Подключиться
Yandex DataLens

Управление доступом на уровне строк данных (RLS)

Статья создана
,
улучшена

RLS (Row-level security — безопасность на уровне строк) позволяет ограничить доступ к данным для пользователей в рамках одного датасета. Например, вы можете разграничить доступ разным клиентам.

Pазграничить доступ к данным на уровне строк можно как в датасете, так и в источнике данных.
Вы можете разграничить доступ к любому измерению датасета. Каждому пользователю могут быть выданы права на неограниченное количество значений измерений.

Разграничение определяется конфигурацией доступа, которая выглядит следующим образом:

'[значение 1]': [пользователь 1], [пользователь 2]
'[значение 2]': [пользователь 3]
'[значение 3]': [пользователь 1], [пользователь 2], [пользователь 3]

Значения и пользователей можно определять символом подстановки:

  • Пользователям пользователь 1 и пользователь 2 доступны все значения поля

    *: [пользователь 1], [пользователь 2]

  • Значение значение 1 доступно всем пользователям

    '[значение 1]': *

Кавычки в значении задаются удвоением:

 'значение в ''кавычках''': [пользователь 1], [пользователь 2]

При использовании RLS запросы к датасету проходят через следующий фильтр:

where [измерение] in ([значение 1], [значение 2]... [значение N])

Важно

Если вы разграничили доступ к строкам, ограничьте доступ к датасету с помощью права доступа Исполнение. Это исключит возможность изменить права доступа к строкам, а также открыть окно предпросмотра данных.

Описанный выше метод предполагает редактирование датасета при каждом изменении настроек RLS.
Чтобы избежать этого, можно перенести логику разграничения прав доступа на уровне строк на сторону источника данных.

  • В исходные данные добавьте новое поле для хранения id пользователя. По этому полю будет происходить фильтрация всех запросов в источник.

    • Свой id можно посмотреть по ссылке. Если вам нужен id другого пользователя, попросите его открыть эту ссылку и передать id вам.

  • Для каждой строки исходных данных укажите id пользователя, которому должна быть доступна данная строка. Если к одной строке должен быть доступ для нескольких пользователей, то логику разграничения можно вынести в отдельную таблицу и объединить ее с основной таблицей на уровне датасета.

  • В датасете в поле с id в настройках RLS введите userid:userid. Переменную userid можно использовать в сочетании с обычным типом RLS в датасете:

    '[значение 1]': [пользователь 1], [пользователь 2]
'[значение 2]': [пользователь 3]
 userid:userid

Примечание

Перенос логики RLS на сторону источника возможен для источников, в которых доступно изменение структуры данных. В Metrica и AppMetrica структура данных закрыта, этот способ неприменим.

Как изменить права доступа к строке в датасете

Чтобы настроить права доступа к значению строки данных:

  1. Откройте датасет.

  2. В правой части строки нажмите значок и выберите Права доступа.

  3. Введите значение поля и пользователей в указанном формате и нажмите Сохранить.

    '[значение 1]': [пользователь 1], [пользователь 2]
'[значение 2]': [пользователь 3]

    Например, чтобы настроить доступ к значению first-company для поля Company name:

    'first-company': login-to-access-your-row-data@yandex.ru

  4. Сохраните датасет.

  1. Добавьте в источнике поле с id пользователей, по которому будет осуществляться фильтрация. Вы можете добавить это поле в новую таблицу и присоединить ее с помощью оператора JOIN.
  2. Добавьте поле в датасет.
  3. Откройте датасет.
  4. В правой части строки нажмите значок и выберите Права доступа.
  5. В настройках прав доступа к полю допишите userid:userid и нажмите Сохранить.
  6. Сохраните датасет.
Пример

Построим дашборд по данным продаж в разрезе 4 регионов (Запад, Восток, Север, Юг). Каждый региональный менеджер должен иметь доступ только к своим данным, руководитель компании ко всем.

  1. Определим id для пользователей.

  2. Создадим в источнике дополнительную таблицу MANAGER_ID, в которой регион соотносится с id пользователя. Если для одного id доступны несколько регионов, то перечислим все уникальные пары:

    REGION MANAGER_NAME MANAGER_ID
    Запад Аркадий 19287318273912873
    Восток Василий 92877912837318927
    Север Ольга 02993284928374346
    Юг Дмитрий 10836293849237642
    Запад Максим 71726123712891283
    Восток Максим 71726123712891283
    Север Максим 71726123712891283
    Юг Максим 71726123712891283

  3. Добавим таблицу в датасет.

  4. Выполним JOIN по полю REGION.

  5. По полю MANAGER_ID настраиваем RLS и добавляем userid:userid.

Чтобы изменить разграничение прав доступа, обновите данные в таблице источника.