Управление доступом к DataLens
Доступ к сервису Yandex DataLens регулируется путем назначения прав:
- для экземпляра DataLens на уровне организации — через сервис организации;
- для экземпляра DataLens на уровне каталога облака — через консоль Yandex Cloud.
Чтобы предоставить доступ, назначьте пользователю одну из ролей DataLens.
Разграничение прав доступа в DataLens реализовано на уровне объектов и папок.
На каждый объект и папку можно назначать пользователю права доступа, которые определяют допустимые операции. Если вы создали или скопировали папку или объект, то у них будут те же права, что и у родительской папки, в которой они будут размещены.
Вы можете предоставить пользователю доступ к папке или к любому объекту сервиса:
- Подключение
- Датасет
- Чарт
- Дашборд
Также пользователь может запросить права доступа самостоятельно через форму запроса. Подробнее в разделе Запрос прав доступа.
Пользовательские роли
Позволяют определить права пользователя в экземпляре DataLens:
datalens.instances.user
— пользователь DataLens с правами на создание, чтение и изменение объектов согласно правам доступа на объекты.datalens.instances.admin
— администратор экземпляра DataLens. Роль автоматически присваивается создателю экземпляра. Администратор обладает правамиdatalens.instances.user
. Ему доступны настройки DataLens.
Пользовательские роли назначаются:
- для экземпляра DataLens на уровне организации — через сервис организации;
- для экземпляра DataLens на уровне каталога облака — через консоль Yandex Cloud.
Добавление пользователя
Добавлять можно пользователей с аккаунтом на Яндексе и федеративных пользователей.
Добавить пользователя с аккаунтом на Яндексе
Чтобы добавить пользователя и предоставить ему доступ к сервису DataLens:
-
Убедитесь, что вы авторизованы в Yandex Cloud как администратор или владелец требуемой организации (у вашего пользователя есть роль
admin
илиowner
в ней). В верхнем левом углу нажмите и выберите Ресурсы и управление → Управление сервисами организации или перейдите по ссылке. -
В правом верхнем углу нажмите кнопку Добавить пользователя. В открывшемся окне введите почтовый адрес пользователя Яндекса и нажмите кнопку Добавить. Новый пользователь появится в списке пользователей организации.
Важно
На данный момент можно добавить только пользователей с аккаунтом Яндекса. Другие учётные записи не поддерживаются.
-
Назначьте этому пользователю роль для доступа к сервису DataLens:
-
Откройте окно Настройка прав доступа:
- Выберите пользователя, которому хотите назначить роль.
- Нажмите значок .
- Выберите Настроить доступ.
-
В окне Настройка прав доступа нажмите Добавить роль. Выберите роль
datalens.instances.user
из списка. -
Нажмите Сохранить. Пользователь получит доступ к сервису DataLens.
-
-
Откройте страницу Пользователи и роли для выбранного облака. Если необходимо, переключитесь на другое облако.
-
На странице Пользователи и роли в правом верхнем углу нажмите Добавить пользователя.
-
Введите электронную почту пользователя в Яндексе.
-
Нажмите кнопку Добавить. При добавлении нового пользователя в облако ему автоматически назначается роль участника облака —
resource-manager.clouds.member
.Примечание
Время до появления логина добавленного пользователя в форме выдачи прав доступа может достигать нескольких часов.
-
- Выберите пользователя, которому хотите назначить роль.
- Нажмите значок .
- Выберите Настроить доступ.
-
Для добавления роли на облако нажмите значок в блоке Роли на облако <имя облака>.
Для добавления роли на каталог, выберите каталог и нажмите Назначить роль в блоке Роли в каталогах.
-
Выберите
datalens.instances.user
илиdatalens.instances.admin
из списка.
Добавить федеративных пользователей
Для добавления федеративных пользователей вам необходимо знать Name ID пользователей, которые возвращает сервер поставщика удостоверений (IdP) вместе с ответом об успешной аутентификации. Обычно это основной email пользователя. Если вы не знаете, что возвращает сервер в качестве Name ID, обратитесь к администратору, который настраивал аутентификацию в вашей федерации.
