在 Vault 中,权限集是将权限组合在一起的一种方式。然后,安全配置文件或用户角色使用权限集来授予或限制用户对某些功能的访问,特别是系统管理功能,例如用户管理或对象记录创建功能。例如,应用于 IT 管理员安全配置文件的权限集允许具有该配置文件的用户管理用户和组,但不能管理研究和结构。
访问权限集配置
要配置权限集,您必须具有管理:权限集:读取、创建、编辑和删除权限。
拥有相应的访问权限时,您可以从管理 > 用户和组 > 权限集管理权限集。
注意:您只能授予自己也有的权限。例如,如果您没有任何 Vault 所有者操作节段权限,则编辑权限集时无法打开这些权限。
关于“所有”权限
在整个权限集配置中,有所有配置和所有审计等权限。授予这些权限时,会向用户授予其下的所有权限。但其工作方式与直接选择每个子权限有所不同。如果 Vault 的未来版本向某个区域添加新权限,具有“所有”权限的权限集将自动选择这些新权限。
关于权限依赖关系
授予特定权限时,会自动授予附加权限。编辑时,对于这些依赖权限而言,只要选择了其控制权限,其就会显示为灰色。
例如,当您授予 Web 操作:删除权限时,会自动授予Web 操作:编辑权限。
关于用户角色权限
作为安全配置文件旁边的附加访问层,您可以选择向用户记录授予用户角色权限。这样可以简化安全配置文件的复杂配置。有关更多信息,请参阅管理用户角色权限。
管理员权限
使用通过权限集和安全配置文件分配的权限来控制对管理员类型功能的访问。以下节段与权限集页面的管理标签页上的标题相一致。
请注意,除了许可证类型、安全配置文件、用户角色和权限集之外,某些访问权限受域管理员用户设置控制。
配置
| 权限 | 访问详情 |
|---|---|
| 配置:所有配置 | 授予所有“配置”权限;下面将介绍各个权限。 |
| 配置:所有配置读取 | 在“配置”中授予所有“读取”权限;下面将介绍各个权限。 |
| 电子邮件设置:读取 | 授予对配置 > 电子邮件设置页面的只读权限 |
| 电子邮件设置:编辑 | 授予对配置 > 电子邮件设置页面的编辑权限 |
| 电子邮件通知状态:已读 | 授予对操作 > 电子邮件通知状态页面的权限 |
| 登录消息:读取 | 授予对配置 > 登录消息页面的只读权限 |
| 登录消息:编辑 | 授予对配置 > 登录消息页面的编辑权限 |
| 业务管理员菜单:读取 | 此权限已禁用。尽管它出现在 UI 中,但它不会控制对 Vault 任何部分的访问。 |
| 业务管理员菜单:编辑 | 此权限已禁用。尽管它出现在 UI 中,但它不会控制对 Vault 任何部分的访问。 |
| 选项列表:读取 | 授予对业务管理员 > 选项列表页面的只读权限 |
| 选项列表:编辑 | 授予对业务管理员 > 选项列表页面的编辑权限 |
| 标签:读取 | 授予对配置 > 文档标签页面的只读权限。 |
| 标签:编辑 | 授予对配置 > 文档标签页面的编辑权限。 |
| 用户帐户电子邮件:读取 | 授予对配置 > 用户帐户电子邮件页面的只读权限 |
| 用户帐户电子邮件:编辑 | 授予对配置 > 用户帐户电子邮件页面的编辑权限 |
| 生命周期颜色:读取 | 授予对配置 > 生命周期颜色页面的只读权限 |
| 生命周期颜色:编辑 | 授予对配置 > 生命周期颜色页面的编辑权限 |
| 页面:读取 | 授予对配置 > 页面的只读权限 |
| 页面:编辑 | 授予对配置 > 页面的编辑权限 |
| 可搜索对象字段:读取 | 授予对配置 > 可搜索对象页面的只读权限 |
| 可搜索对象字段:编辑 | 授予对配置 > 可搜索对象页面的编辑权限 |
| 标签页:读取 | 授予对配置 > 标签页页面的只读权限 |
| 标签页:创建 | 授予在配置 > 标签页页面中创建新的标签页的能力 |
| 标签页:编辑 | 授予在配置 > 标签页页面中编辑现有标签页的能力 |
| 标签页:删除 | 授予在配置 > 标签页页面中删除现有标签页的能力 |
| 文档 Web 操作:读取 | 授予对配置 > Web 操作页面的只读权限 |
| 文档 Web 操作:创建 | 授予在配置 > Web 操作页面中创建新的 Web 操作的能力 |
| 文档 Web 操作:编辑 | 授予在配置 > Web 操作页面中编辑现有 Web 操作的能力 |
| 文档 Web 操作:删除 | 授予在配置 > Web 操作页面中删除 Web 操作的能力 |
| 对象 Web 操作:读取 | 授予对配置 > 对象 Web 操作页面的只读权限 |
| 对象 Web 操作:创建 | 授予在配置 > 对象 Web 操作页面中创建新操作的能力 |
| 对象 Web 操作:编辑 | 授予在配置 > 对象 Web 操作页面中编辑现有操作的能力 |
| 对象 Web 操作:删除 | 授予在配置 > 对象 Web 操作页面中删除操作的能力 |
| 文档类型:读取 | 授予对配置 > 文档类型页面的只读权限 |
| 文档类型:创建 | 授予在配置 > 文档类型页面中创建新的文档类型、子类型和类别的能力 |
