Управление доступом
Доступ к сервису Yandex DataLens регулируется через консоль Яндекс.Облака.
Чтобы предоставить доступ, назначьте пользователю роль datalens.instances.user.
Разграничение прав доступа в сервисе реализовано на уровне объектов и папок. На каждый объект и папку можно назначать пользователю права доступа, которые определяют допустимые операции.
Вы можете предоставить пользователю доступ к папке или к любому объекту сервиса:
- Подключение
- Датасет
- Чарт
- Дашборд
Также пользователь может запросить права доступа самостоятельно через форму запроса. Подробнее в разделе Запрос прав доступа.
Добавление пользователя
Чтобы добавить пользователя и предоставить ему доступ к сервису DataLens:
-
Откройте страницу Управление доступом для выбранного облака. Если необходимо, переключитесь на другое облако.
-
На странице Пользователи и роли в правом верхнем углу нажмите Добавить пользователя.
-
Введите электронную почту пользователя в Яндексе.
-
Нажмите кнопку Добавить. При добавлении нового пользователя в облако ему автоматически назначается роль участника облака —
resource-manager.clouds.member. -
Выберите пользователя, которому хотите назначить роль, нажмите значок
и выберите Настроить роли. -
Для добавления роли на облако нажмите значок
в блоке Роли на облако <имя облака>.Для добавления роли на каталог, выберите каталог и нажмите Назначить роль в блоке Роли в каталогах.
-
Выберите
datalens.instances.userиз списка.
Подробнее о назначении ролей в Яндекс.Облаке в разделе Роли.
Права доступа
Вы можете назначить следующие права доступа на объекты и папки в сервисе DataLens:
Исполнение
Пользователь с правом доступа Исполнение может выполнять запросы к доступным подключениям и датасетам.
С эти правом пользователь не может просматривать подключения и датасеты.
Важная информация
Вы можете назначить право доступа Исполнение только на подключение и датасет.
Просмотр
Пользователь с правом доступа Просмотр может просматривать дашборды, виджеты, датасеты и папки.
Редактирование
Пользователь с правом доступа Редактирование может изменять дашборды, виджеты, подключения, датасеты и папки.
Право доступа Редактирование включает в себя все разрешения права доступа Просмотр.
Администрирование
Пользователь с правом доступа Администрирование может изменять доступные объекты и папки, изменять права доступа.
Право доступа Администрирование включает в себя все разрешения права доступа Редактирование.
Таблица прав доступа
| Объект доступа Действие |
Исполнение | Просмотр | Редактирование | Администрирование |
|---|---|---|---|---|
| Папка | ||||
| Просмотр папки | N/A | ✔ | ✔ | ✔ |
| Редактирование папки | N/A | - | ✔ | ✔ |
| Изменение прав доступа | N/A | - | - | ✔ |
| Подключение | ||||
| Выполнение запросов к подключению |
✔ | ✔ | ✔ | ✔ |
| Создание датасета над подключением |
✔ | ✔ | ✔ | ✔ |
| Просмотр параметров подключения |
- | ✔ | ✔ | ✔ |
| Редактирование подключения | - | - | ✔ | ✔ |
| Изменение прав доступа | - | - | - | ✔ |
| Датасет | ||||
| Выполнение запросов к датасету |
✔ | ✔ | ✔ | ✔ |
| Создание чарта над датасетом |
✔ | ✔ | ✔ | ✔ |
| Просмотр датасета | - | ✔ | ✔ | ✔ |
| Редактирование датасета | - | - | ✔ | ✔ |
| Изменение прав доступа | - | - | - | ✔ |
| Чарт | ||||
| Просмотр чарта | N/A | ✔ | ✔ | ✔ |
| Редактирование чарта | N/A | - | ✔ | ✔ |
| Изменение прав доступа | N/A | - | - | ✔ |
| Дашборд | ||||
| Просмотр дашборда | N/A | ✔ | ✔ | ✔ |
| Редактирование дашборда | N/A | - | ✔ | ✔ |
| Изменение прав доступа | N/A | - | - | ✔ |
Безопасность на уровне строк данных (RLS)
В датасете можно разграничить доступ к данным на уровне строк (Row-level security или RLS). Вы можете разграничить доступ к любому измерению датасета.
RLS позволяет ограничить доступ к данным для пользователей в рамках одного датасета. Например, вы можете разграничить доступ разным клментам. Каждому пользователю может быть выданы права на неограниченное количество значений измерений.
Разграничение определяется конфигурацией доступа, которая выглядит следующим образом:
'[значение 1]': [пользователь 1], [пользователь 2]
'[значение 2]': [пользователь 3]
'[значение 3]': [пользователь 1], [пользователь 2], [пользователь 3]
В случае RLS все запросы к датасету проходят через следующий фильтр:
where [измерение] in ([значение 1], [значение 2]... [значение N])
Важная информация
Если вы разграничили доступ к строкам, ограничьте доступ к датасету с помощью права доступа Исполнение. Это исключит возможность изменить права доступа к строкам, а также открыть окно предпросмотра данных.