Управление доступом

Доступ к сервису Yandex DataLens регулируется через консоль Яндекс.Облака. Чтобы предоставить доступ, назначьте пользователю роль datalens.instances.user.

Разграничение прав доступа в сервисе реализовано на уровне объектов и папок. На каждый объект и папку можно назначать пользователю права доступа, которые определяют допустимые операции.

Вы можете предоставить пользователю доступ к папке или к любому объекту сервиса:

  • Подключение
  • Датасет
  • Чарт
  • Дашборд

Также пользователь может запросить права доступа самостоятельно через форму запроса. Подробнее в разделе Запрос прав доступа.

Добавление пользователя

Чтобы добавить пользователя и предоставить ему доступ к сервису DataLens:

  1. Откройте страницу Управление доступом для выбранного облака. Если необходимо, переключитесь на другое облако.

  2. На странице Пользователи и роли в правом верхнем углу нажмите Добавить пользователя.

  3. Введите электронную почту пользователя в Яндексе.

  4. Нажмите кнопку Добавить. При добавлении нового пользователя в облако ему автоматически назначается роль участника облака — resource-manager.clouds.member.

  5. Выберите пользователя, которому хотите назначить роль, нажмите значок image и выберите Настроить роли.

  6. Для добавления роли на облако нажмите значок image в блоке Роли на облако <имя облака>.

    Для добавления роли на каталог, выберите каталог и нажмите Назначить роль в блоке Роли в каталогах.

  7. Выберите datalens.instances.user из списка.

Подробнее о назначении ролей в Яндекс.Облаке в разделе Роли.

Права доступа

Вы можете назначить следующие права доступа на объекты и папки в сервисе DataLens:

Исполнение

Пользователь с правом доступа Исполнение может выполнять запросы к доступным подключениям и датасетам. С эти правом пользователь не может просматривать подключения и датасеты.

Важная информация

Вы можете назначить право доступа Исполнение только на подключение и датасет.

Просмотр

Пользователь с правом доступа Просмотр может просматривать дашборды, виджеты, датасеты и папки.

Редактирование

Пользователь с правом доступа Редактирование может изменять дашборды, виджеты, подключения, датасеты и папки.

Право доступа Редактирование включает в себя все разрешения права доступа Просмотр.

Администрирование

Пользователь с правом доступа Администрирование может изменять доступные объекты и папки, изменять права доступа.

Право доступа Администрирование включает в себя все разрешения права доступа Редактирование.

Таблица прав доступа

Объект доступа
Действие
Исполнение Просмотр Редактирование Администрирование
Папка
Просмотр папки N/A
Редактирование папки N/A -
Изменение прав доступа N/A - -
Подключение
Выполнение запросов
к подключению
Создание датасета
над подключением
-
Просмотр параметров
подключения
-
Редактирование подключения - -
Изменение прав доступа - - -
Датасет
Выполнение запросов
к датасету
Создание чарта
над датасетом
Просмотр датасета -
Редактирование датасета - -
Изменение прав доступа - - -
Чарт
Просмотр чарта N/A
Редактирование чарта N/A -
Изменение прав доступа N/A - -
Дашборд
Просмотр дашборда N/A
Редактирование дашборда N/A -
Изменение прав доступа N/A - -

Безопасность на уровне строк данных (RLS)

В датасете можно разграничить доступ к данным на уровне строк (Row-level security или RLS). Вы можете разграничить доступ к любому измерению датасета.

RLS позволяет ограничить доступ к данным для пользователей в рамках одного датасета. Например, вы можете разграничить доступ разным клментам. Каждому пользователю может быть выданы права на неограниченное количество значений измерений.

Разграничение определяется конфигурацией доступа, которая выглядит следующим образом:

'[значение 1]': [пользователь 1], [пользователь 2]
'[значение 2]': [пользователь 3]
'[значение 3]': [пользователь 1], [пользователь 2], [пользователь 3]

В случае RLS все запросы к датасету проходят через следующий фильтр:

where [измерение] in ([значение 1], [значение 2]... [значение N])

Важная информация

Если вы разграничили доступ к строкам, ограничьте доступ к датасету с помощью права доступа Исполнение. Это исключит возможность изменить права доступа к строкам, а также открыть окно предпросмотра данных.

Что дальше