| 文档类型:编辑 | 授予在配置 > 文档类型页面中编辑现有文档类型、子类型和类别的能力 |
| 文档类型:删除 | 授予在配置 > 文档类型页面中删除文档类型、子类型和类别的能力 |
| 文档字段:读取 | 授予对配置 > 文档字段页面的只读权限 |
| 文档字段:创建 | 授予在配置 > 文档字段页面中创建新的文档字段的能力 |
| 文档字段:编辑 | 授予在配置 > 文档字段页面中编辑现有文档字段的能力 |
| 文档字段:删除 | 授予在配置 > 文档字段页面中删除文档字段的能力 |
| 字段依赖关系:读取 | 授予对配置 > 字段依赖关系页面的只读权限 |
| 字段依赖关系:创建 | 授予在配置 > 文档字段页面中创建字段依赖关系的能力 |
| 字段依赖关系:编辑 | 授予在配置 > 文档字段页面中编辑现有字段依赖关系的能力 |
| 字段依赖关系:删除 | 授予在配置 > 文档字段页面中删除字段依赖关系的能力 |
| 字段布局:读取 | 授予对配置 > 字段布局页面的只读权限 |
| 字段布局:创建 | 授予在配置 > 文档字段页面中创建新的字段布局的能力 |
| 字段布局:编辑 | 授予在配置 > 文档字段页面中编辑现有字段布局的能力 |
| 字段布局:删除 | 授予在配置 > 文档字段页面中删除字段布局的能力 |
| 文档生命周期:读取 | 授予对配置 > 文档生命周期的只读权限,包括所有子页面(生命周期、状态等) |
| 文档生命周期:创建 | 授予在配置 > 文档生命周期中创建新项的能力,包括生命周期、生命周期状态和工作流 |
| 文档生命周期:编辑 | 授予在配置 > 文档生命周期中编辑现有项的能力,包括生命周期、生命周期状态和工作流 |
| 文档生命周期:删除 | 授予在配置 > 文档生命周期中删除现有项的能力,包括生命周期、生命周期状态和工作流 |
| 对象生命周期:读取 | 授予对配置 > 对象生命周期的只读权限,包括所有子页面(生命周期、状态等) |
| 对象生命周期:创建 | 授予在配置 > 对象生命周期中创建新项的能力,包括生命周期、生命周期状态等 |
| 对象生命周期:编辑 | 授予在配置 > 对象生命周期中编辑现有项的能力,包括生命周期、生命周期状态等 |
| 对象生命周期:删除 | 授予在配置 > 对象生命周期中删除现有项的能力,包括生命周期、生命周期状态等 |
| 对象工作流:读取 | 授予对配置 > 对象工作流的只读权限 |
| 对象工作流:创建 | 授予在配置 > 对象工作流中创建新的工作流的能力 |
| 对象工作流:编辑 | 授予在配置 > 对象工作流中编辑现有工作流的能力 |
| 对象工作流:删除 | 授予在配置 > 对象工作流中删除现有工作流的能力 |
| 文档消息:读取 | 授予对配置 > 文档消息的只读权限 |
| 文档消息:创建 | 授予在配置 > 文档消息中创建新消息的能力 |
| 文档消息:编辑 | 授予在配置 > 文档消息中编辑现有消息的能力 |
| 文档消息:删除 | 授予在配置 > 文档消息中删除现有消息的能力 |
| 对象消息:读取 | 授予对配置 > 对象消息的只读权限 |
| 对象消息:创建 | 授予在配置 > 对象消息中创建新消息的能力 |
| 对象消息:编辑 | 授予在配置 > 对象消息中编辑现有消息的能力 |
| 对象消息:删除 | 授予在配置 > 对象消息中删除现有消息的能力 |
| 对象:读取 | 授予对配置 > 对象的只读权限 |
| 对象:创建 | 授予在配置 > 对象中创建新对象的能力 |
| 对象:编辑 | 授予在配置 > 对象中编辑现有对象的能力 |
| 对象:删除 | 授予在配置 > 对象中删除现有对象的能力 |
| 叠加图:读取 | 授予对业务管理员 > 叠加图的只读权限 |
| 叠加图:创建 | 授予在业务管理员 > 叠加图中创建新的叠加图模板的能力 |
| 叠加图:编辑 | 授予在业务管理员 > 叠加图中编辑现有叠加图模板的能力 |
| 叠加图:删除 | 授予在业务管理员 > 叠加图中删除现有叠加图模板的能力 |
| 格式副本类型:读取 | 授予对配置 > 格式副本类型的只读权限 |
| 格式副本类型:创建 | 授予在配置 > 格式副本类型中创建新的格式副本类型的能力 |
| 格式副本类型:编辑 | 授予在配置 > 格式副本类型中编辑现有格式副本类型的能力 |
| 格式副本类型:删除 | 授予在配置 > 格式副本类型中删除现有格式副本类型的能力 |
| 报告类型:读取 | 授予对配置 > 报告类型的只读权限 |
| 报告类型:创建 | 授予在配置 > 报告类型中创建新的报告类型的能力 |
| 报告类型:编辑 | 授予在配置 > 报告类型中编辑现有报告类型的能力 |
| 报告类型:删除 | 授予在配置 > 报告类型中删除现有报告类型的能力 |
| 签名页和封面:读取 | 授予对业务管理员 > 签名页和封面的只读权限 |
| 签名页和封面:创建 | 授予在业务管理员 > 签名页和封面中创建新的签名页模板的能力 |
| 签名页和封面:编辑 | 授予在业务管理员< > 签名页和封面中编辑现有签名页模板的能力 |
