> ## Documentation Index
> Fetch the complete documentation index at: https://docs.flashcat.cloud/llms.txt
> Use this file to discover all available pages before exploring further.
# 权限设计
> 了解 Flashduty 基于角色(RBAC)的功能权限和基于团队的数据权限设计
Flashduty 使用两种类型的权限:**功能权限**和**数据权限**,并在不同的功能场景配合使用。
您必须同时拥有**功能权限**和**数据权限**,才能操作某些数据对象。功能权限是前提,决定您是否有权执行某类操作;数据权限在此基础上,进一步限定您可操作的数据范围。
## 功能权限
功能权限也叫操作权限,决定了用户可以使用系统的哪些功能或操作。具体表现为:API 是否可调用、按钮是否可点击、页面和菜单是否可见等。
Flashduty **基于角色(RBAC)来控制功能权限**,按模块划分权限,实现精细化管理。系统预置了以下角色(您也可以自定义角色):
### 预置角色
拥有所有权限,适用于需要完整管理能力的核心成员。
拥有除「费用中心」「成员管理」「角色管理」「单点登录管理」外的全部权限,适用于处理日常运维工作的成员。
拥有除「审计」「快速开始」外的绝大部分只读权限,适用于仅需查看数据的成员。
**Responder** 角色不包含成员管理和角色管理权限。如需管理团队成员或分配角色,请使用 **Admin** 角色。
### 权限列表
系统按产品模块划分权限点,每个权限点分为 **Read**(只读)和 **Manage**(管理)两种类型。权限按以下产品范围分组展示,每组带有对应图标:
* **平台(Platform)**:组织管理、费用中心等基础平台权限
* **On-call**:告警响应、配置管理、状态页等值班相关权限
* **RUM**:前端监控相关权限
* **Monitors**:监控告警相关权限
当某个权限点同时存在 **Read** 和 **Manage** 类型时,授予 **Manage** 权限会自动关联授予对应的 **Read** 权限,无需单独勾选。
| 权限点 | 类型 | 说明 |
| ------------ | -- | -------------------- |
| **成员管理** | 管理 | 邀请和移除成员,授予和撤销成员角色 |
| **角色管理** | 管理 | 创建、编辑和删除角色,管理角色内的权限 |
| **团队管理** | 管理 | 创建、编辑和删除团队,管理团队成员 |
| **单点登录查看** | 只读 | 查看单点登录配置信息 |
| **单点登录管理** | 管理 | 启用或禁用单点登录并修改其配置 |
| **审计日志查看** | 只读 | 检索和读取操作审计日志 |
| **API 密钥查看** | 只读 | 查看账户 API 密钥 |
| **API 密钥管理** | 管理 | 创建、查看、修改和删除账户 API 密钥 |
| 权限点 | 类型 | 说明 |
| -------- | -- | --------------------- |
| **费用查看** | 只读 | 查看账单、订阅信息、消费记录等付款相关信息 |
| **费用管理** | 管理 | 管理订阅、充值、开票等费用中心操作 |
| 权限点 | 类型 | 说明 |
| ---------- | -- | ------------------------------- |
| **协作空间查看** | 只读 | 查看协作空间列表、成员、消息等信息(需同时拥有数据权限) |
| **协作空间管理** | 管理 | 创建、编辑和删除协作空间,管理成员和配置(需同时拥有数据权限) |
| **故障查看** | 只读 | 查看故障列表、详情、时间线等信息 |
| **故障管理** | 管理 | 创建、编辑、处理和关闭故障,管理故障响应流程 |
| **集成查看** | 只读 | 查看已配置的集成列表和集成详情 |
| **集成管理** | 管理 | 添加、配置、测试和删除集成(需同时拥有数据权限) |
| **数据分析查看** | 只读 | 查看故障响应、系统健康等分析报告和统计数据 |
| 权限点 | 类型 | 说明 |
| ----------- | -- | -------------------------------- |
