Подключиться
Language / Region
© 2022 ООО «Яндекс.Облако»
Yandex DataLens

Управление доступом к DataLens

Статья создана
,
улучшена

Доступ к сервису Yandex DataLens регулируется путем назначения прав:

  • для экземпляра DataLens на уровне организации — через сервис организации;
  • для экземпляра DataLens на уровне каталога облака — через консоль Yandex Cloud.

Чтобы предоставить доступ, назначьте пользователю одну из ролей DataLens.

Разграничение прав доступа в DataLens реализовано на уровне объектов и папок.
На каждый объект и папку можно назначать пользователю права доступа, которые определяют допустимые операции. Если вы создали или скопировали папку или объект, то у них будут те же права, что и у родительской папки, в которой они будут размещены.

Вы можете предоставить пользователю доступ к папке или к любому объекту сервиса:

  • Подключение
  • Датасет
  • Чарт
  • Дашборд

Также пользователь может запросить права доступа самостоятельно через форму запроса. Подробнее в разделе Запрос прав доступа.

Пользовательские роли

Позволяют определить права пользователя в экземпляре DataLens:

  • datalens.instances.user — пользователь DataLens с правами на создание, чтение и изменение объектов согласно правам доступа на объекты.
  • datalens.instances.admin — администратор экземпляра DataLens. Роль автоматически присваивается создателю экземпляра. Администратор обладает правами datalens.instances.user. Ему доступны настройки DataLens.

Пользовательские роли назначаются:

  • для экземпляра DataLens на уровне организации — через сервис организации;
  • для экземпляра DataLens на уровне каталога облака — через консоль Yandex Cloud.

Добавление пользователя

Добавлять можно пользователей с аккаунтом на Яндексе и федеративных пользователей.

Добавить пользователя с аккаунтом на Яндексе

Чтобы добавить пользователя и предоставить ему доступ к сервису DataLens:

  1. Убедитесь, что вы авторизованы в Yandex Cloud как администратор или владелец требуемой организации (у вашего пользователя есть роль admin или owner в ней). В верхнем левом углу нажмите и выберите Ресурсы и управлениеУправление сервисами организации или перейдите по ссылке.

  2. В правом верхнем углу нажмите кнопку Добавить пользователя. В открывшемся окне введите почтовый адрес пользователя Яндекса и нажмите кнопку Добавить. Новый пользователь появится в списке пользователей организации.

    Важно

    На данный момент можно добавить только пользователей с аккаунтом Яндекса. Другие учётные записи не поддерживаются.

  3. Назначьте этому пользователю роль для доступа к сервису DataLens:

    1. Откройте окно Настройка прав доступа:

      1. Выберите пользователя, которому хотите назначить роль.
      2. Нажмите значок .
      3. Выберите Настроить доступ.

    2. В окне Настройка прав доступа нажмите Добавить роль. Выберите роль datalens.instances.user из списка.

    3. Нажмите Сохранить. Пользователь получит доступ к сервису DataLens.

  1. Откройте страницу Пользователи и роли для выбранного облака. Если необходимо, переключитесь на другое облако.

  2. На странице Пользователи и роли в правом верхнем углу нажмите Добавить пользователя.

  3. Введите электронную почту пользователя в Яндексе.

  4. Нажмите кнопку Добавить. При добавлении нового пользователя в облако ему автоматически назначается роль участника облака — resource-manager.clouds.member.

    Примечание

    Время до появления логина добавленного пользователя в форме выдачи прав доступа может достигать нескольких часов.

    1. Выберите пользователя, которому хотите назначить роль.
    2. Нажмите значок .
    3. Выберите Настроить доступ.

  6. Для добавления роли на облако нажмите значок в блоке Роли на облако <имя облака>.

    Для добавления роли на каталог, выберите каталог и нажмите Назначить роль в блоке Роли в каталогах.

  7. Выберите datalens.instances.user или datalens.instances.admin из списка.