| 签名页和封面:删除 | 授予在业务管理员 > 签名页和封面中删除现有签名页模板的能力 |
| 格式化输出记录:读取 | 授予对业务管理员 > 格式化输出的只读权限 |
| 格式化输出记录:创建 | 授予在业务管理员 > 格式化输出中创建新的格式化输出的能力 |
| 格式化输出记录:编辑 | 授予在业务管理员 > 格式化输出中编辑现有格式化输出的能力 |
| 格式化输出记录:删除 | 授予在业务管理员 > 格式化输出中删除现有格式化输出的能力 |
| 模板:读取 | 授予对业务管理员 > 文档和活页夹的只读权限 |
| 模板:创建 | 授予在业务管理员 > 文档和活页夹中创建新的文档或活页夹模板的能力 |
| 模板:编辑 | 授予在业务管理员 > 文档和活页夹中编辑现有文档或活页夹模板的能力 |
| 模板:删除 | 授予在业务管理员 > 文档和活页夹中删除现有文档或活页夹模板的能力 |
| 日志:所有审计 | 授予在管理 > 日志中查看所有审计历史记录的能力 |
| 日志:系统审计 | 授予在管理 > 日志中查看系统审计历史记录的能力 |
| 日志:登录审计 | 授予在管理 > 日志中查看登录审计历史记录的能力 |
| 日志:文档审计 | 授予在管理 > 日志中查看文档审计历史记录的能力 |
| 日志:对象记录审计 | 授予在管理 > 日志中查看对象记录审计历史记录的能力 |
| 日志:域审计 | 授予在管理 > 日志中查看域审计历史记录的能力 |
| 日志:Vault Java SDK 日志 | 授予在管理 > 日志中查看Vault Java SDK 日志的能力,例如调试日志和运行时日志。 |
| 日志:API 使用 | 授予在管理 > 日志中查看 API 使用日志的能力 |
| 日志:Collab Auth 错误日志 | 授予在管理 > 日志中查看协同创作错误日志的能力 |
| Spark 队列:读取 | 授予对 连接 > Spark 队列中的 Spark 队列的只读权限 |
| Spark 队列:创建 | 授予在连接 > Spark 队列中创建 Spark 队列的能力 |
| Spark 队列:编辑 | 授予在连接 > Spark 队列中编辑现有 Spark 队列的能力 |
| Spark 队列:删除 | 授予在连接 > Spark 队列中删除 Spark 队列的能力 |
| Spark 队列:队列日志 | 授予在管理 > 日志中查看 Spark 队列日志的能力 |
| Vault Java SDK:读取 | 授予对使用 Vault Java SDK 的组件的读取权限 |
| Vault Java SDK:创建 | 授予对使用 Vault Java SDK 的组件的创建权限 |
| Vault Java SDK:编辑 | 授予对使用 Vault Java SDK 的组件的编辑权限 |
| Vault Java SDK:删除 | 授予对使用 Vault Java SDK 的组件的删除权限 |
| Vault 令牌;读取 | 授予使用 MDL 查看Vaulttoken记录的能力。 |
| Vault 令牌;创建 | 授予使用 MDL 创建Vaulttoken记录的能力。 |
| Vault 令牌;编辑 | 授予使用 MDL 更改Vaulttoken记录的能力。 |
| Vault 令牌;删除 | 授予使用 MDL 拖放Vaulttoken记录的能力。 |
| 入站电子邮件地址:读取 | 授予对配置 > 入站电子邮件地址的只读权限 |
| 入站电子邮件地址:创建 | 授予在配置 > 入站电子邮件地址中创建新地址的能力 |
| 入站电子邮件地址:编辑 | 授予在配置 > 入站电子邮件地址中编辑现有地址的能力 |
| 入站电子邮件地址:删除 | 授予在配置 > 入站电子邮件地址中删除现有地址的能力 |
| 入站电子邮件地址:电子邮件日志 | 授予在管理 > 日志中查看电子邮件日志的能力 |
| 入站电子邮件地址:重新处理电子邮件 | 授予使用重新处理电子邮件用户操作的能力 |
| 入站电子邮件地址:删除电子邮件 | 授予使用删除电子邮件用户操作的能力 |
域管理
注意:授予以下权限时要仔细考量,因为这些权限允许控制多 Vault 域中的所有 Vault。请注意,除了这些权限之外,用户还必须具有域管理员设置。
| 权限 | 访问详情 |
|---|---|
| 域管理:所有域管理 | 授予与域管理相关的所有权限 |
| 域管理:所有域管理读取 | 授予对所有域管理区域的只读权限 |
| 域管理:重置所有密码 | 授予重置所有用户密码的权限。 |
| 域信息:读取 | 授予对设置 > 域信息的只读权限 |
| 域信息:编辑 | 授予对设置 > 域信息的编辑权限 |
| SSO 设置:读取 | 授予对设置 > SAML 配置文件的只读权限 |
| SSO 设置:编辑 | 授予对设置 > SAML 配置文件的编辑权限 |
| 安全策略:读取 | 授予对设置 > 安全策略的只读权限 |
| 安全策略:创建 | 授予在设置 > 安全策略中创建新的安全策略的权限 |
