ClickStack incluye control de acceso basado en roles (RBAC) para que puedas definir roles personalizados con permisos granulares sobre dashboards, búsquedas guardadas, fuentes, alertas, webhooks y notebooks. Los permisos funcionan en dos niveles: acceso a nivel de recurso (sin acceso, lectura o administración según el tipo de recurso) y reglas granulares opcionales que restringen el acceso a recursos concretos por nombre, etiqueta o ID. ClickStack incluye tres roles predefinidos, y puedes crear roles personalizados para ajustarlos a las necesidades de tu equipo.
Solo para Managed ClickStackRBAC solo está disponible en despliegues de Managed ClickStack.
Requisitos previos para el acceso de usuarios
- Haber sido invitado a tu organización de ClickHouse Cloud. Un administrador de la organización invita a los usuarios desde la consola de Cloud. Consulta Manage cloud users para obtener más información.
- Tener acceso a SQL Console en el servicio. Ve a Settings → SQL Console Access de tu servicio y establece el nivel de permiso adecuado:
| Acceso a SQL Console en Cloud | Acceso a ClickStack |
|---|
| SQL Console Admin (Acceso completo) | Acceso completo a ClickStack. Necesario para habilitar alertas. |
| SQL Console Read Only (Solo lectura) | Puede ver datos de observabilidad y crear dashboards. |
| No access | No puede acceder a ClickStack. |
| Permiso | Admin | Member | ReadOnly |
|---|
| Leer todos los recursos | ✓ | ✓ | ✓ |
| Administrar dashboards | ✓ | ✓ | |
| Administrar búsquedas guardadas | ✓ | ✓ | |
| Administrar fuentes | ✓ | ✓ | |
| Administrar alertas | ✓ | ✓ | |
| Administrar webhooks | ✓ | ✓ | |
| Administrar notebooks | ✓ | ✓ | |
| Actualizar la configuración del equipo | ✓ | ✓ | |
| Crear/eliminar equipos | ✓ | | |
| Administrar usuarios e invitaciones | ✓ | | |
Asignar roles a los miembros del equipo
rol predeterminado para nuevo usuario
Crear un rol personalizado
Ve a configuración del equipo
Abre configuración del equipo y desplázate hasta RBAC Roles.Añade un rol nuevo
Haz clic en + Add Role. Introduce un Role Name y, opcionalmente, añade una Description.Configura los permisos y guarda
Establece los permisos del rol y, a continuación, haz clic en Create Role.| Nivel de acceso | Lo que permite |
|---|
| Sin acceso | El tipo de recurso queda completamente oculto para el rol. |
| Lectura | Permite ver el recurso y su configuración, pero no crearlo, editarlo ni eliminarlo. |
| Administración | Control total: permite crear, editar y eliminar recursos de ese tipo. |
- Dashboards — diseños de dashboards y gráficos guardados.
- Búsquedas guardadas — consultas persistentes de logs/trazas/eventos.
- Fuentes — configuraciones de fuentes de ingestión.
- Alertas — reglas de alertas y su configuración de notificaciones.
- Webhooks — destinos de notificación saliente (como Slack, PagerDuty y endpoints HTTP genéricos) a los que envían notificaciones las alertas. Esto no se refiere a la API de ClickStack.
- Notebooks — notebooks colaborativos de investigación.
Además de los permisos sobre recursos, cada rol incluye dos opciones administrativas:
- Usuarios (Sin acceso · Acceso limitado) — controla si el rol puede ver a los miembros del equipo y sus roles. Solo los Admins pueden invitar, eliminar o actualizar usuarios.
- Equipo (Lectura · Administrar) — controla si el rol puede ver o modificar opciones a nivel de equipo, como las políticas de seguridad y la configuración de RBAC.
Reglas de acceso granulares
Acceso predeterminado vs. controles granulares
- Acceso predeterminado — aplica un único nivel de acceso (Sin acceso, Lectura o Administración) a todos los recursos de ese tipo.
- Controles granulares — permite definir reglas de acceso que coincidan con recursos específicos según una condición. Los recursos que no coincidan con ninguna regla no tendrán acceso de forma predeterminada.
Para cambiar de modo, haz clic en el chevrón para expandir un tipo de recurso en el editor de roles y luego alterna el Modo de control de acceso.
Configuración de las reglas de acceso
| Campo de condición | Operadores | Qué coincide | Ejemplo |
|---|
| Name | is, contains | El nombre para mostrar del recurso; por ejemplo, el título del dashboard. | Name contains production — coincide con cualquier dashboard que tenga “production” en el título. |
| Tag | is, contains | Tags asignadas al recurso mediante el panel de tags de la esquina superior derecha de la vista del recurso. Solo está disponible para Dashboards, Saved Searches y Notebooks. | Tag is critical — coincide con recursos etiquetados como “critical”. |
| ID | is, contains | El identificador del recurso, que aparece en la barra de URL al abrir el recurso. | ID is abc123 — coincide con un único recurso específico. |
- Name
contains testing con nivel de acceso Read
- Tag
is testing con nivel de acceso Read
Un dashboard que coincida con cualquiera de las dos reglas será accesible.
La sección Políticas de seguridad de Configuración del equipo ofrece controles adicionales.
Rol predeterminado para nuevos usuarios establece el rol que se asigna automáticamente a los nuevos usuarios que se unen al equipo.
IA generativa permite habilitar o deshabilitar funciones basadas en LLM (como la generación de consultas en lenguaje natural) mediante Anthropic o Amazon Bedrock. Cuando está deshabilitada, no se envían datos a proveedores de IA.
