管理分析域资源权限
分析域资源权限用于理解用户进入某个分析域后,能够使用哪些表、文件、知识、指标和答案构建器,以及这些资源如何受到角色、域权限、字段配置和行级权限影响。
分析域的隔离作用
分析域本身就是一层治理边界。用户进入某个分析域后,Analytics Agent 会围绕该域内已经加入和配置的资源进行问答,而不是在系统中所有数据资产之间自由选择。
这种隔离对治理有直接意义:
| 隔离对象 | 治理意义 |
|---|---|
| 数据表 | 不同业务域只加入各自需要的表,减少跨业务误用数据。 |
| 文件 | 文档问答只围绕当前域文件展开,避免不同业务文档混用。 |
| 知识 | 业务术语和口径限定在当前域内,降低同名词在不同部门含义不同造成的歧义。 |
| 指标 | 财务、运营、销售可以维护各自指标口径,避免同名指标跨域混用。 |
| 答案构建器 | 复杂 SQL 模板限定在对应业务场景内复用,降低错误调用风险。 |
| 用户 | 只有加入该分析域的用户才能进入该域,形成业务访问边界。 |
因此,配置资源权限前,应先判断分析域划分是否合理。分析域划分过粗,会让过多表、指标和知识混在一起,增加问答误选和权限排查成本;分析域划分过细,则可能导致用户需要在多个域之间频繁切换。通常建议按稳定业务主题、数据使用人群和指标口径来划分分析域。
分析域中的资源
在分析域配置页的“数据”页中,可以配置以下资源:
| 资源 | 作用 |
|---|---|
| 表 | 结构化数据问答的基础。 |
| 指标 | 定义聚合口径,例如账户总数、活跃账户数。 |
| 复杂指标 / 答案构建器 | 封装复杂 SQL、动态维度、动态过滤和多指标输出。 |
| 知识 | 补充业务口径、同义词、解释文本。 |
| 文件 | 支持上传文档并进行文档问答。 |
这些资源共同决定一个分析域能回答什么问题。
资源加入域和资源授权的区别
“资源已经加入分析域”和“用户有权使用资源”不是同一件事。
| 配置 | 说明 |
|---|---|
| 资源加入域 | 表、文件、知识、指标、答案构建器出现在当前分析域中。 |
| 用户加入域 | 用户可以访问该分析域。 |
| 角色数据权限 | 用户所属角色是否可以查看或编辑对应资源类型。 |
| 字段和行级权限 | 用户在问答时能看到哪些字段、哪些数据行。 |
因此,排查资源不可用时,应同时检查:
- 资源是否已经加入当前分析域。
- 用户是否已经加入当前分析域。
- 用户角色是否有该资源类型的数据权限。
- 表字段是否被隐藏或语义配置不完整。
- 行级权限是否限制了数据范围。
表资源
表是结构化问答的核心资源。
实操中,添加表有三类入口:
- 导入表。
- 上传文件生成表。
- 选择已有表。
如果在导入表页面看到表已选但灰色,表示该表已经添加过或已经存在于系统中。此时应从“选择已有表”入口加入当前分析域。
表加入域后,还需要进入表详情页检查字段配置,包括:
- 字段别名。
- 字段描述。
- 列类型。
- 字段用途。
- 隐藏状态。
- 虚拟列。
- 索引。
- 表关联。
这些配置会影响问答选字段、生成过滤条件、选择维度和构造 SQL 的准确性。
文件资源
文件用于文档问答。
实操中,在“数据 > 文件”可以上传文件。页面提示支持:
.xlsx.txt.pdf
单文件大小限制为 10MiB。
文件上传后会进入导入或任务列表,处理完成后出现在分析域文件列表中。实操中,文件列表显示“共2个文件”,包含:
analytics-agent-file-qa-test.txtdata_dictionary.pdf
问答验证中,用户提问“根据上传文件,文档活跃账户是什么意思?”,系统使用了文档知识检索,记录中出现
search_document_knowledge如果文件已经加入分析域,不能重复加入。排查文件问答不可用时,应检查文件是否已处理完成并出现在域文件列表中。