| 安全策略:编辑 | 授予在设置 > 安全策略中编辑现有安全策略的权限 |
| 网络访问规则:读取 | 授予对设置 > 网络访问规则的只读权限 |
| 网络访问规则:创建 | 授予在设置 > 网络访问规则中创建新的网络访问规则的权限 |
| 网络访问规则:编辑 | 授予在设置 > 网络访问规则中编辑现有网络访问规则的权限 |
| 网络访问规则:删除 | 授予在设置 > 网络访问规则中删除现有网络访问规则的权限 |
操作
| 权限 | 访问详情 |
|---|---|
| 操作:所有操作 | 授予作业调度程序和格式副本状态的所有权限 |
| 操作:所有操作读取 | 授予对操作标签页的所有区域的只读权限 |
| 作业:读取 | 授予对操作 > 作业定义的只读访问权限 |
| 作业:创建 | 授予创建新的作业定义的能力 |
| 作业:编辑 | 授予编辑现有作业定义的能力 |
| 作业:删除 | 授予删除作业定义的能力 |
| 作业:交互 | 授予管理计划作业实例的能力(开始、停止、取消等) |
| 格式副本:读取 | 授予对操作 > 格式副本状态的只读访问权限 |
| SDK 作业队列:读取 | 授予对操作 > SDK 作业队列中的 SDK 作业队列的只读权限 |
| SDK 作业队列:创建 | 授予在操作 > SDK 作业队列中创建 SDK 作业队列的能力 |
| SDK 作业队列:编辑 | 授予在操作 > SDK 作业队列中编辑 SDK 作业队列的能力 |
| SDK 作业队列:删除 | 授予在操作 > SDK 作业队列中删除 SDK 作业队列的能力 |
安全
| 权限 | 访问详情 |
|---|---|
| 安全:所有安全管理 | 授予所有“安全”权限;下面将介绍各个权限。 |
| 安全:所有安全管理读取 | 在“安全”中授予所有“读取”权限;下面将介绍各个权限。 |
| 安全设置:读取 | 授予对设置 > 安全设置的只读访问权限 |
| 安全设置:编辑 | 授予对设置 > 安全设置的编辑访问权限 |
| 用户:读取 | 授予对用户和组 > Vault 用户的只读访问权限 |
| 用户:创建 | 授予从用户和组 > Vault 用户中的其他 Vault 创建新用户或添加用户的访问权限 |
| 用户:编辑 | 授予从用户和组 > Vault 用户编辑现有用户的访问权限 |
| 用户:分配组 | 授予从用户和组 > Vault 用户将用户分配到组的访问权限 |
| 用户:授予支持登录 | 授予从用户和组 > Vault 用户向特定用户提供 Vault 支持用户帐户访问权限的权限 |
| 用户:授权管理 | 授予从用户和组 > Vault 用户向其他用户的帐户提供授权访问权限的权限 |
| 用户:添加跨域用户 | 授予从用户和组 > Vault 用户添加跨域用户的权限 |
| 用户:管理用户对象 | 授予创建、修改和添加用户对象记录的能力。 |
| 组:读取 | 授予对用户和组 > 组的只读访问权限 |
| 组:创建 | 授予从用户和组 > 组创建新组的能力 |
| 组:编辑 | 授予从用户和组 > 组编辑现有组的能力 |
| 组:删除 | 授予从用户和组 > 组删除现有组的能力 |
| 组:分配用户 | 授予从用户和组 > 组将用户分配到组的能力 |
| 安全配置文件:读取 | 授予对配置 > 安全配置文件的只读访问权限 |
| 安全配置文件:创建 | 授予从配置 > 安全配置文件创建新的安全配置文件的能力 |
| 安全配置文件:编辑 | 授予从配置 > 安全配置文件编辑现有安全配置文件的能力 |
| 安全配置文件:删除 | 授予从配置 > 安全配置文件删除现有安全配置文件的能力 |
| 安全配置文件:分配用户 | 授予从用户和组 > 安全配置文件向安全配置文件分配用户的能力;请注意,您还必须至少具有与安全配置文件关联的权限相同的权限才能分配用户。 |
| 权限集:读取 | 授予对配置 > 权限集的只读访问权限 |
| 权限集:创建 | 授予从配置 > 安全配置文件创建新的权限集的能力 |
| 权限集:编辑 | 授予从配置 > 安全配置文件编辑现有权限集的能力 |
| 权限集:删除 | 授予从配置 > 安全配置文件删除现有权限集的能力 |
设置
| 权限 | 访问详情 |
|---|---|
| 安全:所有安全管理 | 授予所有“安全”权限;下面将介绍各个权限。 |
| 安全:所有安全管理读取 | 在“安全”中授予所有“读取”权限;下面将介绍各个权限。 |
| 安全设置:读取 | 授予对设置 > 安全设置的只读访问权限 |
| 安全设置:编辑 | 授予对设置 > 安全设置的编辑访问权限 |
| 用户:读取 | 授予对用户和组 > Vault 用户的只读访问权限 |
| 用户:创建 | 授予从用户和组 > Vault 用户中的其他 Vault 创建新用户或添加用户的访问权限 |
| 用户:编辑 | 授予从用户和组 > Vault 用户编辑现有用户的访问权限 |
| 用户:分配组 | 授予从用户和组 > Vault 用户将用户分配到组的访问权限 |
