权限管理在Google Analytics 4中起着关键作用,它不仅可以帮助组织合理分配工作负载,还可以确保敏感数据只被授权人员访问。例如,您可以控制某些用户仅能查看数据报告,而不具备修改设置或导出数据的权限。
我们希望通过这篇文章为您提供GA4权限管理的最佳实践和建议,帮助您优化GA4工具中的权限配置,提升数据安全性和管理效率。
今年7月起,Universal Analytics(GA3)媒体资源即将停止收集数据,迁移至 Google Analytics 4(GA4)迫在眉睫。无论您是正在迁移过程中还是尚未开始准备,都建议您关注《从UA迁移到GA4:您必须知道的6个关键问题》
01.
在使用Google Analytics 4(以下简称GA4)的过程中,您可能会面临以下疑问或困扰:
- 我需要拥有什么权限才能创建媒体资源和数据流?
- 我可以关联其他产品吗,例如 Firebase、BigQuery 等?
- 我应该如何为我的不同职能部门分配权限来访问我的数据?
- 我可以对用户隐藏收入或费用指标吗?
- 我拥有媒体资源的编辑权限,为什么我不能创建应用数据流呢?
- 如果某个用户既拥有账号层级的角色又拥有媒体资源层级的角色,那他到底具有哪些权限呢?
要从根本解决这些问题,我们必须要理清楚GA4有哪些角色,不同的角色拥有什么样的权限,不同权限如何在不同层级之间叠加组合使用,那今天就借这篇文章用通俗易懂的语言和大家分享下GA4的用户权限管理,希望大家最终都能根据自己的组织业务需求来实施权限管理的最佳实践。
02.
首先我们可以了解下GA4的账户层级:
如上图所示,GA4的账户层级分为:组织(可选)、账号、媒体资源和数据流
各层级往下均为包含关系,数据流是最小层级,是指数据从客户接触点(例如,应用、网站)到 Google Analytics(分析)的数据流。
我们可以在组织、账号和媒体资源一级添加不同的用户,也可以为这些用户授予各个级别所对应的角色权限。中小型企业客户可能更关注账号和媒体资源层级的权限管理。在GA4中账号和媒体资源层级分别有以下角色划分:
管理员:拥有完全控制权。可以管理用户(添加/删除用户、分配任何角色或数据限制)。只要拥有账号或媒体资源的“管理员”角色,就可以向任何用户(包括他们自己)授予相应账号或媒体资源的完整权限。包含“修改者”角色的权限。
编辑者:在账号或媒体资源一级拥有对设置的完全控制权。但不能管理用户。包含“分析师”角色的权限。
营销者:可以创建、修改和删除受众群体、转化、归因模型、事件和转化时间范围。包含“分析师”角色的权限。
分析师:可以创建、修改和删除某些媒体资源(包括探索)的共享资源。可以协同处理共享资源。包含“查看者”角色的权限。
查看者:可以查看设置和数据,可以通过更改设置让报告中显示哪些数据(例如添加对比项、添加次级维度);可以通过界面或 API 查看共享资源。不能协同处理共享资源。也就是说:拥有“查看者”角色的用户只可以查看共享的探索报告,但不能对其修改。
无:用户未拥有此资源的任何角色。但可能拥有其他资源的角色。
另外在GA4中新增了两个数据限制权限:
无费用指标、无收入指标:不能查看与费用或收入相关的指标。分配此限制权限后费用或收入指标不会展示在报告、探索、受众群体、数据洞见和提醒中。
如下图:数据限制权限平行于“编辑者”、“营销者”等其它角色权限,可组合使用,以便对除账号管理员之外的人隐藏费用和收入指标,更好的保护我们的数据。
看到这里,相信大家已经对不同角色以及不同权限有了大致的了解,那我们该如何用起来呢?不着急,我们需要再了解一下在GA4中不同层级的角色权限组合使用要遵循怎样的原则,这很重要。
03.
一、子角色继承父角色(账号>媒体资源)若在账号一级向用户授予了某种角色,那用户对该账号中的所有媒体资源都拥有相同的角色。也就是说媒体资源层级可以继承账号层级的角色权限,如果设置了账号层级的角色,即使不设置媒体资源的角色,也拥有相同的角色权限
二、用户的有效权限指的是:所有资源(账号或媒体资源)的最高权限的角色权限举个例子:若某用户拥有账号层级的“编辑者”角色,则该用户对该账号中的所有媒体资源都拥有至少是“编辑者”角色,无论是否还针对其中一项媒体资源为该用户分配了权限更低的角色。
可以理解为:如果针对此账号中的A媒体资源,给该用户分配了权限更少的“营销者”权限,则会被忽略,此用户在A媒体资源中仍然拥有“编辑者”的权限。
此外,如果针对此账号中的B媒体资源为用户分配了“管理员”的角色,即便在账号层级有“编辑者”权限,此用户在B媒体资源中仍会拥有“管理员”的权限。
三、将数据限制添加为直接权限(在账号层级配置数据限制),如果这些限制实际上是继承而来的权限,则无法将其移除。
举例说明:如果在账号一级为用户分配了“无费用指标”,则该用户无法查看相应账号中任何媒体资源的费用指标,且不能在媒体资源层级去移除,只能在账号一级批量设置和取消直接权限。
04.
回归到实际业务需求中,我们要怎样去实践最佳的权限管理呢?
可能每个企业的实际业务需求都有自己的特点,虽然没有一个统一的答案,但仍有一些实用的建议提供给大家:
1、基于业务逻辑合理设置账号及媒体资源的层级关系,比如不同国家的数据可以收集到不同的媒体资源下,这样对不同国家的业务部门权限管理更方便。
2、最小权限原则,无论要配置什么角色或权限,要考虑是否是满足需求的最小权限,遵循最小权限原则更安全,需要时再增加权限。
我们看下如果要实现以下对账号和媒体资源的常规操作,要怎样设置最小权限呢?
3、分职责合理管控数据权限设置,保护费用或收入指标数据,对不需要查看费用或收入指标的用户通过分配数据限制权限对其隐藏。
4、做到定期审查权限设置,确保权限的合理性和合规性。
了解完以上内容后,文章开头部分的几个主要问题您是不是也有答案了呢?
Q:我需要拥有什么权限才能创建媒体资源和数据流?
A:账户编辑者的权限。媒体资源编辑者可以创建数据流,但要想还可以创建媒体资源就需要拥有账户编辑者权限。
Q:我可以关联其他产品吗,例如 Firebase、BigQuery 等?
A:如果您拥有媒体资源编辑者的权限,您就可以操作某个媒体资源与Firebase、BigQuery产品集成,前提是您也同样需要Firebase、BigQuery产品侧的权限。
Q:我可以对用户隐藏收入或费用指标吗?
A:可以。给此用户分配“无收入指标”及“无费用指标”数据限制权限就可以实现。
Q:我拥有媒体资源的编辑权限,为什么我不能创建应用数据流呢?
A:这是一种比较特殊的场景。如果其他用户在A媒体资源下已经创建过一个应用数据流“111”,那么当时会在firebase中同步创建一个带有“111”应用的项目A。
如果这个firebase项目A并没有给您分配编辑权限,那么您即使拥有GA4 A媒体资源的编辑者权限,您在此媒体资源下也不能创建新的应用数据流。
通过合理分配权限级别、为不同角色或团队分配权限、限制对敏感数据的访问,并确保权限的合规性和安全性,您可以有效地管理和保护您的数据资产。