Добавить федеративных пользователей в организацию
Чтобы добавить пользователей федерации в организацию и предоставить им доступ к сервису DataLens:
-
Добавьте федеративных пользователей:
Консоль управленияCLIAPI- Убедитесь, что вы авторизованы в Yandex Cloud как администратор или владелец требуемой организации (у вашего пользователя есть роль
admin
илиowner
в ней). В верхнем левом углу нажмите и выберите Ресурсы и управление → Управление сервисами организации или перейдите по ссылке. - В правом верхнем углу нажмите на стрелку возле кнопки Добавить пользователя. Выберите Добавить федеративных пользователей.
- Выберите федерацию, из которой необходимо добавить пользователей.
- Перечислите Name ID пользователей, разделяя их переносами строк.
- Нажмите кнопку Добавить. Пользователи будут подключены к организации.
Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.
По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра
--folder-name
или--folder-id
.-
Посмотрите описание команды добавления пользователей:
yc organization-manager federation saml add-user-accounts --help
-
Добавьте пользователей, перечислив их Name ID через запятую:
yc organization-manager federation saml add-user-accounts --name my-federation \ --name-ids=alice@example.com,bob@example.com,charlie@example.com
-
Сформируйте файл с телом запроса, например
body.json
. В теле запроса укажите массив Name ID пользователей, которых необходимо добавить:{ "nameIds": [ "alice@example.com", "bob@example.com", "charlie@example.com" ] }
-
Отправьте запрос, указав в параметрах идентификатор федерации:
$ curl -X POST \ -H "Content-Type: application/json" \ -H "Authorization: Bearer <IAM-токен>" \ -d '@body.json' \ https://organization-manager.api.cloud.yandex.net/organization-manager/v1/saml/federations/<ID федерации>:addUserAccounts
- Убедитесь, что вы авторизованы в Yandex Cloud как администратор или владелец требуемой организации (у вашего пользователя есть роль
-
Назначьте пользователям роли для доступа к сервису DataLens:
-
- Выберите пользователя, которому хотите назначить роль.
- Нажмите значок .
- Выберите Настроить доступ.
- В окне Настройка прав доступа нажмите Добавить роль. Выберите роль
datalens.instances.user
из списка. - Нажмите Сохранить. Пользователь получит доступ к сервису DataLens.
-
Добавить федеративных пользователей в облако
Чтобы добавить пользователей федерации в облако и предоставить им доступ к сервису DataLens::
-
Добавьте федеративных пользователей:
Консоль управленияCLIAPIЧтобы добавить пользователей федерации в облако:
-
Откройте страницу Пользователи и роли для выбранного облака. Если необходимо, переключитесь на другое облако.
- Нажмите на стрелку возле кнопки Добавить пользователя.
- Выберите Добавить федеративных пользователей.
- Выберите федерацию, из которой необходимо добавить пользователей.
- Перечислите Name ID пользователей, разделяя их переносами строк.
Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.
По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра
--folder-name
или--folder-id
.-
Посмотрите описание команды добавления пользователей:
$ yc iam federation add-user-accounts --help
-
Добавьте пользователей, перечислив их Name ID через запятую:
$ yc iam federation add-user-accounts --name my-federation \ --name-ids=alice@example.com,bob@example.com,charlie@example.com
Чтобы добавить пользователей федерации в облако:
-
Сформируйте файл с телом запроса, например
body.json
. В теле запроса укажите массив Name ID пользователей, которых необходимо добавить:{ "nameIds": [ "alice@example.com", "bob@example.com", "charlie@example.com" ] }
-
Отправьте запрос, указав в параметрах идентификатор федерации:
$ curl -X POST \ -H "Content-Type: application/json" \ -H "Authorization: Bearer <IAM-токен>" \ -d '@body.json' \ https://iam.api.cloud.yandex.net/iam/v1/saml/federations/<ID федерации>:addUserAccounts
-
-
- Выберите пользователя, которому хотите назначить роль.
- Нажмите значок .
- Выберите Настроить доступ.
-
Для добавления роли на облако нажмите значок в блоке Роли на облако <имя облака>.
Для добавления роли на каталог, выберите каталог и нажмите Назначить роль в блоке Роли в каталогах.
