Подключиться
Yandex DataLens

Управление доступом к DataLens

Доступ к сервису Yandex DataLens регулируется через консоль Яндекс.Облака.
Чтобы предоставить доступ, назначьте пользователю роль datalens.instances.user.

Разграничение прав доступа в сервисе реализовано на уровне объектов и папок.
На каждый объект и папку можно назначать пользователю права доступа, которые определяют допустимые операции.

Вы можете предоставить пользователю доступ к папке или к любому объекту сервиса:

  • Подключение
  • Датасет
  • Чарт
  • Дашборд

Также пользователь может запросить права доступа самостоятельно через форму запроса. Подробнее в разделе Запрос прав доступа.

Добавление пользователя

Добавлять можно пользователей с аккаунтом на Яндексе и федеративных пользователей.

Добавить пользователя с аккаунтом на Яндексе

Чтобы добавить пользователя и предоставить ему доступ к сервису DataLens:

  1. Откройте страницу Управление доступом для выбранного облака. Если необходимо, переключитесь на другое облако.

  2. На странице Пользователи и роли в правом верхнем углу нажмите Добавить пользователя.

  3. Введите электронную почту пользователя в Яндексе.

  4. Нажмите кнопку Добавить. При добавлении нового пользователя в облако ему автоматически назначается роль участника облака — resource-manager.clouds.member.

    Примечание

    Время до появления логина добавленного пользователя в форме выдачи прав доступа может достигать нескольких часов.

  5. Выберите пользователя, которому хотите назначить роль, нажмите значок image и выберите Настроить роли.

  6. Для добавления роли на облако нажмите значок image в блоке Роли на облако <имя облака>.

    Для добавления роли на каталог, выберите каталог и нажмите Назначить роль в блоке Роли в каталогах.

  7. Выберите datalens.instances.user из списка.

Добавить федеративных пользователей

Для добавления федеративных пользователей вам необходимо знать Name ID пользователей, которые возвращает сервер поставщика удостоверений (IdP) вместе с ответом об успешной аутентификации. Обычно это основной email пользователя. Если вы не знаете, что возвращает сервер в качестве Name ID, обратитесь к администратору, который настраивал аутентификацию в вашей федерации.

  1. Добавьте федеративных пользователей:

    Чтобы добавить пользователей федерации в облако:

    1. Откройте страницу Управление доступом для выбранного облака. Если необходимо, переключитесь на другое облако.

    2. Нажмите на стрелку возле кнопки Добавить пользователя.
    3. Выберите Добавить федеративных пользователей.
    4. Выберите федерацию, из которой необходимо добавить пользователей.
    5. Перечислите Name ID пользователей, разделяя их переносами строк.

    Если у вас еще нет интерфейса командной строки Яндекс.Облака, установите и инициализируйте его.

    По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name или --folder-id.

    1. Посмотрите описание команды добавления пользователей:

      $ yc iam federation add-user-accounts --help

    2. Добавьте пользователей, перечислив их Name ID через запятую:

      $ yc iam federation add-user-accounts --name my-federation \
  --name-ids=alice@example.com,bob@example.com,charlie@example.com

    Чтобы добавить пользователей федерации в облако:

    1. Сформируйте файл с телом запроса, например body.json. В теле запроса укажите массив Name ID пользователей, которых необходимо добавить:

      {
  "nameIds": [
    "alice@example.com",
    "bob@example.com",
    "charlie@example.com"
  ]
}

    2. Отправьте запрос, указав в параметрах идентификатор федерации:

      $ curl -X POST \
  -H "Content-Type: application/json" \
  -H "Authorization: Bearer <IAM-токен>" \
  -d '@body.json' \
  https://iam.api.cloud.yandex.net/iam/v1/saml/federations/<ID федерации>:addUserAccounts

  2. Выберите пользователя, которому хотите назначить роль, нажмите значок image и выберите Настроить роли.

  3. Для добавления роли на облако нажмите значок image в блоке Роли на облако <имя облака>.

    Для добавления роли на каталог, выберите каталог и нажмите Назначить роль в блоке Роли в каталогах.

  4. Выберите datalens.instances.user из списка.

Подробнее о назначении ролей в Яндекс.Облаке в разделе Роли.

Права доступа

Вы можете назначить следующие права доступа на объекты и папки в сервисе DataLens:

Исполнение

Пользователь с правом доступа Исполнение может выполнять запросы к доступным подключениям и датасетам.
С эти правом пользователь не может просматривать подключения и датасеты.

Важно

Вы можете назначить право доступа Исполнение только на подключение и датасет.

Просмотр

Пользователь с правом доступа Просмотр может просматривать дашборды, виджеты, датасеты и папки.

Редактирование

Пользователь с правом доступа Редактирование может изменять дашборды, виджеты, подключения, датасеты и папки.

Право доступа Редактирование включает в себя все разрешения права доступа Просмотр.

Администрирование

Пользователь с правом доступа Администрирование может изменять доступные объекты и папки, изменять права доступа.

Право доступа Администрирование включает в себя все разрешения права доступа Редактирование.

Таблица прав доступа

Объект доступа
Действие		 Исполнение Просмотр Редактирование Администрирование
Папка
Просмотр папки N/A
Редактирование папки N/A -
Удаление папки N/A - -
Изменение прав доступа N/A - -
Подключение
Выполнение запросов
к подключению
Создание датасета
над подключением		 -
Просмотр параметров
подключения		 -
Редактирование подключения - -
Удаление подключения - - -
Изменение прав доступа - - -
Датасет
Выполнение запросов
к датасету
Создание чарта
над датасетом
Просмотр датасета -
Редактирование датасета - -
Удаление датасета - - -
Изменение прав доступа - - -
Чарт
Просмотр чарта N/A
Редактирование чарта N/A -
Удаление чарта N/A - -
Изменение прав доступа N/A - -
Дашборд
Просмотр дашборда N/A
Редактирование дашборда N/A -
Удаление дашборда N/A - -
Изменение прав доступа N/A - -

Что дальше