权限管理体系简介
权限体系组成
腾讯健康组学平台支持五种角色类型,每种角色拥有不同的权限,按照从高到低排序依次是:管理者、所有者、编写者、运行者和只读者。
腾讯健康组学平台以项目为中心进行权限划分,支持按照两种颗粒度分配权限:
为用户分配项目角色权限
为用户组分配项目角色权限
说明:
用户在项目中的实际授权为两种权限设置下的最高权限。例如,用户 A 属于用户组甲,管理者为用户 A 分配的角色权限为运行者,同时管理者为用户组甲整体分配的角色权限为编写者,此时用户 A 在项目内的实际授权取最高的一种,即编写者。
当用户属于多个用户组,而多个用户组对同一项目拥有不同角色权限类型时,该用户实际授权取最高权限。例如,用户 B 属于用户组甲和用户组乙,管理者为用户组甲整体分配的角色权限为编写者,为用户组乙整体分配的角色权限为运行者,此时用户 B 在项目内的实际授权取最高的一种,即编写者。
权限管理范围
资源类型 | 涉及操作权限 |
工作项目 | 项目的新增、查看、编辑、删除及权限修改 存储桶的绑定与解绑 应用的新增、设置、编辑、查看、运行、删除和版本发布 表格的新增、查看与删除 运行批次的查看、提前终止和重跑 |
镜像 | 命名空间管理 TCR 的关联和解除关联 仓库的新建、删除及镜像推送 分类便签的新建、修改和删除 查看和复制镜像地址 |
文件 | 项目桶的查看和删除 存储桶的查看、使用存储桶目录作为输入输出路径 项目和存储桶的绑定和解绑 |
项目权限
项目授权角色类型及其操作权限概览
项目授权角色类型及其操作权限可参考下表:
角色类型 | 描述 |
管理者 | 拥有所有项目最高权限 存储桶的绑定和解绑 计算环境的绑定和解绑 |
所有者 | 拥有本项目内最高权限 |
编写者 | 应用的查看、新增、编写、发布版本、运行 应用的删除(仅限自己创建的应用) 表格的新增和删除 |
运行者 | 应用发布版本的查看和运行 表格的新增、查看和删除 |
只读者 | 应用发布版本的查看 表格的查看 |
项目权限的查看和设置
腾讯健康组学平台支持管理者在控制台查看和设置项目权限,也支持项目所有者在腾讯健康组学平台网站上设置项目权限,在任一模块对同一用户/用户组完成权限设置后,会同步至另一模块,刷新后可切换至最新视图。
控制台查看和设置角色项目权限
登录控制台单击用户管理 > 用户,进入用户列表页,显示用户各维度信息。
如需要为某用户进行项目维度授权,在该用户所在行的最右列操作栏单击管理授权,可进入权限详情页查看和管理该用户的项目维度的角色授权。
在权限详情页,可查看该用户相关工作项目的授权角色,点击权限管理进入权限管理页,可管理角色在项目维度的授权。
权限管理页可对该用户进行项目维度的授权,可按类型和地域切换项目列表,类型支持“部分授权”和“为管理者”两种,地域支持广州、上海和北京。
组学平台网站设置角色项目权限
在腾讯健康组学平台上,项目所有者可以为项目成员进行授权。
1. 新建项目时授权
2. 为已有项目更改授权
点击项目右上角图标,进入项目设置,修改角色权限。
项目资源授权
管理者可以为项目进行资源授权,相关资源包括存储资源和运行环境资源。管理者通过为项目绑定存储桶和运行环境完成对项目的资源授权。
绑定存储桶
管理者拥有为项目绑定存储桶的权限。在新建项目阶段,管理者可直接为该项目指定需要绑定的存储桶。
创建完成后,点击项目右上角设置图标,显示项目设置弹窗,管理者也可以在此弹窗为项目绑定存储桶。
绑定运行环境
管理者拥有为项目绑定运行环境的权限。在新建项目阶段,管理者可直接为该项目指定需要绑定的存储桶。管理者也可以为已经创建的项目在项目设置中为该项目绑定运行环境。
应用权限