| **自定义字段查看** | 只读 | 查看自定义字段配置和字段定义 |
| **自定义字段管理** | 管理 | 创建、编辑和删除自定义字段,配置字段类型和验证规则 |
| **值班表查看** | 只读 | 查看值班表、轮换规则和值班人员信息 |
| **值班表管理** | 管理 | 创建、编辑和删除值班表,配置轮换规则和覆盖时段 |
| **服务日历查看** | 只读 | 查看服务日历、假期安排和特殊时段配置 |
| **服务日历管理** | 管理 | 创建、编辑和删除服务日历,配置假期和工作日 |
| **通知模板查看** | 只读 | 查看通知模板、故障模板等模板配置 |
| **通知模板管理** | 管理 | 创建、编辑和删除模板,自定义模板内容和格式(需同时拥有数据权限) |
| **映射规则查看** | 只读 | 查看数据映射规则和映射关系配置 |
| **映射规则管理** | 管理 | 创建、编辑和删除映射规则等(需同时拥有数据权限) |
| 权限点 | 类型 | 说明 |
| ----------- | -- | ----------------------- |
| **状态页查看** | 只读 | 查看状态页配置、服务状态和历史事件 |
| **状态页管理** | 管理 | 创建、编辑和发布状态页,管理服务组件和事件 |
| **状态页事件管理** | 管理 | 发布、编辑和删除状态页中的事件,包括故障和维护 |
| 权限点 | 类型 | 说明 |
| ---------- | -- | --------- |
| **监控概览查看** | 只读 | 查看监控概览等 |
| **告警规则查看** | 只读 | 查看监控告警规则等 |
| **告警规则管理** | 管理 | 管理监控告警规则等 |
| **规则仓库查看** | 只读 | 查看规则仓库等 |
| **规则仓库管理** | 管理 | 管理规则仓库等 |
| **节点权限查看** | 只读 | 查看监控节点权限等 |
| **节点权限管理** | 管理 | 管理监控节点权限等 |
| **数据源查看** | 只读 | 查看监控数据源等 |
| **数据源管理** | 管理 | 管理监控数据源等 |
| **告警引擎查看** | 只读 | 查看监控引擎等 |
| **告警引擎管理** | 管理 | 管理监控引擎等 |
| 权限点 | 类型 | 说明 |
| ----------- | -- | --------------------------- |
| **应用管理** | 管理 | 创建、配置和管理前端监控应用,设置采样规则和告警策略等 |
| **性能监控查看** | 只读 | 查看前端性能监控问题等 |
| **错误追踪查看** | 只读 | 查看前端错误等 |
| **会话浏览器查看** | 只读 | 查看事件详情等 |
| **会话回放查看** | 只读 | 查看前端监控会话回放等 |
| 权限点 | 类型 | 说明 |
| ---------- | -- | ------------------------------- |
| **快速开始查看** | 只读 | 查看快速开始信息,需具备相关团队、空间、故障、值班和集成的权限 |
### 自定义角色
除了预置角色外,你可以创建自定义角色以满足更精细的权限控制需求。
**配置路径**:平台管理 → 角色管理
进入角色管理页面,点击 **创建角色** 按钮,填写角色名称和描述。你也可以通过复制已有角色快速创建。
在角色详情页中,点击角色名称或描述旁的 **编辑图标(笔形图标)** 即可直接内联编辑角色名称和描述,修改后自动保存。
在角色详情页的 **权限列表** 标签下,点击 **编辑** 进入编辑模式。在编辑模式中,你可以通过批量勾选的方式一次性授予或撤销多个权限点,完成后点击 **保存** 即可。
在角色详情页的 **授权成员** 标签下,点击 **编辑** 进入编辑模式,通过批量勾选的方式添加或移除该角色的授权成员,完成后点击 **保存**。
* 系统预置角色(Admin、Responder、Viewer)不可修改或删除
* 自定义角色支持编辑、复制、启用/禁用和删除操作
* 一个成员可以同时拥有多个角色,其权限为所有角色权限的并集
### 权限矩阵
| 权限模块 | Admin | Responder | Viewer |
| ------------------------------------ | :---: | :-------: | :----: |
| **成员管理** | ✔️ | | |
