保护部署并向角色添加用户

作为应用安全的一个环节,您可以在部署应用时设置可运行应用的人员,并为成员分配访问权限角色。应用部署会继承应用设置的一些安全设置。

部署应用的开发者是部署所有者。部署所有权是不可转让的,因此请考虑应该由谁来部署应用。部署所有者拥有应用数据的完整访问权限。

您可能需要使用共享管理员帐号来部署应用,以免部署所有者在离开您的组织时出现问题。如果您使用此方法,请经常更改管理员帐号的密码以防止未经授权的访问。

控制谁可以运行应用部署

默认情况下,组织中的所有具有链接的用户都可以运行应用部署。部署应用时,请指定可以运行应用部署的用户和群组。无法运行应用的用户会收到无权访问应用的消息。您可以在部署后修改这些权限。

如需允许特定用户和群组在您发布应用时运行应用部署,请执行以下操作:

  1. 应用制作工具中,打开您的应用。
  2. 点击 Publish
  3. Application access下,选择 Only allow access to specific users。
  4. 输入用户和群组的电子邮件地址。
  5. 设置其他部署设置,例如向角色添加用户和群组。
  6. 点击 Publish
  7. 与用户共享网址。如果无权运行应用的用户尝试打开该网址,则应用制作工具会返回错误消息:“Sorry, you don't have access to this application”。

如需在部署应用后更新权限,请进行以下操作:

  1. 应用制作工具中,打开您的应用。
  2. 点击 Settings Deployments。
  3. 将光标指向部署并点击 Edit
  4. Application access下,选择 Only allow access to specific users。
  5. 输入用户和群组的电子邮件地址。
  6. 点击 Save

应用制作工具会自动重新发布部署以更新权限。

向角色添加成员

如果您使用基于角色的访问权限控制,请向角色添加成员。

  1. 依次打开应用制作工具和您的应用。
  2. 点击 Settings > Deployments。
  3. 在表格中,将光标指向要向角色添加成员的部署,然后点击 Edit
  4. Users with role access 部分中,输入用户或群组(Google 群组)的电子邮件地址。
  5. 点击 Save

应用制作工具会重新发布应用部署。重新发布的部署包括角色成员的更新。

部署安全的最佳做法

  • 仅向需要使用该应用的用户授予运行应用的权限。
  • 使用群组管理角色成员时,无需修改部署即可更新成员。
  • 定期查看角色成员,以确保用户拥有适当的权限。尤其要评估具有 Admin 角色的成员。