用户登录腾讯健康组学平台后,工作项目列表页仅显示已授权的项目。项目内部,不同角色拥有不同的操作权限。在应用内部,根据操作权限,应用编辑页面显示相应操作视图。项目应用级操作权限可参考下表:
角色类型 | 操作权限描述 |
管理者 | 新建、编辑、运行、删除应用、发布应用版本 查看时间轴编辑历史记录及版本记录 |
所有者 | 新建、编辑、运行、删除应用、发布应用版本 查看时间轴编辑历史记录及版本记录 |
编写者 | 新建、编辑、运行应用、发布应用版本 删除应用(仅限自己创建的应用) 查看时间轴编辑历史记录及版本记录 |
运行者 | 查看、运行应用发布版本 查看时间轴版本记录 |
只读者 | 查看应用发布版本 查看时间轴版本记录 |
表格权限
表格相关操作权限可参考下表:
角色类型 | 操作权限描述 |
管理者 | 新建、删除、查看表格 |
所有者 | 新建、删除、查看表格 |
编写者 | 新建、删除(仅限自己创建的表格)、查看表格 |
运行者 | 新建、删除(仅限自己创建的表格)、查看表格 |
只读者 | 查看表格 |
运行批次权限
任务投递成功后产生的任务运行批次相关操作权限可参考下表:
角色类型 | 操作权限描述 |
管理者 | 查看运行批次 提前终止、重跑运行批次 |
所有者 | 查看运行批次 提前终止、重跑运行批次 |
编写者 | 查看运行批次 提前终止、重跑运行批次(仅限自己投递的任务批次) |
运行者 | 查看运行批次 提前终止、重跑运行批次(仅限自己投递的任务批次) |
只读者 | 查看运行批次 |
用户组权限
用户组概述
用户组即用户成员分组,是腾讯健康组学平台提供的一种资源访问控制机制,支持管理者创建、维护和删除用户组,并将用户添加至组内,批量修改权限,让权限管理更便捷。
在生信分析场景中,用户组模式可以帮助管理者更好地进行项目授权。例如,您可以创建一个用户组,将所有参与特定项目的团队成员添加到该用户组中,然后为该用户组分配访问和操作项目所需的权限。这样,所有用户组成员都可以根据需要访问和操作项目,而无需单独为每个用户设置权限。
为用户组授权
切换至权限模块,点击权限管理,显示权限管理页面。
权限管理页显示各地域下的工作项目列表,为用户组进行角色授权。
其他模块权限管理
镜像管理权限
关联腾讯云容器镜像服务和解除关联权限
镜像仓库管理权限
镜像仓库管理权限可参考下表:
角色类型 | 操作权限描述 |
管理者 | 支持分类标签新建、修改、删除; 支持查看快速指令、查看镜像仓库列表中的仓库 支持复制镜像地址 支持删除镜像仓库 |
所有者 编写者 运行者 只读者 | 支持查看快速指令、查看镜像仓库列表中的仓库 支持复制镜像地址 |
文件管理权限
文件管理模块涉及存储桶、公共桶和项目桶三种类型,操作权限如下:
管理者关联存储桶后,用户可查看存储桶文件目录,管理者绑定项目后,项目成员可使用存储桶目录作为输入输出路径;
公共桶对平台所有用户开放;
项目桶对项目成员开放。
具体操作权限可参考下表:
角色类型 | 存储桶操作权限 | 公共桶操作权限 | 项目桶操作权限 |
管理者 | 支持关联、解除关联存储桶 支持绑定和解绑项目 支持查看 支持使用输入输出路径 | 支持查看 支持使用输入输出路径 | 支持查看、删除 |
所有者 | 支持查看 支持使用输入输出路径 | 支持查看 支持使用输入输出路径 | 支持查看、删除 |
编写者 | 支持查看 支持使用输入输出路径 | 支持查看 支持使用输入输出路径 | 支持查看 |
运行者 | 支持查看 支持使用输入输出路径 | 支持查看 支持使用输入输出路径 | 支持查看 |
只读者 | 仅查看 | 仅查看 | 仅查看 |