ClickStack にはロールベースのアクセス制御 (RBAC) が用意されており、ダッシュボード、保存済み検索、ログソース、アラート、webhook、ノートブックに対して、きめ細かな権限を持つカスタムロールを定義できます。権限は 2 つのレベルで適用されます。1 つはリソースレベルのアクセス (リソースタイプごとにアクセスなし、読み取り、管理) で、もう 1 つは名前、タグ、または ID によって個々のリソースへのアクセスを制限する、任意の詳細なルールです。ClickStack には 3 つの組み込みロールが用意されており、チームのニーズに合わせてカスタムロールを作成できます。
Managed ClickStack のみRBAC は Managed ClickStack デプロイメントでのみ利用できます。
- ClickHouse Cloud 組織に招待されていること。 組織の Admin は Cloud Console からユーザーを招待します。詳しくは クラウドユーザーの管理 を参照してください。
- サービスで SQL Console へのアクセス権を持っていること。 サービスの Settings → SQL Console Access に移動し、適切な権限レベルを設定します。
| Cloud SQL Console access | ClickStack access |
|---|
| SQL Console Admin (Full Access) | ClickStack へのフルアクセス。alerts を有効にするために必要です。 |
| SQL Console Read Only (Read Only) | オブザーバビリティデータを表示し、ダッシュボードを作成できます。 |
| No access | ClickStack にアクセスできません。 |
Cloud Users and roles
ClickStack Team Settings
| 権限 | Admin | Member | ReadOnly |
|---|
| すべてのリソースを閲覧 | ✓ | ✓ | ✓ |
| ダッシュボードを管理 | ✓ | ✓ | |
| 保存済み検索を管理 | ✓ | ✓ | |
| ログソースを管理 | ✓ | ✓ | |
| アラートを管理 | ✓ | ✓ | |
| ウェブフックを管理 | ✓ | ✓ | |
| ノートブックを管理 | ✓ | ✓ | |
| チーム設定を変更 | ✓ | ✓ | |
| チームを作成/削除 | ✓ | | |
| ユーザーと招待を管理 | ✓ | | |
Team Settings に移動する
Team Settings を開き、RBAC Roles までスクロールします。新しいロールを追加する
+ Add Role をクリックします。Role Name を入力し、必要に応じて Description を追加します。権限を設定して保存する
ロールの権限を設定して、Create Role をクリックします。| アクセスレベル | 許可される内容 |
|---|
| アクセスなし | そのリソースタイプは、そのロールでは完全に非表示になります。 |
| 閲覧 | リソースとその設定は表示できますが、作成、編集、削除はできません。 |
| 管理 | フルコントロール — その種類のリソースを作成、編集、削除できます。 |
- ダッシュボード — 保存されたダッシュボードレイアウトとチャート。
- 保存済み検索 — 保存されたログ、トレース、イベントのクエリ。
- ログソース — インジェスト用のログソース設定。
- アラート — アラートルールとその通知設定。
- Webhook — 送信先の通知先 (Slack、PagerDuty、汎用 HTTP エンドポイントなど) で、alerts が通知を配信します。これは ClickStack API を指すものではありません。
- Notebooks — 共同で調査を行うためのノートブック。
リソース権限に加えて、各ロールには 2 つの管理設定があります。
- Users (アクセスなし · 制限付きアクセス) — ロールがチームメンバーとそのロールを表示できるかどうかを制御します。ユーザーの招待、削除、更新を行えるのは Admin のみです。
- チーム (閲覧 · 管理) — セキュリティポリシーや RBAC 設定など、チームレベルの設定をロールが表示または変更できるかどうかを制御します。
ダッシュボード、保存済み検索、SOURCES、ノートブックでは、カテゴリ内の個々のリソースへのアクセスを制限できるきめ細かな制御をサポートしています。リソース種別全体に一括でアクセス権を付与するのではなく、ロールがアクセスできる対象を特定のリソースに限定したい場合に使用します。
各リソースタイプには、アクセス制御モードがあります。
- デフォルトアクセス — そのタイプのすべてのリソースに、単一のアクセスレベル (アクセスなし、読み取り、または管理) を適用します。
- 詳細な制御 — 条件に一致する特定のリソースに対するアクセスルールを定義できます。どのルールにも一致しないリソースは、デフォルトでアクセスなしになります。
モードを切り替えるには、ロールエディタでリソースタイプを展開するシェブロンをクリックし、アクセス制御モードを切り替えます。
各アクセスルールは、条件 と アクセスレベル で構成されます。条件は、リソースのプロパティに基づいて一致を判定します。
| 条件フィールド | 演算子 | 一致対象 | 例 |
|---|
| Name | is, contains | リソースの表示名。たとえばダッシュボードのタイトルです。 | Name contains production — タイトルに「production」を含む任意のダッシュボードに一致します。 |
| Tag | is, contains | リソース画面右上のタグパネルでリソースに割り当てられたタグです。Dashboards、Saved Searches、Notebooks でのみ使用できます。 | Tag is critical — 「critical」タグが付いたリソースに一致します。 |
| ID | is, contains | リソースを開いたときに URL バーに表示されるリソース識別子です。 | ID is abc123 — 特定の 1 つのリソースに一致します。 |
- Name
contains testing、アクセスレベル Read
- Tag
is testing、アクセスレベル Read
いずれかのルールに一致するダッシュボードにアクセスできます。
Team Settings の Security Policies セクションでは、追加の制御設定を行えます。
Default New User Role では、チームに参加した新規ユーザーに自動で割り当てるロールを設定します。
Generative AI では、Anthropic または Amazon Bedrock を利用する LLM ベースの機能 (自然言語クエリ生成など) を有効または無効にできます。無効にすると、データは AI プロバイダーに送信されません。
