Управление доступом к DataLens

Доступ к сервису Yandex DataLens регулируется через консоль Yandex.Cloud.
Чтобы предоставить доступ, назначьте пользователю одну из ролей DataLens.

Разграничение прав доступа в сервисе реализовано на уровне объектов и папок.
На каждый объект и папку можно назначать пользователю права доступа, которые определяют допустимые операции. Если вы создали или скопировали папку или объект, то у них будут те же права, что и у родительской папки, в которой они будут размещены.

Вы можете предоставить пользователю доступ к папке или к любому объекту сервиса:

• Подключение
• Датасет
• Чарт
• Дашборд

Также пользователь может запросить права доступа самостоятельно через форму запроса. Подробнее в разделе Запрос прав доступа.

Пользовательские роли

Позволяют определить права пользователя в экземпляре DataLens:

• datalens.instances.user — пользователь DataLens с правами на создание, чтение и изменение объектов согласно правам доступа на объекты.
• datalens.instances.admin — администратор экземпляра DataLens. Роль автоматически присваивается создателю экземпляра. Администратор обладает правами datalens.instances.user, а также может изменять тарифный план и оплачивать платный контент в Cloud Marketplace.

Пользовательские роли назначаются в консоли Yandex.Cloud.

Добавление пользователя

Добавлять можно пользователей с аккаунтом на Яндексе и федеративных пользователей.

Добавить пользователя с аккаунтом на Яндексе

Чтобы добавить пользователя и предоставить ему доступ к сервису DataLens:

1. Откройте страницу Управление доступом для выбранного облака. Если необходимо, переключитесь на другое облако.

2. На странице Пользователи и роли в правом верхнем углу нажмите Добавить пользователя.

3. Введите электронную почту пользователя в Яндексе.

4. Нажмите кнопку Добавить. При добавлении нового пользователя в облако ему автоматически назначается роль участника облака — resource-manager.clouds.member.

   Примечание

   Время до появления логина добавленного пользователя в форме выдачи прав доступа может достигать нескольких часов.

5. Выберите пользователя, которому хотите назначить роль, нажмите значок и выберите Настроить роли.

6. Для добавления роли на облако нажмите значок в блоке Роли на облако <имя облака>.

   Для добавления роли на каталог, выберите каталог и нажмите Назначить роль в блоке Роли в каталогах.

7. Выберите datalens.instances.user или datalens.instances.admin из списка.

Добавить федеративных пользователей

Для добавления федеративных пользователей вам необходимо знать Name ID пользователей, которые возвращает сервер поставщика удостоверений (IdP) вместе с ответом об успешной аутентификации. Обычно это основной email пользователя. Если вы не знаете, что возвращает сервер в качестве Name ID, обратитесь к администратору, который настраивал аутентификацию в вашей федерации.

1. Добавьте федеративных пользователей:

   Консоль управления

   CLI

   API

   Чтобы добавить пользователей федерации в облако:

   1. Откройте страницу Управление доступом для выбранного облака. Если необходимо, переключитесь на другое облако.

   2. Нажмите на стрелку возле кнопки Добавить пользователя.
   3. Выберите Добавить федеративных пользователей.
   4. Выберите федерацию, из которой необходимо добавить пользователей.
   5. Перечислите Name ID пользователей, разделяя их переносами строк.

   Если у вас еще нет интерфейса командной строки Yandex.Cloud, установите и инициализируйте его.

   По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name или --folder-id.

   1. Посмотрите описание команды добавления пользователей:

      $ yc iam federation add-user-accounts --help
      

   2. Добавьте пользователей, перечислив их Name ID через запятую:

      $ yc iam federation add-user-accounts --name my-federation \
        --name-ids=alice@example.com,bob@example.com,charlie@example.com
      

   Чтобы добавить пользователей федерации в облако:

   1. Сформируйте файл с телом запроса, например body.json. В теле запроса укажите массив Name ID пользователей, которых необходимо добавить:

      {
        "nameIds": [
          "alice@example.com",
          "bob@example.com",
          "charlie@example.com"
        ]
      }
      

   2. Отправьте запрос, указав в параметрах идентификатор федерации:

      $ curl -X POST \
        -H "Content-Type: application/json" \
        -H "Authorization: Bearer <IAM-токен>" \
        -d '@body.json' \
        https://iam.api.cloud.yandex.net/iam/v1/saml/federations/<ID федерации>:addUserAccounts
      

2. Выберите пользователя, которому хотите назначить роль, нажмите значок и выберите Настроить роли.

