Управление доступом к DataLens
Доступ к сервису Yandex DataLens регулируется через консоль Yandex.Cloud.
Чтобы предоставить доступ, назначьте пользователю одну из ролей DataLens.
Разграничение прав доступа в сервисе реализовано на уровне объектов и папок.
На каждый объект и папку можно назначать пользователю права доступа, которые определяют допустимые операции. Если вы создали или скопировали папку или объект, то у них будут те же права, что и у родительской папки, в которой они будут размещены.
Вы можете предоставить пользователю доступ к папке или к любому объекту сервиса:
- Подключение
- Датасет
- Чарт
- Дашборд
Также пользователь может запросить права доступа самостоятельно через форму запроса. Подробнее в разделе Запрос прав доступа.
Пользовательские роли
Позволяют определить права пользователя в экземпляре DataLens:
datalens.instances.user— пользователь DataLens с правами на создание, чтение и изменение объектов согласно правам доступа на объекты.datalens.instances.admin— администратор экземпляра DataLens. Роль автоматически присваивается создателю экземпляра. Администратор обладает правамиdatalens.instances.user, а также может изменять тарифный план и оплачивать платный контент в Cloud Marketplace.
Пользовательские роли назначаются в консоли Yandex.Cloud.
Добавление пользователя
Добавлять можно пользователей с аккаунтом на Яндексе и федеративных пользователей.
Добавить пользователя с аккаунтом на Яндексе
Чтобы добавить пользователя и предоставить ему доступ к сервису DataLens:
-
Откройте страницу Управление доступом для выбранного облака. Если необходимо, переключитесь на другое облако.
-
На странице Пользователи и роли в правом верхнем углу нажмите Добавить пользователя.
-
Введите электронную почту пользователя в Яндексе.
-
Нажмите кнопку Добавить. При добавлении нового пользователя в облако ему автоматически назначается роль участника облака —
resource-manager.clouds.member.Примечание
Время до появления логина добавленного пользователя в форме выдачи прав доступа может достигать нескольких часов.
-
Выберите пользователя, которому хотите назначить роль, нажмите значок и выберите Настроить роли.
-
Для добавления роли на облако нажмите значок в блоке Роли на облако <имя облака>.
Для добавления роли на каталог, выберите каталог и нажмите Назначить роль в блоке Роли в каталогах.
-
Выберите
datalens.instances.userилиdatalens.instances.adminиз списка.
Добавить федеративных пользователей
Для добавления федеративных пользователей вам необходимо знать Name ID пользователей, которые возвращает сервер поставщика удостоверений (IdP) вместе с ответом об успешной аутентификации. Обычно это основной email пользователя. Если вы не знаете, что возвращает сервер в качестве Name ID, обратитесь к администратору, который настраивал аутентификацию в вашей федерации.
-
Добавьте федеративных пользователей:
Консоль управленияCLIAPIЧтобы добавить пользователей федерации в облако:
-
Откройте страницу Управление доступом для выбранного облака. Если необходимо, переключитесь на другое облако.
- Нажмите на стрелку возле кнопки Добавить пользователя.
- Выберите Добавить федеративных пользователей.
- Выберите федерацию, из которой необходимо добавить пользователей.
- Перечислите Name ID пользователей, разделяя их переносами строк.
Если у вас еще нет интерфейса командной строки Yandex.Cloud, установите и инициализируйте его.
По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра
--folder-nameили--folder-id.-
Посмотрите описание команды добавления пользователей:
$ yc iam federation add-user-accounts --help -
Добавьте пользователей, перечислив их Name ID через запятую:
$ yc iam federation add-user-accounts --name my-federation \ --name-ids=alice@example.com,bob@example.com,charlie@example.com
Чтобы добавить пользователей федерации в облако:
-
Сформируйте файл с телом запроса, например
body.json. В теле запроса укажите массив Name ID пользователей, которых необходимо добавить:{ "nameIds": [ "alice@example.com", "bob@example.com", "charlie@example.com" ] } -
Отправьте запрос, указав в параметрах идентификатор федерации:
$ curl -X POST \ -H "Content-Type: application/json" \ -H "Authorization: Bearer <IAM-токен>" \ -d '@body.json' \ https://iam.api.cloud.yandex.net/iam/v1/saml/federations/<ID федерации>:addUserAccounts
-
-
Выберите пользователя, которому хотите назначить роль, нажмите значок и выберите Настроить роли.
