Детализация прав доступа пользователя

На текущий момент есть всего 2 роли пользователя - админ и читатель. И чтобы менеджеру по рекламе дать возможность создавать треккер, ему нужно дать админский доступ. Не очень безопасно.
А функционал у вас растет, появляется антифрод, АБ тесты и прочие сложные технически вещи, которые легко случайно поломать. 

Что для нас важно от доступов, хотя бы такими крупными мазками:

1. Админский сделать реально админским - тот кто может доступы давать

2. Настройка трекеров, диплинков, целевых ссылок, партнеров...

3. Общие настройки приложения, universal link, синхронизации c Ads SDK

4. Выгрузка сырых данных через веб интерфейс

5. Генерация API токенов

6. Ревенью
7. Пуши
8. Предикты
9. АБ эксперименты, конфиги флагов
10. Бухгалтерский доступ - расходы по аккаунту

Можно сделать 2х уровневую систему.
1. создается набор ролей с детально настроенными доступами
2. пользователю назначается та или иная роль

Вот пример настройки доступов в одной известной системе аналитики.