的數(shù)據(jù)消費(fèi)者，對(duì)于數(shù)據(jù)中臺(tái)已經(jīng)加工好的表，只能申請(qǐng)查詢權(quán)限。

而且，在數(shù)據(jù)運(yùn)營(yíng)過(guò)程中的權(quán)限分配存在大量二次分配的場(chǎng)景，一個(gè)業(yè)務(wù)部門，部門數(shù)據(jù)相關(guān)同事申請(qǐng)了權(quán)限之后。在部門內(nèi)部希望做到二次分配，而又不能分配出部門。（其實(shí)開發(fā)的過(guò)程中也希望有類似的）。這就希望能夠和組織架構(gòu)進(jìn)行結(jié)合了。

能看到哪些，不能看到哪些？權(quán)限分配下去了，如何進(jìn)行在產(chǎn)品內(nèi)的權(quán)限二次分配。這些都是需要考慮的。和數(shù)據(jù)管理篇中【數(shù)據(jù)權(quán)限是個(gè)大問(wèn)題】中提到的RBAC模型不一定適用所有場(chǎng)景類似，相同的，在運(yùn)營(yíng)過(guò)程中的權(quán)限分配也不一定一個(gè)準(zhǔn)則適用全部場(chǎng)景，需要和內(nèi)部的用數(shù)流程，組織機(jī)構(gòu)等等相結(jié)合。

三、角色劃分

既然說(shuō)到權(quán)限的二次分配，就需要將權(quán)限分配給一個(gè)二級(jí)的管理員，讓二級(jí)的管理員在對(duì)應(yīng)的小組織內(nèi)部進(jìn)行二次權(quán)限分配。這個(gè)很重要，能夠減少平臺(tái)方大量的權(quán)限分配。但是，二級(jí)管理員分出去的權(quán)限也需要能夠可查看，可收回。

題外話：寫到角色劃分突然發(fā)現(xiàn)上面的一系列內(nèi)容都沒有涉及到功能和角色說(shuō)明的，這個(gè)在一個(gè)平臺(tái)內(nèi)也是很重要的。但是既然寫到這里了都沒有發(fā)現(xiàn)什么缺失的地方，而且在前言二里面也說(shuō)了平臺(tái)的使用用戶，一定程度上算是一個(gè)粗的角色劃分吧。暫時(shí)就不補(bǔ)這一部分了，后續(xù)有機(jī)會(huì)再添加吧。

四、總結(jié)

整個(gè)數(shù)據(jù)平臺(tái)最終目標(biāo)是支撐業(yè)務(wù)的。所以數(shù)據(jù)運(yùn)營(yíng)是一個(gè)很關(guān)鍵的部分，相當(dāng)于一個(gè)價(jià)值出口。運(yùn)營(yíng)過(guò)程中的權(quán)限則是這個(gè)出口的一個(gè)守門員。既要讓數(shù)據(jù)出去，又要讓數(shù)據(jù)安全的出去。