| 用户:授予支持登录 | 授予从用户和组 > Vault 用户向特定用户提供 Vault 支持用户帐户访问权限的权限 |
| 用户:授权管理 | 授予从用户和组 > Vault 用户向其他用户的帐户提供授权访问权限的权限 |
| 用户:添加跨域用户 | 授予从用户和组 > Vault 用户添加跨域用户的权限 |
| 用户:管理用户对象 | 授予创建、修改和添加用户对象记录的能力。 |
| 组:读取 | 授予对用户和组 > 组的只读访问权限 |
| 组:创建 | 授予从用户和组 > 组创建新组的能力 |
| 组:编辑 | 授予从用户和组 > 组编辑现有组的能力 |
| 组:删除 | 授予从用户和组 > 组删除现有组的能力 |
| 组:分配用户 | 授予从用户和组 > 组将用户分配到组的能力 |
| 安全配置文件:读取 | 授予对配置 > 安全配置文件的只读访问权限 |
| 安全配置文件:创建 | 授予从配置 > 安全配置文件创建新的安全配置文件的能力 |
| 安全配置文件:编辑 | 授予从配置 > 安全配置文件编辑现有安全配置文件的能力 |
| 安全配置文件:删除 | 授予从配置 > 安全配置文件删除现有安全配置文件的能力 |
| 安全配置文件:分配用户 | 授予从用户和组 > 安全配置文件向安全配置文件分配用户的能力;请注意,您还必须至少具有与安全配置文件关联的权限相同的权限才能分配用户。 |
| 权限集:读取 | 授予对配置 > 权限集的只读访问权限 |
| 权限集:创建 | 授予从配置 > 安全配置文件创建新的权限集的能力 |
| 权限集:编辑 | 授予从配置 > 安全配置文件编辑现有权限集的能力 |
| 权限集:删除 | 授予从配置 > 安全配置文件删除现有权限集的能力 |
部署
| 权限 | 访问详情 |
|---|---|
| 迁移数据包:创建 | 授予从管理 > 部署创建新的出站配置迁移数据包的能力 |
| 迁移数据包:部署 | 授予从管理 > 部署部署配置迁移数据包的能力 |
| 环境:Vault 配置报告 | 授予从管理 > 部署运行 Vault 配置报告的能力 |
| 环境:Vault 比较 | 授予从管理 > 部署使用 Vault Compare 的能力 |
| 沙盒:读取 | 授予在管理 > 部署 > 沙盒 Vault 页面中查看沙盒的能力 |
| 沙盒:创建 | 授予在管理 > 部署 > 沙盒 Vault 页面中创建沙盒的能力。还授予构建预生产 Vault 并将其提升为生产 Vault 的能力。 |
| 沙盒:编辑 | 授予在管理 > 部署 > 沙盒 Vault 页面中编辑和刷新沙盒的能力 |
| 沙盒:删除 | 授予在管理 > 部署 > 沙盒 Vault 页面中删除和刷新沙盒的能力 |
应用程序权限
使用通过权限集和安全配置文件分配的权限来控制对特定 Vault 区域功能的访问。以下节段与权限集页面的应用程序标签页中的标题相一致。
向操作应用三层安全。首先,您必须具有允许该操作的许可证类型。例如,只读用户许可证类型不允许访问报告。其次,您必须具有授予正确权限的权限集。例如,您需要具有读取信息板和报告权限才能查看任何信息板。第三,对于文档操作,您必须具有基于文档角色的正确权限。例如,即使使用授予批量更新权限的权限集,您也需要对尝试更新的任何文档具有编辑字段权限才能执行批量文档字段编辑。
Vault 操作
| 权限 | 访问详情 |
| Vault 操作:所有 Vault 操作 | 授予所有“Vault 操作”权限;参阅下文了解各个权限的详细信息。 |
| 信息板和报告:所有 | 授予所有“信息板”权限;参阅下文了解各个权限的详细信息。 |
| 信息板和报告:读取信息板和报告 | 授予运行其他用户与您共享的任何报告的权限。 |
| 信息板和报告:创建信息板 | 授予创建新的信息板和编辑您创建的或其他用户已授予您编辑者角色的任何信息板的权限。 |
| 信息板和报告:删除信息板 | 授予删除自己的信息板或其他用户已授予您编辑者角色的信息板的权限。 |
| 信息板和报告:共享信息板 | 授予在您创建的信息板或其他用户已授予您编辑者角色的信息板上使用共享操作的权限。 |
| 信息板和报告:安排报告 | 授予使用安排操作安排简报的权限。 |
| 信息板和报告:管理员信息板 | 授予查看和编辑所有信息板的权限,包括由未共享信息板的其他用户创建的信息板;请注意,使用此权限,用户可以共享并删除其他用户的信息板。 |
| 信息板和报告:显示 API 名称信息板 | 授予查看信息板的 API 名称的权限。 |
| 信息板和报告:读取组成员资格 | 授予查看包含用户和组的报告的权限。 |
| 工作流:所有工作流 | 授予所有“工作流”权限;参阅下文了解各个权限的详细信息。请注意,不包括“工作流管理”权限。 |
| 工作流:启动 | 授予启动工作流的权限。 |
| 工作流:参与 | 授予参与工作流的权限。还授予使用 VQL 查询工作流数据的权限。在开发者文档中了解更多信息。 |
| 工作流:阅读并了解 | 授予参与“已阅读并了解”工作流的权限。 |