Добавить федеративных пользователей

Для добавления федеративных пользователей вам необходимо знать Name ID пользователей, которые возвращает сервер поставщика удостоверений (IdP) вместе с ответом об успешной аутентификации. Обычно это основной email пользователя. Если вы не знаете, что возвращает сервер в качестве Name ID, обратитесь к администратору, который настраивал аутентификацию в вашей федерации.

Добавить федеративных пользователей в организацию

Чтобы добавить пользователей федерации в организацию и предоставить им доступ к сервису DataLens:

  1. Добавьте федеративных пользователей:

    1. Убедитесь, что вы авторизованы в Yandex Cloud как администратор или владелец требуемой организации (у вашего пользователя есть роль admin или owner в ней). В верхнем левом углу нажмите и выберите Ресурсы и управлениеУправление сервисами организации или перейдите по ссылке.
    2. В правом верхнем углу нажмите на стрелку возле кнопки Добавить пользователя. Выберите Добавить федеративных пользователей.
    3. Выберите федерацию, из которой необходимо добавить пользователей.
    4. Перечислите Name ID пользователей, разделяя их переносами строк.
    5. Нажмите кнопку Добавить. Пользователи будут подключены к организации.

    Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.

    По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name или --folder-id.

    1. Посмотрите описание команды добавления пользователей:

      yc organization-manager federation saml add-user-accounts --help

    2. Добавьте пользователей, перечислив их Name ID через запятую:

      yc organization-manager federation saml add-user-accounts --name my-federation \
  --name-ids=alice@example.com,bob@example.com,charlie@example.com

    1. Сформируйте файл с телом запроса, например body.json. В теле запроса укажите массив Name ID пользователей, которых необходимо добавить:

      {
  "nameIds": [
    "alice@example.com",
    "bob@example.com",
    "charlie@example.com"
  ]
}

    2. Отправьте запрос, указав в параметрах идентификатор федерации:

      $ curl -X POST \
  -H "Content-Type: application/json" \
  -H "Authorization: Bearer <IAM-токен>" \
  -d '@body.json' \
  https://organization-manager.api.cloud.yandex.net/organization-manager/v1/saml/federations/<ID федерации>:addUserAccounts

  2. Назначьте пользователям роли для доступа к сервису DataLens:

      1. Выберите пользователя, которому хотите назначить роль.
      2. Нажмите значок .
      3. Выберите Настроить доступ.
    2. В окне Настройка прав доступа нажмите Добавить роль. Выберите роль datalens.instances.user из списка.
    3. Нажмите Сохранить. Пользователь получит доступ к сервису DataLens.

Добавить федеративных пользователей в облако

Чтобы добавить пользователей федерации в облако и предоставить им доступ к сервису DataLens::

  1. Добавьте федеративных пользователей:

    Чтобы добавить пользователей федерации в облако:

    1. Откройте страницу Пользователи и роли для выбранного облака. Если необходимо, переключитесь на другое облако.

    2. Нажмите на стрелку возле кнопки Добавить пользователя.
    3. Выберите Добавить федеративных пользователей.
    4. Выберите федерацию, из которой необходимо добавить пользователей.
    5. Перечислите Name ID пользователей, разделяя их переносами строк.

    Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.

    По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name или --folder-id.

    1. Посмотрите описание команды добавления пользователей:

      $ yc iam federation add-user-accounts --help

    2. Добавьте пользователей, перечислив их Name ID через запятую:

      $ yc iam federation add-user-accounts --name my-federation \
  --name-ids=alice@example.com,bob@example.com,charlie@example.com

    Чтобы добавить пользователей федерации в облако:

    1. Сформируйте файл с телом запроса, например body.json. В теле запроса укажите массив Name ID пользователей, которых необходимо добавить:

      {
  "nameIds": [
    "alice@example.com",
    "bob@example.com",
    "charlie@example.com"
  ]
}

    2. Отправьте запрос, указав в параметрах идентификатор федерации:

      $ curl -X POST \
  -H "Content-Type: application/json" \
  -H "Authorization: Bearer <IAM-токен>" \
  -d '@body.json' \
  https://iam.api.cloud.yandex.net/iam/v1/saml/federations/<ID федерации>:addUserAccounts
    1. Выберите пользователя, которому хотите назначить роль.
    2. Нажмите значок .
    3. Выберите Настроить доступ.