-
Для добавления роли на облако нажмите значок в блоке Роли на облако <имя облака>.
Для добавления роли на каталог, выберите каталог и нажмите Назначить роль в блоке Роли в каталогах.
-
Выберите
datalens.instances.userиз списка.
Подробнее о назначении ролей в Yandex.Cloud в разделе Роли.
Права доступа на объекты
Права доступа можно назначить отдельным пользователям или группе Все, в которую входят пользователи, прошедшие аутентификацию.
Вы можете назначить следующие права доступа на объекты и папки в сервисе DataLens:
Исполнение
Пользователь с правом доступа Исполнение на подключение может выполнять к нему запросы, но не может создавать датасеты. Независимо от прав на датасет, пользователю не доступен список таблиц в датасете и просмотр SQL-подзапроса, на котором основан датасет.
Пользователь с правом доступа Исполнение на датасет может выполнять к нему запросы и создавать чарты, но не может просматривать датасет.
Важно
Вы можете назначить право доступа Исполнение только на подключения и датасеты.
Назначение пользователям права доступа Исполнение дает возможность:
-
Уменьшить число запросов в источник, тем самым уменьшить нагрузку на источник подключения.
-
Лучше контролировать данные, которые разрешено показывать из датасета. Можно скрыть часть полей из источника, чтобы пользователь не мог посмотреть весь перечень полей.
-
Ограничить создание подзапросов к исходной БД. Пользователь с правом
Исполнениене может писать подзапросы.
Просмотр
Пользователь с правом доступа Просмотр может просматривать дашборды, виджеты, датасеты и папки.
Важно
Право доступа Просмотр не позволяет копировать датасеты, потому что они содержат настройки RLS. Копирование датасетов доступно при наличии права Редактирование или Администрирование.
Редактирование
Пользователь с правом доступа Редактирование может изменять дашборды, виджеты, подключения, датасеты и папки.
Право доступа Редактирование включает в себя все разрешения права доступа Просмотр.
Администрирование
Пользователь с правом доступа Администрирование может изменять доступные объекты и папки, изменять права доступа.
Право доступа Администрирование включает в себя все разрешения права доступа Редактирование.
Таблица прав доступа
| Объект доступа Действие |
Исполнение | Просмотр | Редактирование | Администрирование |
|---|---|---|---|---|
| Папка | ||||
| Просмотр папки | N/A | ✔ | ✔ | ✔ |
| Редактирование папки | N/A | - | ✔ | ✔ |
| Удаление папки | N/A | - | - | ✔ |
| Изменение прав доступа | N/A | - | - | ✔ |
| Подключение | ||||
| Выполнение запросов к подключению |
✔ | ✔ | ✔ | ✔ |
| Создание датасета над подключением |
- | ✔ | ✔ | ✔ |
| Просмотр параметров подключения |
- | ✔ | ✔ | ✔ |
| Редактирование подключения | - | - | ✔ | ✔ |
| Удаление подключения | - | - | - | ✔ |
| Изменение прав доступа | - | - | - | ✔ |
| Датасет | ||||
| Выполнение запросов к датасету |
✔ | ✔ | ✔ | ✔ |
| Создание чарта над датасетом |
✔ | ✔ | ✔ | ✔ |
| Просмотр датасета | - | ✔ | ✔ | ✔ |
| Редактирование датасета | - | - | ✔ | ✔ |
| Удаление датасета | - | - | - | ✔ |
| Изменение прав доступа | - | - | - | ✔ |
| Чарт | ||||
| Просмотр чарта | N/A | ✔ | ✔ | ✔ |
| Редактирование чарта | N/A | - | ✔ | ✔ |
| Удаление чарта | N/A | - | - | ✔ |
| Изменение прав доступа | N/A | - | - | ✔ |
| Предоставить публичный доступ | N/A | - | - | ✔ |
| Дашборд | ||||
| Просмотр дашборда | N/A | ✔ | ✔ | ✔ |
| Редактирование дашборда | N/A | - | ✔ | ✔ |
| Удаление дашборда | N/A | - | - | ✔ |
| Изменение прав доступа | N/A | - | - | ✔ |
| Предоставить публичный доступ | N/A | - | - | ✔ |
Аудит доступа к объектам
Пользователь DataLens может получить логи доступа к объектам DataLens (просмотр, редактирование, удаление).
Чтобы получить логи, обратитесь в службу технической поддержки.