3. Для добавления роли на облако нажмите значок в блоке Роли на облако <имя облака>.

   Для добавления роли на каталог, выберите каталог и нажмите Назначить роль в блоке Роли в каталогах.

4. Выберите datalens.instances.user из списка.

Подробнее о назначении ролей в Yandex.Cloud в разделе Роли.

Права доступа на объекты

Права доступа можно назначить отдельным пользователям или группе Все, в которую входят пользователи, прошедшие аутентификацию.
Вы можете назначить следующие права доступа на объекты и папки в сервисе DataLens:

• Исполнение
• Просмотр
• Редактирование
• Администрирование

Исполнение

Пользователь с правом доступа Исполнение на подключение может выполнять к нему запросы, но не может создавать датасеты. Независимо от прав на датасет, пользователю не доступен список таблиц в датасете и просмотр SQL-подзапроса, на котором основан датасет.

Пользователь с правом доступа Исполнение на датасет может выполнять к нему запросы, но не может создавать или редактировать чарты и просматривать датасет.

Назначение пользователям права доступа Исполнение дает возможность:

• Уменьшить число запросов в источник, тем самым уменьшить нагрузку на источник подключения.

• Лучше контролировать данные, которые разрешено показывать из датасета. Можно скрыть часть полей из источника, чтобы пользователь не мог посмотреть весь перечень полей.

• Ограничить создание подзапросов к исходной БД. Пользователь с правом Исполнение не может писать подзапросы.

Просмотр

Пользователь с правом доступа Просмотр может просматривать дашборды, виджеты, датасеты и папки.

Редактирование

Пользователь с правом доступа Редактирование может изменять дашборды, виджеты, подключения, датасеты и папки.

Право доступа Редактирование включает в себя все разрешения права доступа Просмотр.

Администрирование

Пользователь с правом доступа Администрирование может изменять доступные объекты и папки, изменять права доступа.

Право доступа Администрирование включает в себя все разрешения права доступа Редактирование.

Таблица прав доступа

Объект доступа Действие	Исполнение	Просмотр	Редактирование	Администрирование
Папка
Просмотр папки	N/A	✔	✔	✔
Редактирование папки	N/A	-	✔	✔
Удаление папки	N/A	-	-	✔
Изменение прав доступа	N/A	-	-	✔
Подключение
Выполнение запросов к подключению	✔	✔	✔	✔
Создание датасета над подключением	-	✔	✔	✔
Просмотр параметров подключения	-	✔	✔	✔
Редактирование подключения	-	-	✔	✔
Удаление подключения	-	-	-	✔
Изменение прав доступа	-	-	-	✔
Датасет
Выполнение запросов к датасету	✔	✔	✔	✔
Создание чарта над датасетом	-	✔	✔	✔
Просмотр датасета	-	✔	✔	✔
Редактирование датасета	-	-	✔	✔
Удаление датасета	-	-	-	✔
Изменение прав доступа	-	-	-	✔
Чарт
Просмотр чарта	N/A	✔	✔	✔
Редактирование чарта	N/A	-	✔	✔
Удаление чарта	N/A	-	-	✔
Изменение прав доступа	N/A	-	-	✔
Предоставить публичный доступ	N/A	-	-	✔
Дашборд
Просмотр дашборда	N/A	✔	✔	✔
Редактирование дашборда	N/A	-	✔	✔
Удаление дашборда	N/A	-	-	✔
Изменение прав доступа	N/A	-	-	✔
Предоставить публичный доступ	N/A	-	-	✔

Аудит доступа к объектам

Пользователь DataLens может получить логи доступа к объектам DataLens (просмотр, редактирование, удаление).
Чтобы получить логи, обратитесь в службу технической поддержки.

Что дальше

• Назначение прав доступа
• Удаление прав доступа
• Запрос прав доступа
• Управление доступом к строкам данных датасета