Только в Управляемом ClickStackRBAC доступен только в развертываниях Управляемого ClickStack.
Предварительные требования для доступа пользователей
- Быть приглашён в вашу организацию ClickHouse Cloud. Администратор организации приглашает пользователей из консоли Cloud. Подробнее см. в разделе Manage cloud users.
- Иметь доступ к SQL Console в сервисе. Перейдите в Settings → SQL Console Access вашего сервиса и задайте подходящий уровень разрешений:
После того как пользователь получит доступ к Cloud, он появится на странице ClickStack Team Settings, где вы сможете назначить ему роль ClickStack.
- Cloud Users and roles
- ClickStack Team Settings
Встроенные роли
Назначение ролей участникам команды
Роль по умолчанию для новых пользователей
Создание пользовательской роли
1
Перейдите в Team Settings
Откройте Team Settings и прокрутите страницу до раздела RBAC Roles.2
Добавьте новую роль
Нажмите + Add Role. Введите Role Name и при необходимости добавьте Description.3
Настройте разрешения и сохраните
Задайте разрешения для роли, затем нажмите Create Role.Разрешения роли
Разрешения на ресурсы
Доступ можно настраивать для следующих типов ресурсов:
- Панели мониторинга — сохранённые панели мониторинга и диаграммы.
- Сохранённые поиски — сохранённые запросы к логам/трейсам/событиям.
- Sources — конфигурации источников для ингестии.
- Alerts — правила оповещений и их настройки уведомлений.
- Webhooks — пункты назначения для исходящих уведомлений (например, Slack, PagerDuty и универсальные HTTP-конечные точки), в которые отправляются alerts. Это не относится к API ClickStack.
- Notebooks — совместные блокноты для расследований.
Административные разрешения
- Пользователи (Нет доступа · Ограниченный доступ) — определяет, может ли роль просматривать участников команды и их роли. Только пользователи с ролью Admin могут приглашать, удалять или изменять пользователей.
- Команда (Чтение · Управление) — определяет, может ли роль просматривать или изменять настройки уровня команды, такие как политики безопасности и конфигурация RBAC.
Детализированные правила доступа
Доступ по умолчанию и точная настройка
- Доступ по умолчанию — задаёт единый уровень доступа (Нет доступа, Чтение или Управление) для всех ресурсов этого типа.
- Точная настройка — позволяет задавать правила доступа, которые по условиям применяются к конкретным ресурсам. Для ресурсов, не подпадающих ни под одно правило, по умолчанию доступ отсутствует.
Настройка правил доступа
На следующем снимке экрана показаны выделенный в адресной строке ID панели мониторинга и тег “TESTING” на панели тегов (в правом верхнем углу).
Для каждого типа ресурса можно добавить несколько правил. Каждое правило проверяется независимо по логике OR — ресурс доступен, если он соответствует хотя бы одному правилу. Ресурсы, не соответствующие ни одному правилу, недоступны.
Пример: Чтобы предоставить роли доступ только для чтения к тестовым панелям мониторинга, раскройте панели мониторинга, переключитесь на точную настройку и добавьте два правила:
- Name
containstestingс уровнем доступа Read - Tag
istestingс уровнем доступа Read