| 工作流:电子签名 | 授予在工作流中提供电子签名的权限。 |
| 工作流:查询 | 授予使用 VQL 查询工作流数据的权限。在开发者文档中了解更多信息。 |
| 工作流管理:所有工作流管理 | 授予所有“工作流管理”权限;参阅下文了解各个权限的详细信息。请注意,不包括“工作流”权限。 |
| 工作流管理:取消 | 授予取消您看到的任何工作流的权限,即使您不是工作流所有者也可以执行此操作。如果您的 Vault 对活动工作流操作使用原子安全,则用户必须拥有此权限并能够通过原子安全进行访问。 |
| 工作流管理:查看活动 | 授予在 Quality Vault 中非最新文档版本的文档上,查看处于活动状态的所有“已阅读并了解”工作流的权限,包括您未参与的工作流。 |
| 工作流管理:重新分配 | 授予重新分配当前分配给其他用户的工作流任务的权限,即使您不是工作流所有者也可以执行此操作。如果您的 Vault 对活动工作流操作使用原子安全,则用户必须拥有此权限并能够通过原子安全进行访问。 |
| 工作流管理:更新参与者 | 授予将参与者添加到工作流的权限,即使您不是工作流所有者也可以执行此操作。如果您的 Vault 对活动工作流操作使用原子安全,则用户必须拥有此权限并能够通过原子安全进行访问。 |
| 工作流管理:向参与者发送电子邮件 | 授予向工作流参与者发送电子邮件的权限,即使您不是工作流所有者也可以执行此操作。如果您的 Vault 对活动工作流操作使用原子安全,则用户必须拥有此权限并能够通过原子安全进行访问。了解管理活动文档工作流或管理活动对象工作流的更多信息。 |
| 工作流管理:更新工作流日期 | 授予更新所有工作流日期或特定任务到期日期的权限,即使您不是工作流所有者也可以执行此操作。如果您的 Vault 对活动工作流操作使用原子安全,则用户必须拥有此权限并能够通过原子安全进行访问。 |
| 工作流管理:替换工作流所有者 | 授予替换活动工作流上的工作流所有者的权限。 |
| API:所有 API | 授予所有“API”权限;参阅下文了解各个权限的详细信息。 |
| API:访问 API | 授予完成 API 调用的基本权限。 |
| API:事件 API | 授予对事件 API 的访问权限,在具有 CLM 集成的 PromoMats Vault 中使用这些 API。 |
| API:元数据 API | 授予对元数据 API 的访问权限。 |
| 交叉链接:创建交叉链接 | 授予创建交叉链接文档的能力(如果在 Vault 中此功能可用)。 |
| 查看者管理:管理标签 | 授予管理注释标签的能力。 |
| 查看者管理:合并锚点 | 授予合并文档链接锚点的能力。 |
| 查看者管理:删除注释 | 授予删除另一名用户从其他版本迁移的注释的能力 |
| 查看者管理:管理锚点 | 授予提取锚点的能力。提取锚点没有入站引用。此权限还授予移动和删除没有入站引用的任何锚点的能力,以及编辑任何锚点的名称的能力。 |
| 文档:取消签出 | 授予对其他用户已签出的文档取消签出(使用撤销签出操作)的能力;请注意,您还必须对文档具有基于角色的编辑文档权限才能执行此操作。如果文档所有者拥有编辑文档的基于角色的权限,则可随时取消签出。 |
| 文档:下载格式文档 | 授予下载文档源文件的权限;注意:为执行该操作,您必须拥有适当的基于角色的文档权限。此权限无法控制对签出操作或导出活页夹操作的访问。 |
| 文档:下载格式副本 | 授予下载文档格式副本的能力,包括可视格式副本和带注释的 PDF;如果没有此权限,您也无法使用导出注释操作。注意:为执行该操作,您必须拥有适当的基于角色的文档权限。此权限无法控制对导出活页夹操作的访问。 |
| 文档:批量删除 | 授予执行批量文档删除的能力;请注意,您还需要具有基于文档角色的正确权限才能删除文档。 |
| 文档:批量更新 | 授予执行批量文档更新的能力;请注意,您还需要具有基于文档角色的正确权限才能更新文档。 |
| 文档:始终允许未分类 | 授予创建未分类文档的能力,即使对任何文档类型没有文档创建权限也可以执行此操作,但拥有只读许可证类型的用户除外。自动允许对任何文档类型具有创建文档权限的用户创建未分类文档,无论此权限如何。 |
| 文档:Vault 文件管理器 | 授予使用“签出到文件管理器”操作或“文档签出”批量操作将文档签出到 Vault 文件管理器的能力。 |
| 文档:下载不受保护的格式副本 | 授予无需应用 Vault 配置的任何安全设置或 Vault 保护即可下载可视格式副本的能力。 |
| 对象:批量操作 | 授予执行批量对象记录更新的能力;请注意,您还需要具有基于对象角色的正确权限才能更新对象记录。 |
| XEVMPD/XEVPRM:XEVMPD 批量更新 | 授予批量更新医药产品数据的能力。 |
| XEVMPD/XEVPRM:XEVPRM 批量提交 | 授予在执行 XEVMPD 批量更新之后生成 XEVPRM 并将 XML 提交给 EMA 的能力。 |
| 用户:允许作为授权对象 | 授予允许通过授权访问功能将用户选为授权对象的权限。 |
| 用户:查看用户信息 | 授予查看此 Vault 中其他用户的名称和标识信息以及使用作为链接发送操作的能力。没有此权限的用户只能看到共享同一电子邮件域的其他用户的姓名和识别详细信息。例如,Teresa 的邮箱为 tibanez@veepharm.com,可以看到所有 @veepharm.com 用户的用户信息,但看不到 @medi-review.com 用户的用户信息。 |
| 用户:查看用户配置文件 | 授予查看其自己的用户配置文件以及在用户下拉菜单中查看“用户配置文件”选项的能力。 |
| 搜索:管理归档 | 授予管理搜索归档的能力;请注意,这也会授予查看归档权限。 |
| 搜索:词语建议 | 授予查看搜索词建议的能力。搜索词建议不受任何其他权限的影响。例如,即使用户无权访问“Cholecap”产品,他们也会看到“cholecap”的搜索词建议。 |
| 搜索:用户筛选器 | 授予在搜索文档或对象记录时查看用户引用字段筛选器(例如“创建者”和“上次修改者”)的能力。当 CRO 想要隐藏用户信息时,通常会对应用于发起人的安全配置文件禁用此设置。 |
| 搜索:查看归档 | 授予查看归档中的文档的能力;请注意,您还需要具有基于文档角色的正确权限才能执行此操作。 |
| 应用程序:发送至 CDN | 授予通过私有 API 将文档发送至 CDN 的能力;CRM 的转换工具仅将此权限用于集成,并且此权限不得应用于用户。 |
| 应用程序:Approved Email | 授予使用创建电子邮件片段的能力。 |
| 应用程序:多通道加载程序 | 访问 CRM 发布和多通道加载程序标签页的能力;默认情况下,此权限仅授予具有标准系统管理员或 Vault 所有者安全配置文件的用户。 |
| 视图:共享视图 | 授予与其他用户共享自定义视图的能力。 |
| 视图:视图管理 | 授予以下能力:
|
| 审计跟踪:查看 | 授予通过操作菜单访问各个文档和对象记录的审计跟踪选项的能力;请注意,您还必须具有基于角色的适当权限才能执行此操作。 |
| 审计跟踪:导出 | 授予导出文档或对象记录审计跟踪的能力;请注意,您还必须具有审计跟踪 > 查看权限才能导出。 |
| RIM:RIM 维护 | 授予访问 RIM 维护标签页的能力。这允许您将内容计划模板约束加载到 Vault 或从 Vault 中提取。 |
| RIM Submissions Archive:导入 | 授予在 RIM Submissions Archive Vault 中导入送审文档和删除已导入送审文档的能力;您还必须具有对送审对象和特定对象记录的适当权限。 |
| RIM Submissions Archive:导出 | 授予在 RIM Submissions Archive Vault 中导出送审文档的能力;您还必须具有对送审对象和特定对象记录的适当权限。 |
| RIM Submissions Archive:批量导出 | 授予访问报告中的导出送审归档申请操作的能力。 |
| RIM Submissions Archive:从文件管理器导入 | 授予使用 Vault 文件管理器在 RIM Submissions Archive Vault 中导入送审文档的能力。用户还需要拥有送审归档:导入权限才能从 Vault 文件管理器导入,但无需拥有应用程序:文件暂存:访问权限。 |
| RIM Registrations:批量注册历史报告 | 授予生成注册历史报告的能力。 |
| 文件暂存:访问 | 授予连接到文件暂存服务器并下载使用 Vault 加载程序提取的文件(文档源文件和格式副本)的能力。此权限不会授予将文件上传到服务器或查看其他用户创建的目录的能力。 |
| EDL 匹配:运行 | 能够访问计划的批量匹配作业的立即启动操作或单个 EDL 项的匹配文档操作 |
| EDL 匹配:编辑匹配字段 | 能够编辑 EDL 记录中的 EDL 匹配字段选项列表 |
| EDL 匹配:编辑文档匹配 | 能够锁定与 EDL 项记录匹配的文档版本,排除或包括汇总字段中的匹配文档,以及手动匹配/取消匹配文档与 EDL 项 |
| 创建按钮:显示创建按钮 | 能够查看所有标签页中的创建按钮。此选项在所有现有标准和自定义权限集上默认打开,在所有新的自定义权限集上默认关闭。 |
| 法律保留:应用 | 授予应用法律保留,或者将法律保留更改为单个文档或将其作为批量操作的能力。 |
| 法律保留:删除 | 授予从单个文档或作为批量操作删除法律保留的能力。 |
Vault 所有者操作
这些权限控制之前为“Vault 所有者”用户类型的用户保留的操作。
| 权限 | 访问详情 |
|---|---|
| Vault 所有者操作:重新呈现 | 授予重新呈现已具有可视格式副本的文档的能力;请参阅相关文章。 |
| Vault 所有者操作:强力删除 | 授予删除原本无法删除的文档的能力,例如,处于稳定状态的文档;请参阅相关文章。 |
| Vault 所有者操作:Vault 加载程序 | 授予查看和使用加载程序标签页的能力。 |
