本文強調 AEM Assets 中群組型權限在保護數位資產資料夾、簡化管理,以及確保品牌一致性、法規遵循和營運控制方面的關鍵作用。文中概述設定和維護使用者群組與權限,以維護資料安全性與系統穩定性的最佳做法。
使用者群組與權限快速入門
現在您已了解 AEM Assets 快速入門和資料夾結構與命名的最佳做法與祕訣,本文建構在這些最佳做法上,並著重於使用者與權限。
在需要管理不同使用者群組 (分別需要擁有不同資產的不同存取權限) 的任何組織中,基本上都要使用權限來保護數位資產資料夾的安全。
在 AEM Assets 中,使用者 是登入 AEM Assets 執行個體的個別帳戶,而 群組 是使用者、群組或兩者的邏輯集合。
群組通常保持穩定不變,而使用者則是較頻繁地來來去去。
使用者群組與權限使用原因
權限可控制何人可以檢視、編輯或管理資產。
群組型權限可簡化管理並確保安全進行存取。
群組可簡化管理權限與存取權,因為對群組所做的變更會套用至群組的所有成員。群組通常可反映:
- 應用程式內的角色 – 例如允許檢視內容或允許貢獻內容的人員。
- 貴組織的內容存取控制需求 – 可讓您區分不同部門的貢獻者,以及每位貢獻者可存取和執行的動作。
使用者群組與權限提供或允許:
- 資料安全性 – 保護敏感與機密資產。
- 品牌一致性 – 確保只有經核准的使用者可以存取和發佈資產。
- 法規遵循 – 支援版權、授權、Digital Rights Management 與隱私權法律 (例如 GDPR)
- 作業控制 – 防止未經授權的存取、變更或刪除作業。
在每個群組內,皆會設定特定權限,定義何人可以存取、讀取和修改 AEM Assets 中的內容。權限是使用存取控制清單 (ACL) 在 AEM 中設定,包括:
- 套用至資料夾、資產或節點的規則。
- 為每個群組設定以允許或拒絕該群組中的使用者存取不同的功能。
- 以將優先順序最高的項目放在前面的方式排列順序。
「AEM Assets 運用階層資料夾結構,套用至父系資料夾的權限會自動向下套用至其子資料夾及包含的資產。此內建繼承方式可簡化存取權管理,並減少管理負荷,確保大型內容樹狀結構間強制執行一致的權限。」
- Deepak Khetawat,Palo Alto Networks 主要工程師軟體暨 AEM Champion
設定群組與權限的最佳做法
-
根據角色建立使用者群組 – 例如,作者、行銷人員、創意人員、代理商。
-
一律將權限指派給群組,而非個人 – 改善擴充性並簡化稽核。
-
避免過度工程 – 簡潔的允許型結構更容易維護和進行疑難排解。
-
使用系統或預設群組 – 例如 AEM 預先內建的作者與 DAM 使用者;視需要定義自訂群組 (例如行銷核准者、法律檢閱者) 提供角色型存取權。
-
授予最低權限 – 僅針對使用者/群組的角色授予其所需的權限。
-
力求採用「以允許權限為主」的模型 – 例如,可以編輯、可以檢視。只有在絕對有必要覆寫較高層級或群組成員資格的「允許」權限時,才使用「拒絕」,並確保儘可能具體陳述此類「拒絕」權限。
-
自上而下定義存取控制清單 (ACL) 中的權限 – 始終考量清單中項目的順序。套用評估順序中第一個明確相符的 ACL 項目。
「應一律在群組層級指派 AEM Assets 中的權限,而不是直接指派給個別使用者。這種群組型方法可增強擴充性、簡化權限稽核,並符合企業存取管理的最佳做法。即使群組最初只包含一位使用者,將權限指派給群組可確保在使用者加入、離開或變更角色時可以更輕鬆進行維護,只需將使用者重新指派給現有群組即可,而不需要修改權限。」
- Deepak Khetawat,Palo Alto Networks 主要工程師軟體暨 AEM Champion
維護群組與權限的運作最佳做法
設定使用者群組與權限,並非一次性的工作。您要隨著組織變革,定期變更並稽核使用者群組與權限。建立維護與控管的步調。
- 定期稽核 – 定期檢閱權限,尤其是敏感資料夾的權限,以確保合規性。
- 保留環境同位 – 鏡像跨開發、預備及生產環境的權限結構,防止在部署時發生意外狀況。
- 維護權限矩陣 – 記錄群組角色與存取層級,以提供透明度、上線及合規性,並視需要與 AEM Assets 使用者以外的利害關係人共用權限。
- 考量複寫影響 – 如果資產存取會影響公開的網站,請確定權限變更會傳播到發佈執行個體。
試用
現在您已掌握設定使用者群組與權限的最佳做法,請在 AEM 中試用群組與權限。
- 建立或維護群組 – 瀏覽至「資產」 → 「工具」 → 「安全性」 → 「使用者和群組」。使用此介面來管理使用者,並根據角色將使用者指派給相關的群組。
- 設定資料夾層級權限 – 在 AEM Assets 中,瀏覽至所需的 DAM 資料夾,開啟「屬性」→「權限」標籤。
- 善用報告 – 擷取使用者的上次登入活動。支援並執行稽核,不僅能檢閱存取權,還能將在一段時間內均未登入或不再需要存取的使用者移除。
其他學習資源
觀看 Adobe Experience Makers:技能交流講座,標題為 AEM Masterclass:資產工作流程、權限及整合,以了解更多見解。此外,以下資源也有助於在 AEM Assets 中建立使用者群組與權限。
- 使用者與權限 (AEM as a Cloud Service 文件)
- 使用者管理與安全性 (AEM 6.5 文件)
- 使用者、群組與存取權限管理 (AEM 6.5 文件)
- 產生使用者報告 (社群貼文)
接下來呢?
本文章是透過使用者群組與權限進行存取控制之最佳做法的重要文章之一,包括 Adobe Champion 分享的 Adobe Experience Manager Assets 快速入門基礎指引、最佳做法及祕訣。為了繼續進行此系列文章,接下來的焦點放在中繼資料。
若要探索此 AEM Assets 基礎系列中的所有文章,請參閱: