Yandex Cloud
  • Сервисы
  • Решения
  • Почему Yandex Cloud
  • Сообщество
  • Тарифы
  • Документация
  • Связаться с нами
Подключиться
Language / Region
© 2022 ООО «Яндекс.Облако»
Yandex DataLens
  • Начало работы
  • Практические руководства
    • Все руководства
    • Визуализация данных из CSV-файла
    • Создание и публикация диаграммы с картой Москвы из CSV-файла
    • Анализ продаж сети магазинов из БД ClickHouse
    • Анализ открытых данных ДТП на дорогах России
    • Анализ продаж и локаций пиццерий на данных из БД Clickhouse и Marketplace
    • Веб-аналитика с подключением к Яндекс Метрике
    • Веб-аналитика с расчетом воронок и когорт на данных Яндекс Метрики
    • Аналитика мобильного приложения на данных AppMetrica
    • Анализ статистики подкастов Яндекс Музыки (для авторов подкастов)
    • Визуализация данных с помощью QL-чарта
    • Построение чартов customer journeys на данных AppMetrica
  • Концепции
    • Обзор сервиса
    • Подключение
    • Типы данных
    • Датасет
      • Обзор
      • Модель данных
      • Настройки датасета
    • Чарт
      • Обзор
      • Типы чартов
      • Настройки чарта
    • Дашборд
    • Объединение данных
    • Использование Markdown в DataLens
    • DataLens Public
    • Вычисляемые поля
      • Обзор
      • Синтаксис формул
    • Параметризация
    • Marketplace
    • Резервное копирование
    • Кеширование
    • Квоты и лимиты
    • Организации в DataLens
  • Пошаговые инструкции
    • Все инструкции
    • Работа с подключениями
      • Создание подключения к ClickHouse
      • Создание подключения к файлу CSV
      • Создание подключения к Google Sheets
      • Создание подключения к MySQL
      • Создание подключения к PostgreSQL
      • Создание подключения к MS SQL Server
      • Создание подключения к Oracle Database
      • Создание подключения к YDB
      • Создание подключения к Greenplum
      • Создание подключения к Metrica API
      • Создание подключения к AppMetrica
      • Создание подключения к Yandex Cloud Billing
      • Управление доступом к подключению
    • Работа с датасетами
      • Создание датасета
      • Объединение данных из нескольких таблиц
      • Объединение данных из нескольких CSV-подключений
      • Создание поля данных
      • Создание вычисляемого поля данных
      • Создание фильтра по умолчанию для новых чартов
      • Обновление полей в датасете
      • Описание датасета через SQL-запрос к источнику
      • Материализация датасета
      • Управление доступом к датасету
      • Управление доступом к строкам данных
      • Добавление параметра в датасет
    • Работа с чартами
      • Создание линейной диаграммы
      • Создание диаграммы с областями
      • Создание круговой диаграммы
      • Создание кольцевой диаграммы
      • Создание столбчатой диаграммы
      • Создание линейчатой диаграммы
      • Создание точечной диаграммы
      • Создание карты
      • Создание таблицы
      • Создание сводной таблицы
      • Создание индикатора
      • Создание древовидной диаграммы
      • Создание QL-чарта
      • Создание мультидатасетного чарта
      • Добавление иерархии
      • Настройка навигатора
      • Публикация чарта
      • Управление доступом к чарту
      • Добавление ID в качестве параметра
      • Добавление параметра в чарт
    • Работа с дашбордами
      • Создание дашборда
      • Добавление чарта на дашборд
      • Добавление селектора на дашборд
      • Создание алиаса
      • Удаление поля алиаса
      • Публикация дашборда
      • Управление доступом к дашборду
      • Добавление параметров на дашборд
      • Автообновление дашборда
    • Работа с правами доступа
      • Назначение прав доступа
      • Удаление прав доступа
      • Запрос прав доступа
    • Работа с DataLens Marketplace
      • Добавление продукта из Marketplace
      • Удаление продукта из Marketplace
      • Создание и подключение коннектора (для партнеров)
    • Работа с организациями
      • Переключение между экземплярами DataLens
  • Управление доступом
    • Управление доступом к DataLens
    • Управление доступом на уровне строк данных
  • Правила тарификации
  • Справочник функций
    • Все функции
    • Агрегатные функции
      • Обзор
      • ALL_CONCAT
      • ANY
      • ARG_MAX
      • ARG_MIN
      • AVG
      • AVG_IF
      • COUNT
      • COUNTD
      • COUNTD_APPROX
      • COUNTD_IF
      • COUNT_IF
      • MAX
      • MEDIAN
      • MIN
      • QUANTILE
      • QUANTILE_APPROX
      • STDEV
      • STDEVP
      • SUM
      • SUM_IF
      • TOP_CONCAT
      • VAR
      • VARP
    • Географические функции
      • Обзор
      • GEOCODE
      • GEOINFO
      • TOPONYM_TO_GEOPOINT
      • TOPONYM_TO_GEOPOLYGON
    • Логические функции
      • Обзор
      • CASE
      • IF
      • IFNULL
      • ISNULL
      • ZN
    • Математические функции
      • Обзор
      • ABS
      • ACOS
      • ASIN
      • ATAN
      • ATAN2
      • CEILING
      • COMPARE
      • COS
      • COT
      • DEGREES
      • DIV
      • EXP
      • FLOOR
      • GREATEST
      • LEAST
      • LN
      • LOG
      • LOG10
      • PI
      • POWER
      • RADIANS
      • ROUND
      • SIGN
      • SIN
      • SQRT
      • SQUARE
      • TAN
    • Оконные функции
      • Обзор
      • AVG
      • AVG_IF
      • COUNT
      • COUNT_IF
      • FIRST
      • LAG
      • LAST
      • MAVG
      • MAX
      • MCOUNT
      • MIN
      • MMAX
      • MMIN
      • MSUM
      • RANK
      • RANK_DENSE
      • RANK_PERCENTILE
      • RANK_UNIQUE
      • RAVG
      • RCOUNT
      • RMAX
      • RMIN
      • RSUM
      • SUM
      • SUM_IF
    • Операторы
      • Обзор
      • AND
      • BETWEEN
      • IN
      • IS FALSE
      • IS TRUE
      • LIKE
      • NOT
      • OR
      • Вычитание (-)
      • Деление (/)
      • Остаток (%)
      • Отрицание (-)
      • Сложение и конкатенация (+)
      • Сравнение
      • Степень (^)
      • Умножение (*)
    • Строковые функции
      • Обзор
      • ASCII
      • CHAR
      • CONCAT
      • CONTAINS
      • ENDSWITH
      • FIND
      • ICONTAINS
      • IENDSWITH
      • ISTARTSWITH
      • LEFT
      • LEN
      • LOWER
      • LTRIM
      • REGEXP_EXTRACT
      • REGEXP_EXTRACT_NTH
      • REGEXP_MATCH
      • REGEXP_REPLACE
      • REPLACE
      • RIGHT
      • RTRIM
      • SPACE
      • SPLIT
      • STARTSWITH
      • SUBSTR
      • TRIM
      • UPPER
      • UTF8
    • Функции даты и времени
      • Обзор
      • DATEADD
      • DATEPART
      • DATETRUNC
      • DAY
      • DAYOFWEEK
      • HOUR
      • MINUTE
      • MONTH
      • NOW
      • QUARTER
      • SECOND
      • TODAY
      • WEEK
      • YEAR
    • Функции для работы с временными рядами
      • Обзор
      • AGO
      • AT_DATE
    • Функции для работы с массивами
      • Обзор
      • ARRAY
      • ARR_STR
      • CONTAINS
      • COUNT_ITEM
      • GET_ITEM
      • SLICE
      • STARTSWITH
      • UNNEST
    • Функции преобразования типов
      • Обзор
      • BOOL
      • DATE
      • DATETIME
      • DATETIME_PARSE
      • DATE_PARSE
      • DB_CAST
      • FLOAT
      • GEOPOINT
      • GEOPOLYGON
      • INT
      • STR
    • Функции разметки
      • Обзор
      • BOLD
      • ITALIC
      • MARKUP
      • URL
    • Поддержка функций
  • Туториалы по функциям
    • Агрегатные функции
    • Оконные функции
    • LOD-выражения и управление фильтрацией в агрегатных функциях
  • Публичные материалы
    • Образовательные проекты
    • Вебинары и конференции
    • Статьи и публикации
    • Публичные дашборды и чарты
  • Решение проблем
    • Вопросы и ответы
    • Ошибки DataLens
  1. Управление доступом
  2. Управление доступом к DataLens

Управление доступом к DataLens

Статья создана
Yandex Cloud
,
улучшена
amatol
  • Пользовательские роли
  • Добавление пользователя
    • Добавить пользователя с аккаунтом на Яндексе
    • Добавить федеративных пользователей
  • Права доступа на объекты
    • Исполнение
    • Просмотр
    • Редактирование
    • Администрирование
  • Таблица прав доступа
  • Аудит доступа к объектам

Доступ к сервису Yandex DataLens регулируется путем назначения прав:

  • для экземпляра DataLens на уровне организации — через сервис организации;
  • для экземпляра DataLens на уровне каталога облака — через консоль Yandex Cloud.

Чтобы предоставить доступ, назначьте пользователю одну из ролей DataLens.

Разграничение прав доступа в DataLens реализовано на уровне объектов и папок.
На каждый объект и папку можно назначать пользователю права доступа, которые определяют допустимые операции. Если вы создали или скопировали папку или объект, то у них будут те же права, что и у родительской папки, в которой они будут размещены.

Вы можете предоставить пользователю доступ к папке или к любому объекту сервиса:

  • Подключение
  • Датасет
  • Чарт
  • Дашборд

Также пользователь может запросить права доступа самостоятельно через форму запроса. Подробнее в разделе Запрос прав доступа.

Пользовательские роли

Позволяют определить права пользователя в экземпляре DataLens:

  • datalens.instances.user — пользователь DataLens с правами на создание, чтение и изменение объектов согласно правам доступа на объекты.
  • datalens.instances.admin — администратор экземпляра DataLens. Роль автоматически присваивается создателю экземпляра. Администратор обладает правами datalens.instances.user. Ему доступны настройки DataLens.

Пользовательские роли назначаются:

  • для экземпляра DataLens на уровне организации — через сервис организации;
  • для экземпляра DataLens на уровне каталога облака — через консоль Yandex Cloud.

Добавление пользователя

Добавлять можно пользователей с аккаунтом на Яндексе и федеративных пользователей.

Добавить пользователя с аккаунтом на Яндексе

Чтобы добавить пользователя и предоставить ему доступ к сервису DataLens:

В организацию
В облако
  1. Убедитесь, что вы авторизованы в Yandex Cloud как администратор или владелец требуемой организации (у вашего пользователя есть роль admin или owner в ней). В верхнем левом углу нажмите и выберите Ресурсы и управление → Управление сервисами организации или перейдите по ссылке.

  2. В правом верхнем углу нажмите кнопку Добавить пользователя. В открывшемся окне введите почтовый адрес пользователя Яндекса и нажмите кнопку Добавить. Новый пользователь появится в списке пользователей организации.

    Важно

    На данный момент можно добавить только пользователей с аккаунтом Яндекса. Другие учётные записи не поддерживаются.

  3. Назначьте этому пользователю роль для доступа к сервису DataLens:

    1. Откройте окно Настройка прав доступа:

      1. Выберите пользователя, которому хотите назначить роль.
      2. Нажмите значок .
      3. Выберите Настроить доступ.
    2. В окне Настройка прав доступа нажмите Добавить роль. Выберите роль datalens.instances.user из списка.

    3. Нажмите Сохранить. Пользователь получит доступ к сервису DataLens.

  1. Откройте страницу Пользователи и роли для выбранного облака. Если необходимо, переключитесь на другое облако.

  2. На странице Пользователи и роли в правом верхнем углу нажмите Добавить пользователя.

  3. Введите электронную почту пользователя в Яндексе.

  4. Нажмите кнопку Добавить. При добавлении нового пользователя в облако ему автоматически назначается роль участника облака — resource-manager.clouds.member.

    Примечание

    Время до появления логина добавленного пользователя в форме выдачи прав доступа может достигать нескольких часов.

    1. Выберите пользователя, которому хотите назначить роль.
    2. Нажмите значок .
    3. Выберите Настроить доступ.
  5. Для добавления роли на облако нажмите значок в блоке Роли на облако <имя облака>.

    Для добавления роли на каталог, выберите каталог и нажмите Назначить роль в блоке Роли в каталогах.

  6. Выберите datalens.instances.user или datalens.instances.admin из списка.

Добавить федеративных пользователей

Для добавления федеративных пользователей вам необходимо знать Name ID пользователей, которые возвращает сервер поставщика удостоверений (IdP) вместе с ответом об успешной аутентификации. Обычно это основной email пользователя. Если вы не знаете, что возвращает сервер в качестве Name ID, обратитесь к администратору, который настраивал аутентификацию в вашей федерации.

Добавить федеративных пользователей в организацию

Чтобы добавить пользователей федерации в организацию и предоставить им доступ к сервису DataLens:

  1. Добавьте федеративных пользователей:

    Консоль управления
    CLI
    API
    1. Убедитесь, что вы авторизованы в Yandex Cloud как администратор или владелец требуемой организации (у вашего пользователя есть роль admin или owner в ней). В верхнем левом углу нажмите и выберите Ресурсы и управление → Управление сервисами организации или перейдите по ссылке.
    2. В правом верхнем углу нажмите на стрелку возле кнопки Добавить пользователя. Выберите Добавить федеративных пользователей.
    3. Выберите федерацию, из которой необходимо добавить пользователей.
    4. Перечислите Name ID пользователей, разделяя их переносами строк.
    5. Нажмите кнопку Добавить. Пользователи будут подключены к организации.

    Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.

    По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name или --folder-id.

    1. Посмотрите описание команды добавления пользователей:

      yc organization-manager federation saml add-user-accounts --help
      
    2. Добавьте пользователей, перечислив их Name ID через запятую:

      yc organization-manager federation saml add-user-accounts --name my-federation \
        --name-ids=alice@example.com,bob@example.com,charlie@example.com
      
    1. Сформируйте файл с телом запроса, например body.json. В теле запроса укажите массив Name ID пользователей, которых необходимо добавить:

      {
        "nameIds": [
          "alice@example.com",
          "bob@example.com",
          "charlie@example.com"
        ]
      }
      
    2. Отправьте запрос, указав в параметрах идентификатор федерации:

      $ curl -X POST \
        -H "Content-Type: application/json" \
        -H "Authorization: Bearer <IAM-токен>" \
        -d '@body.json' \
        https://organization-manager.api.cloud.yandex.net/organization-manager/v1/saml/federations/<ID федерации>:addUserAccounts
      
  2. Назначьте пользователям роли для доступа к сервису DataLens:

      1. Выберите пользователя, которому хотите назначить роль.
      2. Нажмите значок .
      3. Выберите Настроить доступ.
    1. В окне Настройка прав доступа нажмите Добавить роль. Выберите роль datalens.instances.user из списка.
    2. Нажмите Сохранить. Пользователь получит доступ к сервису DataLens.

Добавить федеративных пользователей в облако

Чтобы добавить пользователей федерации в облако и предоставить им доступ к сервису DataLens::

  1. Добавьте федеративных пользователей:

    Консоль управления
    CLI
    API

    Чтобы добавить пользователей федерации в облако:

    1. Откройте страницу Пользователи и роли для выбранного облака. Если необходимо, переключитесь на другое облако.

    2. Нажмите на стрелку возле кнопки Добавить пользователя.
    3. Выберите Добавить федеративных пользователей.
    4. Выберите федерацию, из которой необходимо добавить пользователей.
    5. Перечислите Name ID пользователей, разделяя их переносами строк.

    Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.

    По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name или --folder-id.

    1. Посмотрите описание команды добавления пользователей:

      $ yc iam federation add-user-accounts --help
      
    2. Добавьте пользователей, перечислив их Name ID через запятую:

      $ yc iam federation add-user-accounts --name my-federation \
        --name-ids=alice@example.com,bob@example.com,charlie@example.com
      

    Чтобы добавить пользователей федерации в облако:

    1. Сформируйте файл с телом запроса, например body.json. В теле запроса укажите массив Name ID пользователей, которых необходимо добавить:

      {
        "nameIds": [
          "alice@example.com",
          "bob@example.com",
          "charlie@example.com"
        ]
      }
      
    2. Отправьте запрос, указав в параметрах идентификатор федерации:

      $ curl -X POST \
        -H "Content-Type: application/json" \
        -H "Authorization: Bearer <IAM-токен>" \
        -d '@body.json' \
        https://iam.api.cloud.yandex.net/iam/v1/saml/federations/<ID федерации>:addUserAccounts
      
    1. Выберите пользователя, которому хотите назначить роль.
    2. Нажмите значок .
    3. Выберите Настроить доступ.
  2. Для добавления роли на облако нажмите значок в блоке Роли на облако <имя облака>.