知识资源
知识用于补充模型无法从字段名或表结构中直接理解的业务语义。
适合写入知识的内容包括:
- 专有名词。
- 同义词。
- 业务口径。
- 指标解释。
- 字段含义。
- 数据使用注意事项。
实操中创建过知识“测试知识_活跃用户口径_20260609”,用于说明活跃用户、当前活动用户数、活跃账户数都按
active_subscription = TRUE问答时,知识可能和文件一起被检索。对于业务口径问题,应优先检查知识是否存在、是否启用、名称和内容是否足够明确。
指标资源
指标用于定义稳定的聚合口径。
适合用指标配置的问题包括:
- 总数。
- 求和。
- 平均值。
- 最大值或最小值。
- 简单过滤后的聚合。
实操中创建过“活跃账户总数”,别名为“当前活动用户数”。当自然语言命中该口径时,系统会尝试使用指标计算;如果指标计算失败,可能回退到 SQL 生成。
排查指标不可用时,应检查:
- 指标是否属于当前分析域。
- 指标是否启用。
- 指标名称、别名、描述是否覆盖用户常见问法。
- 指标底表是否已加入当前分析域。
- 相关字段是否被隐藏或语义配置错误。
答案构建器资源
答案构建器用于封装复杂 SQL 模板,适合多指标、动态维度、动态过滤和多表关联场景。
实操中验证过两个答案构建器:
,使用测试答案构建器_活跃账户数_20260609
支持动态过滤。${filters}
,使用测试答案构建器_账户健康概览_20260609
和${dims}
支持动态分组和过滤。${filters}
问答中,用户可以通过自然语言触发:
- 按
分组。plan - 只看
。source = Google - 返回多个健康指标。
答案构建器的可用性受以下配置影响:
| 配置 | 影响 |
|---|---|
| SQL 模板 | 决定计算逻辑是否正确。 |
| 决定能否按自然语言筛选。 |
| 决定能否按自然语言分组。 |
| 过滤字段配置 | 决定哪些字段可用于动态过滤。 |
| 维度字段配置 | 决定哪些字段可用于动态分组。 |
| 输出字段配置 | 决定结果列如何被解释成指标。 |
| 角色数据权限 | 决定用户能否查看或编辑答案构建器资源。 |
角色数据权限对域资源的影响
在“授权管理 > 数据权限”中,可以按资源类型配置:
- 答案构建器
- 数据源
- 知识
- 表
- 文件
- 指标
这里配置的是角色层面的资源类型权限,不是在某个分析域内对单个资源逐项授权。用户是否能在某个分析域中使用相关资源,还需要同时看用户是否已加入该分析域,以及资源是否已加入该分析域。
每类资源都有“全部数据”选项。勾选后可以选择动作:
- 可查看
- 可编辑
这意味着同一分析域中,不同角色可能对同类资源拥有不同权限。例如,业务用户只拥有指标和答案构建器的可查看权限,域维护人员拥有可编辑权限。
推荐配置方式
| 用户类型 | 推荐资源权限 |
|---|---|
| 业务查看用户 | 表、文件、知识、指标、答案构建器可查看。 |
| 域维护人员 | 表、知识、指标、答案构建器可编辑;文件按需要可编辑。 |
| 系统管理员 | 可管理角色、用户、审计日志、模型配置和各类资源。 |
不建议让所有用户都拥有可编辑权限。指标、答案构建器和知识一旦被误改,会直接影响问答结果。
资源权限排查清单
当用户反馈“问不到某个数据”或“结果和预期不一致”时,按以下顺序排查:
- 用户是否已加入目标分析域。
- 用户角色是否有对应资源类型的可查看权限。
- 表、文件、知识、指标或答案构建器是否已加入当前分析域。
- 表字段是否被隐藏。
- 字段别名、描述、用途、列类型是否足够清晰。
- 行级权限是否限制了该用户的数据范围。
- 问答记录是否命中了正确的知识、指标或答案构建器。
- 审计日志中近期是否有人修改过相关资源。