| Vault 所有者操作:记录迁移 | 授予加载处于除起始状态之外的生命周期状态的对象记录(仅通过 Vault 加载程序或 API)的能力 |
| Vault 所有者操作:文档迁移 | 授予在通过 Vault 加载程序或 API 执行创建时仅将文档迁移模式应用于一批新文档的能力;请参阅相关文章。 |
| 全部文档:全部文档操作 | 授予“所有文档”中的所有权限;参阅下文了解各个权限的详细信息。 |
| 所有文档:所有文档读取 | 授予对所有文档的查看访问权限,无论文档的共享设置如何。 |
| 所有文档:所有文档创建 | 授予为任何文档类型创建文档或活页夹的访问权限,无论文档类型创建设置如何 |
| 所有对象记录:所有对象记录操作 | 授予对“所有对象记录”中的所有权限的访问;参阅下文了解各个权限的详细信息。 |
| 所有对象记录:所有对象记录读取 | 授予对所有对象记录的查看访问权限,无论记录的共享设置如何。 |
| 所有对象记录:所有对象记录编辑 | 授予对所有对象记录的编辑访问权限(与所有者角色相同),无论记录的共享设置如何。 |
| 所有对象记录:所有对象记录删除 | 授予对所有对象记录的删除访问权限,无论记录的共享设置如何。 |
| 法律保留:应用 | 授予向单个文档或作为批量操作应用/编辑法律保留的能力。 |
| 法律保留:删除 | 授予从单个文档或作为批量操作删除法律保留的能力。 |
| 连接:管理连接 | 授予在 Vault 管理的连接标签页中查看和管理连接的能力。 |
| 集成:管理集成 | 授予在 Vault 管理的连接标签页中查看和管理集成配置(例如用户异常消息、集成规则和 Spark 消息处理器)的能力。 |
客户端应用程序
这些权限控制与 Veeva Snap 相关的操作。
| 权限 | 访问详情 |
|---|---|
| Veeva Snap:启用 | 授予从 Veeva Snap 移动应用程序将文档上传到 Vault 的能力。 |
| Veeva Snap:启用直接安装 | 授予使用 Apple App Store 提供的公开版 Veeva Snap 的能力。如果没有此权限,Vault 用户必须使用其组织配置的 Veeva Snap 应用程序版本。 |
对象权限
在对象标签页中,您可以分配在对象级别查看、创建、编辑和删除对象记录的权限。例如,用户可能具有对研究机构对象记录的完整权限、对研究记录的编辑权限、对产品记录的读取权限,并且无权访问国家/地区记录。通过这个选项卡,您还可以在对象上设置字段级安全配置、操作级安全配置,以及对象控制级安全配置。
对于每个对象,您可以授予或删除以下权限:
- 读取:允许您查看该对象的记录;查看详细信息
- 创建:允许您创建新的对象记录或复制现有记录;允许您访问管理 > 业务管理员。使用此权限时,Vault 会自动授予编辑权限。
- 编辑:允许您编辑现有对象记录,包括添加附件/删除附件/对附件进行版本控制;允许您访问管理 > 业务管理员
- 删除:允许您删除现有对象记录
向所有对象授予这些权限意味着权限集将自动包含适用于将来创建的任何对象的权限。
对象控制权限
您还可以在对象选项卡修改对象控制的权限。对象控制用于控制用户是否能够查看某些 UI 元素。与给定对象关联或对所有对象可用的对象控制出现在对象控制权限标题下方。
与对象字段或操作不同,您可以为对象控制分配的唯一权限是查看。您可以分配此权限到单个控制或选择所有对象控制。如果对象控制与对象类型关联,您只能对所有对象类型授予查看权限。您不能为每个控制和每个对象类型授予查看权限。
动态访问控制
动态访问控制与这些设置交互以防止用户查看、编辑或删除特定对象记录。如果对象使用 DAC,用户必须通过其安全配置文件获得适当的权限,并通过单个对象记录的共享设置进行访问。创建记录时,Vault 仅考虑用户的权限集。
标签页权限
在标签页节段中,您可以控制用户可查看的标签页。可以在这里配置所有标准和自定义标签页。如果用户对所有标签页具有查看权限,则默认情况下他们可以查看新创建的标签页。
关于读取权限
用户必须具有对象的读取权限才能执行以下操作:
- 查看自定义对象标签页
- 查看业务管理员中的对象标签页
- 在悬停卡中查看对象记录详细信息
- 编辑文档或对象字段时选择对象记录
- 使用包含该对象的报告类型创建报告
- 查看使用包含该对象的报告类型的报告结果
没有此权限的用户仍然可以查看整个 Vault 中的对象记录标签。例如,他们仍然可以使用他们无法查看的对象的对象字段来搜索文档。
页面权限
在页面节段中,您可以控制用户可访问的特定于应用程序的页面。
移动版权限
从移动版节段,您可以控制用户可以在 Veeva Vault 移动版中查看的选项卡。
隐藏或缺少权限
当您打开权限集时,上面列出的某些权限将不会显示。如果某个权限未显示:
- 该权限特定于其他 Vault 应用程序或其他应用程序系列。例如,该权限特定于 RIM,并且您正在使用 Clinical Operations Vault。
- 该权限与 Vault 中未启用的功能相关。有时,当相关功能未启用时,权限会被隐藏。