Управление доступом к DataLens

Доступ к сервису Yandex DataLens регулируется через консоль Yandex.Cloud.
Чтобы предоставить доступ, назначьте пользователю одну из ролей DataLens.

Разграничение прав доступа в сервисе реализовано на уровне объектов и папок.
На каждый объект и папку можно назначать пользователю права доступа, которые определяют допустимые операции.

Вы можете предоставить пользователю доступ к папке или к любому объекту сервиса:

• Подключение
• Датасет
• Чарт
• Дашборд

Также пользователь может запросить права доступа самостоятельно через форму запроса. Подробнее в разделе Запрос прав доступа.

Пользовательские роли

Позволяют определить права пользователя в экземпляре DataLens:

• datalens.instances.user — пользователь DataLens с правами на создание, чтение и изменение объектов согласно правам доступа на объекты.
• datalens.instances.admin — администратор экземпляра DataLens. Роль автоматически присваивается создателю экземпляра. Администратор обладает правами datalens.instances.user, а также может изменять тарифный план и осуществлять покупку платного контента в Cloud Marketplace.

Пользовательские роли назначаются в консоли Yandex.Cloud.

Добавление пользователя

Добавлять можно пользователей с аккаунтом на Яндексе и федеративных пользователей.

Добавить пользователя с аккаунтом на Яндексе

Чтобы добавить пользователя и предоставить ему доступ к сервису DataLens:

1. Откройте страницу Управление доступом для выбранного облака. Если необходимо, переключитесь на другое облако.

2. На странице Пользователи и роли в правом верхнем углу нажмите Добавить пользователя.

3. Введите электронную почту пользователя в Яндексе.

4. Нажмите кнопку Добавить. При добавлении нового пользователя в облако ему автоматически назначается роль участника облака — resource-manager.clouds.member.

   Примечание

   Время до появления логина добавленного пользователя в форме выдачи прав доступа может достигать нескольких часов.

5. Выберите пользователя, которому хотите назначить роль, нажмите значок и выберите Настроить роли.

6. Для добавления роли на облако нажмите значок в блоке Роли на облако <имя облака>.

   Для добавления роли на каталог, выберите каталог и нажмите Назначить роль в блоке Роли в каталогах.

7. Выберите datalens.instances.user или datalens.instances.admin из списка.

Добавить федеративных пользователей

Для добавления федеративных пользователей вам необходимо знать Name ID пользователей, которые возвращает сервер поставщика удостоверений (IdP) вместе с ответом об успешной аутентификации. Обычно это основной email пользователя. Если вы не знаете, что возвращает сервер в качестве Name ID, обратитесь к администратору, который настраивал аутентификацию в вашей федерации.

1. Добавьте федеративных пользователей:

   Консоль управления

   CLI

   API

   Чтобы добавить пользователей федерации в облако:

   1. Откройте страницу Управление доступом для выбранного облака. Если необходимо, переключитесь на другое облако.

   2. Нажмите на стрелку возле кнопки Добавить пользователя.
   3. Выберите Добавить федеративных пользователей.
   4. Выберите федерацию, из которой необходимо добавить пользователей.
   5. Перечислите Name ID пользователей, разделяя их переносами строк.

   Если у вас еще нет интерфейса командной строки Yandex.Cloud, установите и инициализируйте его.

   По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name или --folder-id.

   1. Посмотрите описание команды добавления пользователей:

      $ yc iam federation add-user-accounts --help
      

   2. Добавьте пользователей, перечислив их Name ID через запятую:

      $ yc iam federation add-user-accounts --name my-federation \
        --name-ids=alice@example.com,bob@example.com,charlie@example.com
      

   Чтобы добавить пользователей федерации в облако:

   1. Сформируйте файл с телом запроса, например body.json. В теле запроса укажите массив Name ID пользователей, которых необходимо добавить:

      {
        "nameIds": [
          "alice@example.com",
          "bob@example.com",
          "charlie@example.com"
        ]
      }
      

   2. Отправьте запрос, указав в параметрах идентификатор федерации:

      $ curl -X POST \
        -H "Content-Type: application/json" \
        -H "Authorization: Bearer <IAM-токен>" \
        -d '@body.json' \
        https://iam.api.cloud.yandex.net/iam/v1/saml/federations/<ID федерации>:addUserAccounts
      

2. Выберите пользователя, которому хотите назначить роль, нажмите значок и выберите Настроить роли.

3. Для добавления роли на облако нажмите значок в блоке Роли на облако <имя облака>.

   Для добавления роли на каталог, выберите каталог и нажмите Назначить роль в блоке Роли в каталогах.

4. Выберите datalens.instances.user из списка.

Подробнее о назначении ролей в Yandex.Cloud в разделе Роли.

Права доступа на объекты

Вы можете назначить следующие права доступа на объекты и папки в сервисе DataLens:

Исполнение

Пользователь с правом доступа Исполнение может выполнять запросы к доступным подключениям и датасетам.
С эти правом пользователь не может просматривать подключения и датасеты.

Просмотр

Пользователь с правом доступа Просмотр может просматривать дашборды, виджеты, датасеты и папки.

Редактирование

Пользователь с правом доступа Редактирование может изменять дашборды, виджеты, подключения, датасеты и папки.

Право доступа Редактирование включает в себя все разрешения права доступа Просмотр.

Администрирование

Пользователь с правом доступа Администрирование может изменять доступные объекты и папки, изменять права доступа.

Право доступа Администрирование включает в себя все разрешения права доступа Редактирование.

Таблица прав доступа

Объект доступа Действие	Исполнение	Просмотр	Редактирование	Администрирование
Папка
Просмотр папки	N/A	✔	✔	✔
Редактирование папки	N/A	-	✔	✔
Удаление папки	N/A	-	-	✔
Изменение прав доступа	N/A	-	-	✔
Подключение
Выполнение запросов к подключению	✔	✔	✔	✔
Создание датасета над подключением	-	✔	✔	✔
Просмотр параметров подключения	-	✔	✔	✔
Редактирование подключения	-	-	✔	✔
Удаление подключения	-	-	-	✔
Изменение прав доступа	-	-	-	✔
Датасет
Выполнение запросов к датасету	✔	✔	✔	✔
Создание чарта над датасетом	✔	✔	✔	✔
Просмотр датасета	-	✔	✔	✔
Редактирование датасета	-	-	✔	✔
Удаление датасета	-	-	-	✔
Изменение прав доступа	-	-	-	✔
Чарт
Просмотр чарта	N/A	✔	✔	✔
Редактирование чарта	N/A	-	✔	✔
Удаление чарта	N/A	-	-	✔
Изменение прав доступа	N/A	-	-	✔
Дашборд
Просмотр дашборда	N/A	✔	✔	✔
Редактирование дашборда	N/A	-	✔	✔
Удаление дашборда	N/A	-	-	✔
Изменение прав доступа	N/A	-	-	✔

Что дальше

• Назначение прав доступа
• Удаление прав доступа
• Запрос прав доступа
• Управление доступом к строкам данных датасета