  3. Для добавления роли на облако нажмите значок в блоке Роли на облако <имя облака>.

    Для добавления роли на каталог, выберите каталог и нажмите Назначить роль в блоке Роли в каталогах.

  4. Выберите datalens.instances.user из списка.

Подробнее о назначении ролей в Yandex Cloud в разделе Роли.

Права доступа на объекты

Права доступа можно назначить отдельным пользователям или группе Все, в которую входят пользователи, прошедшие аутентификацию.

Вы можете назначить следующие права доступа на объекты и папки в сервисе DataLens:

Исполнение

Пользователь с правом доступа Исполнение на подключение может выполнять к нему запросы, но не может создавать датасеты. Независимо от прав на датасет, пользователю не доступен список таблиц в датасете и просмотр SQL-подзапроса, на котором основан датасет.

Пользователь с правом доступа Исполнение на датасет может выполнять к нему запросы, но не может создавать или редактировать чарты и просматривать датасет.

Важно

Вы можете назначить право доступа Исполнение только на подключения и датасеты.

Назначение пользователям права доступа Исполнение дает возможность:

  • Уменьшить число запросов в источник, тем самым уменьшить нагрузку на источник подключения.

  • Лучше контролировать данные, которые разрешено показывать из датасета. Можно скрыть часть полей из источника, чтобы пользователь не мог посмотреть весь перечень полей.

  • Ограничить создание подзапросов к исходной БД. Пользователь с правом Исполнение не может писать подзапросы.

Просмотр

Пользователь с правом доступа Просмотр может просматривать дашборды, виджеты, датасеты и папки.

Важно

Право доступа Просмотр не позволяет копировать датасеты, потому что они содержат настройки RLS. Копирование датасетов доступно при наличии права Редактирование или Администрирование.

Редактирование

Пользователь с правом доступа Редактирование может изменять дашборды, виджеты, подключения, датасеты и папки.

Право доступа Редактирование включает в себя все разрешения права доступа Просмотр.

Администрирование

Пользователь с правом доступа Администрирование может изменять доступные объекты и папки, изменять права доступа.

Право доступа Администрирование включает в себя все разрешения права доступа Редактирование.

Таблица прав доступа

Объект доступа
Действие		 Исполнение Просмотр Редактирование Администрирование
Папка
Просмотр папки N/A
Редактирование папки N/A -
Удаление папки N/A - -
Изменение прав доступа N/A - -
Подключение
Выполнение запросов
к подключению
Создание датасета
над подключением		 -
Просмотр параметров
подключения		 -
Редактирование подключения - -
Удаление подключения - - -
Изменение прав доступа - - -
Датасет
Выполнение запросов
к датасету
Создание чарта
над датасетом		 -
Просмотр датасета -
Редактирование датасета - -
Удаление датасета - - -
Изменение прав доступа - - -
Чарт
Просмотр чарта N/A
Редактирование чарта N/A -
Удаление чарта N/A - -
Изменение прав доступа N/A - -
Предоставить публичный доступ N/A - -
Дашборд
Просмотр дашборда N/A
Редактирование дашборда N/A -
Удаление дашборда N/A - -
Изменение прав доступа N/A - -
Предоставить публичный доступ N/A - -

Аудит доступа к объектам

Пользователь DataLens может получить логи доступа к объектам DataLens (просмотр, редактирование, удаление).
Чтобы получить логи, обратитесь в службу технической поддержки.

Что дальше

Language / Region
© 2022 ООО «Яндекс.Облако»
В этой статье: