二、Looker權(quán)限管理的核心層級(jí)

在Looker中，權(quán)限管理分為三個(gè)關(guān)鍵層級(jí)，需根據(jù)企業(yè)需求逐層配置：

1. 用戶(hù)角色與權(quán)限組

Looker預(yù)設(shè)了Admin、Developer、User等基礎(chǔ)角色，同時(shí)支持自定義角色：

• 模型訪(fǎng)問(wèn)控制：限制用戶(hù)可見(jiàn)的數(shù)據(jù)模型（Model）和探索（Explore）
• 功能權(quán)限分配：如是否允許下載數(shù)據(jù)、創(chuàng)建儀表盤(pán)等
• 行級(jí)/列級(jí)權(quán)限：通過(guò)access_filter實(shí)現(xiàn)數(shù)據(jù)行過(guò)濾，或隱藏敏感字段

2. 數(shù)據(jù)連接權(quán)限

通過(guò)谷歌云服務(wù)賬號(hào)綁定，控制Looker與底層數(shù)據(jù)源（如BigQuery）的訪(fǎng)問(wèn)權(quán)限：

1. 在谷歌云IAM中為L(zhǎng)ooker服務(wù)賬號(hào)分配最小必要權(quán)限
2. 利用Looker的Connection設(shè)置隔離不同環(huán)境（生產(chǎn)/測(cè)試）

3. 內(nèi)容共享權(quán)限

通過(guò)Space和Folder實(shí)現(xiàn)儀表盤(pán)和報(bào)告的協(xié)作管理：

• 空間權(quán)限：設(shè)置空間管理員及成員編輯/查看權(quán)限
• 繼承機(jī)制：子文件夾自動(dòng)繼承父級(jí)權(quán)限設(shè)置