-
Выберите
datalens.instances.user
из списка.
Подробнее о назначении ролей в Yandex Cloud в разделе Роли.
Права доступа на объекты
Права доступа можно назначить отдельным пользователям или группе Все, в которую входят пользователи, прошедшие аутентификацию.
Вы можете назначить следующие права доступа на объекты и папки в сервисе DataLens:
Исполнение
Пользователь с правом доступа Исполнение
на подключение может выполнять к нему запросы, но не может создавать датасеты. Независимо от прав на датасет, пользователю не доступен список таблиц в датасете и просмотр SQL-подзапроса, на котором основан датасет.
Пользователь с правом доступа Исполнение
на датасет может выполнять к нему запросы, но не может создавать или редактировать чарты и просматривать датасет.
Важно
Вы можете назначить право доступа Исполнение
только на подключения и датасеты.
Назначение пользователям права доступа Исполнение
дает возможность:
-
Уменьшить число запросов в источник, тем самым уменьшить нагрузку на источник подключения.
-
Лучше контролировать данные, которые разрешено показывать из датасета. Можно скрыть часть полей из источника, чтобы пользователь не мог посмотреть весь перечень полей.
-
Ограничить создание подзапросов к исходной БД. Пользователь с правом
Исполнение
не может писать подзапросы.
Просмотр
Пользователь с правом доступа Просмотр
может просматривать дашборды, виджеты, датасеты и папки.
Важно
Право доступа Просмотр
не позволяет копировать датасеты, потому что они содержат настройки RLS. Копирование датасетов доступно при наличии права Редактирование
или Администрирование
.
Редактирование
Пользователь с правом доступа Редактирование
может изменять дашборды, виджеты, подключения, датасеты и папки.
Право доступа Редактирование
включает в себя все разрешения права доступа Просмотр
.
Администрирование
Пользователь с правом доступа Администрирование
может изменять доступные объекты и папки, изменять права доступа.
Право доступа Администрирование
включает в себя все разрешения права доступа Редактирование
.
Таблица прав доступа
Объект доступа Действие |
Исполнение | Просмотр | Редактирование | Администрирование |
---|---|---|---|---|
Папка | ||||
Просмотр папки | N/A | ✔ | ✔ | ✔ |
Редактирование папки | N/A | - | ✔ | ✔ |
Удаление папки | N/A | - | - | ✔ |
Изменение прав доступа | N/A | - | - | ✔ |
Подключение | ||||
Выполнение запросов к подключению |
✔ | ✔ | ✔ | ✔ |
Создание датасета над подключением |
- | ✔ | ✔ | ✔ |
Просмотр параметров подключения |
- | ✔ | ✔ | ✔ |
Редактирование подключения | - | - | ✔ | ✔ |
Удаление подключения | - | - | - | ✔ |
Изменение прав доступа | - | - | - | ✔ |
Датасет | ||||
Выполнение запросов к датасету |
✔ | ✔ | ✔ | ✔ |
Создание чарта над датасетом |
- | ✔ | ✔ | ✔ |
Просмотр датасета | - | ✔ | ✔ | ✔ |
Редактирование датасета | - | - | ✔ | ✔ |
Удаление датасета | - | - | - | ✔ |
Изменение прав доступа | - | - | - | ✔ |
Чарт | ||||
Просмотр чарта | N/A | ✔ | ✔ | ✔ |
Редактирование чарта | N/A | - | ✔ | ✔ |
Удаление чарта | N/A | - | - | ✔ |
Изменение прав доступа | N/A | - | - | ✔ |
Предоставить публичный доступ | N/A | - | - | ✔ |
Дашборд | ||||
Просмотр дашборда | N/A | ✔ | ✔ | ✔ |
Редактирование дашборда | N/A | - | ✔ | ✔ |
Удаление дашборда | N/A | - | - | ✔ |
Изменение прав доступа | N/A | - | - | ✔ |
Предоставить публичный доступ | N/A | - | - | ✔ |
Аудит доступа к объектам
Пользователь DataLens может получить логи доступа к объектам DataLens (просмотр, редактирование, удаление).
Чтобы получить логи, обратитесь в службу технической поддержки.