| **角色管理** | ✔️ | | |
| **团队管理** | ✔️ | ✔️ | |
| **单点登录** | ✔️ | | 只读 |
| **操作审计** | ✔️ | ✔️ | |
| **API 密钥** | ✔️ | ✔️ | |
| **费用中心** | ✔️ | | 只读 |
| **协作空间** | ✔️ | ✔️ | 只读 |
| **故障管理** | ✔️ | ✔️ | 只读 |
| **集成管理** | ✔️ | ✔️ | 只读 |
| **数据分析** | ✔️ | ✔️ | 只读 |
| **配置管理**(自定义字段、值班、日历、模板、映射) | ✔️ | ✔️ | 只读 |
| **状态页** | ✔️ | ✔️ | 只读 |
| **监控告警**(概览、告警规则、规则仓库、节点权限、数据源、告警引擎) | ✔️ | ✔️ | 只读 |
| **前端监控**(应用管理、性能监控、错误追踪、会话浏览器、会话回放) | ✔️ | ✔️ | 只读 |
| **快速开始** | ✔️ | ✔️ | |
## 数据权限
数据权限也叫访问权限,该权限控制用户可以访问或查看的数据范围。
**功能权限是数据权限的前提。** 您必须先拥有对应的功能权限,数据权限才会生效。例如:一个 **Viewer** 角色的成员属于 A 团队,某个协作空间归属于 A 团队且设置为私有,虽然该成员在数据权限上可以访问此空间,但由于 **Viewer** 没有空间管理的功能权限,因此只能查看,不能编辑。
Flashduty **基于团队来控制数据权限**,并应用于以下场景:
| 场景 | 权限说明 |
| -------- | -------------------------------------- |
| **团队管理** | 创建者、主体账号和团队成员可以修改团队信息,以及管理团队成员 |
| **协作空间** | 创建者、主体账号和负责团队成员,可以修改空间的基本信息、降噪配置、分派策略等 |
| **值班管理** | 创建者、主体账号和负责团队成员,可以修改值班的基本信息、轮换规则等 |
| **模板管理** | 创建者、主体账号和负责团队成员,可以修改模板的基本信息、各通道模板配置等 |
| **服务日历** | 创建者、主体账号和负责团队成员,可以修改日历的基本信息、节假日设定等 |
| **集成管理** | 创建者、主体账号和负责团队成员,可以管理集成的配置 |
| **映射规则** | 创建者、主体账号和负责团队成员,可以管理映射规则的配置 |
当您没有对应资源的数据权限时,系统会显示以下提示:
## 历史角色迁移
以下历史预置角色已于 **2026 年 1 月 30 日** 废弃,系统已自动完成迁移。
### 历史角色说明
| 角色 | 说明 |
| --------------- | ------------------------- |
| `Account.Admin` | 账户管理员,原拥有全部操作权限 |
| `Fin.Admin` | 财务管理员,原拥有费用中心下单权限 |
| `Tech.Admin` | 技术管理员,原拥有访问控制和审计权限(含成员管理) |
### 迁移映射
| 原角色 | 新角色 | 说明 |
| --------------- | ------------- | ------------------------- |
| `Account.Admin` | **Admin** | 权限保持不变 |
| `Fin.Admin` | **Admin** | 权限提升 |
| `Tech.Admin` | **Responder** | 移除成员管理权限 |
| 无角色 | **Responder** | 自动授予 |
| 自定义角色 | 保持不变 | 可能丢失部分 Monitors 权限,建议自行检查 |
### 兼容性说明
以下场景将自动授予 **Viewer** 角色,确保成员具备基本访问权限:
* 通过 [Open API 邀请新成员](/zh/api-reference/platform/members/member-invite) 时未指定角色
* 通过 **单点登录(SSO)** 自动创建成员时未指定角色
**兼容期截止日期:2026 年 6 月 30 日**
届时,未指定角色的 API 请求将返回错误,请提前完成适配。
自定义角色用户请在升级后检查权限配置,确保符合预期。
## 延伸阅读
了解团队和成员的管理方式
配置 SSO 实现统一身份认证