OpenMetadata中RBAC策略冲突问题解析与解决方案

在OpenMetadata 1.6.7版本中，存在一个关于基于角色的访问控制(RBAC)策略配置的有趣现象。当管理员尝试为用户配置细粒度的数据表访问权限时，可能会意外影响测试用例相关功能的正常访问。

问题现象

系统管理员在配置用户权限时发现：

1. 当授予用户完整的"查看数据库/数据库模式/数据库服务/数据表"权限时，测试套件/测试用例/测试结果等功能可以正常访问
2. 但当尝试通过标签(tag)过滤只允许用户查看特定数据表时，测试相关功能会出现访问异常

具体表现为：

• 用户能够正常查看带有特定标签的数据表
• 但在尝试访问测试用例时，系统会显示权限不足的错误
• 从数据质量菜单访问时也会遇到类似问题

技术背景

OpenMetadata的RBAC系统采用策略(Policy)机制来控制资源访问。每个策略可以定义：

• 允许/拒绝的操作(如view、edit等)
• 作用的目标资源(如Table、Test等)
• 可选的过滤条件(如基于标签的条件过滤)

当多个策略同时作用于同一用户时，系统需要正确处理策略间的交互关系，特别是当涉及资源间关联关系时的权限传播。

问题根源

经过分析，这个问题源于：

1. 测试用例与数据表之间存在关联关系
2. 当对数据表设置基于标签的过滤条件时，该条件被错误地传播到了关联的测试资源
3. 系统在检查测试用例权限时，错误地应用了数据表的访问限制条件

解决方案

该问题已在两个版本中得到修复：

1. 主分支(1.7.0版本)中已包含修复
2. 针对1.6.x用户的修复已包含在1.6.11版本中

修复的核心思路是：

• 明确区分直接资源访问和关联资源访问的权限检查逻辑
• 确保基于标签的过滤条件只应用于目标资源本身，而不会错误传播到关联资源
• 保持测试资源访问权限的独立性

最佳实践建议

对于需要配置细粒度权限的管理员，建议：

1. 明确区分数据资源和测试资源的访问策略
2. 为测试相关功能单独配置访问策略，而不是依赖数据资源的权限传播
3. 在配置基于标签的过滤条件时，注意检查其对关联资源的影响
4. 及时升级到包含修复的版本(1.6.11或更高)

这种设计体现了OpenMetadata在权限管理方面的灵活性，同时也提醒我们在配置复杂权限策略时需要全面考虑各种资源间的关联关系。