    Для добавления роли на каталог, выберите каталог и нажмите Назначить роль в блоке Роли в каталогах.

  3. Выберите datalens.instances.user из списка.

Подробнее о назначении ролей в Yandex Cloud в разделе Роли.

Права доступа на объекты

Права доступа можно назначить отдельным пользователям или группе Все, в которую входят пользователи, прошедшие аутентификацию.

Вы можете назначить следующие права доступа на объекты и папки в сервисе DataLens:

  • Исполнение
  • Просмотр
  • Редактирование
  • Администрирование

Исполнение

Пользователь с правом доступа Исполнение на подключение может выполнять к нему запросы, но не может создавать датасеты. Независимо от прав на датасет, пользователю не доступен список таблиц в датасете и просмотр SQL-подзапроса, на котором основан датасет.

Пользователь с правом доступа Исполнение на датасет может выполнять к нему запросы, но не может создавать или редактировать чарты и просматривать датасет.

Важно

Вы можете назначить право доступа Исполнение только на подключения и датасеты.

Назначение пользователям права доступа Исполнение дает возможность:

  • Уменьшить число запросов в источник, тем самым уменьшить нагрузку на источник подключения.

  • Лучше контролировать данные, которые разрешено показывать из датасета. Можно скрыть часть полей из источника, чтобы пользователь не мог посмотреть весь перечень полей.

  • Ограничить создание подзапросов к исходной БД. Пользователь с правом Исполнение не может писать подзапросы.

Просмотр

Пользователь с правом доступа Просмотр может просматривать дашборды, виджеты, датасеты и папки.

Важно

Право доступа Просмотр не позволяет копировать датасеты, потому что они содержат настройки RLS. Копирование датасетов доступно при наличии права Редактирование или Администрирование.

Редактирование

Пользователь с правом доступа Редактирование может изменять дашборды, виджеты, подключения, датасеты и папки.

Право доступа Редактирование включает в себя все разрешения права доступа Просмотр.

Администрирование

Пользователь с правом доступа Администрирование может изменять доступные объекты и папки, изменять права доступа.

Право доступа Администрирование включает в себя все разрешения права доступа Редактирование.

Таблица прав доступа

Объект доступа
Действие
Исполнение Просмотр Редактирование Администрирование
Папка
Просмотр папки N/A ✔ ✔ ✔
Редактирование папки N/A - ✔ ✔
Удаление папки N/A - - ✔
Изменение прав доступа N/A - - ✔
Подключение
Выполнение запросов
к подключению
✔ ✔ ✔ ✔
Создание датасета
над подключением
- ✔ ✔ ✔
Просмотр параметров
подключения
- ✔ ✔ ✔
Редактирование подключения - - ✔ ✔
Удаление подключения - - - ✔
Изменение прав доступа - - - ✔
Датасет
Выполнение запросов
к датасету
✔ ✔ ✔ ✔
Создание чарта
над датасетом
- ✔ ✔ ✔
Просмотр датасета - ✔ ✔ ✔
Редактирование датасета - - ✔ ✔
Удаление датасета - - - ✔
Изменение прав доступа - - - ✔
Чарт
Просмотр чарта N/A ✔ ✔ ✔
Редактирование чарта N/A - ✔ ✔
Удаление чарта N/A - - ✔
Изменение прав доступа N/A - - ✔
Предоставить публичный доступ N/A - - ✔
Дашборд
Просмотр дашборда N/A ✔ ✔ ✔
Редактирование дашборда N/A - ✔ ✔
Удаление дашборда N/A - - ✔
Изменение прав доступа N/A - - ✔
Предоставить публичный доступ N/A - - ✔

Аудит доступа к объектам

Пользователь DataLens может получить логи доступа к объектам DataLens (просмотр, редактирование, удаление).
Чтобы получить логи, обратитесь в службу технической поддержки.

Что дальше

  • Назначение прав доступа
  • Удаление прав доступа
  • Запрос прав доступа
  • Управление доступом к строкам данных датасета

Была ли статья полезна?

Language / Region
© 2022 ООО «Яндекс.Облако»
В этой статье:
  • Пользовательские роли
  • Добавление пользователя
  • Добавить пользователя с аккаунтом на Яндексе
  • Добавить федеративных пользователей
  • Права доступа на объекты
  • Исполнение
  • Просмотр
  • Редактирование
  • Администрирование
  • Таблица прав доступа
  • Аудит доступа к объектам