O ClickStack inclui controle de acesso baseado em funções (RBAC), para que você possa definir funções personalizadas com permissões detalhadas sobre dashboards, Saved searches, Sources, alertas, webhooks e notebooks. As permissões funcionam em dois níveis: acesso no nível do recurso (sem acesso, leitura ou gerenciamento por tipo de recurso) e regras detalhadas opcionais que restringem o acesso a recursos individuais por nome, tag ou ID. O ClickStack inclui três funções integradas, e você pode criar funções personalizadas para atender às necessidades da sua equipe.
Somente no Managed ClickStackO RBAC está disponível apenas em implantações do Managed ClickStack.
Pré-requisitos de acesso do usuário
- Ser convidado para a sua organização do ClickHouse Cloud. Um administrador da organização convida usuários pelo console do Cloud. Consulte Gerenciar usuários do Cloud para mais detalhes.
- Ter acesso ao SQL Console no serviço. Acesse Settings → SQL Console Access no seu serviço e defina o nível de permissão apropriado:
| Acesso ao SQL Console no Cloud | Acesso ao ClickStack |
|---|
| SQL Console Admin (Acesso total) | Acesso total ao ClickStack. Necessário para habilitar alertas. |
| SQL Console Read Only (Somente leitura) | Pode visualizar dados de observabilidade e criar dashboards. |
| No access | Não pode acessar o ClickStack. |
| Permissão | Admin | Member | ReadOnly |
|---|
| Ler todos os recursos | ✓ | ✓ | ✓ |
| Gerenciar dashboards | ✓ | ✓ | |
| Gerenciar saved searches | ✓ | ✓ | |
| Gerenciar sources | ✓ | ✓ | |
| Gerenciar alerts | ✓ | ✓ | |
| Gerenciar webhooks | ✓ | ✓ | |
| Gerenciar notebooks | ✓ | ✓ | |
| Atualizar as configurações da equipe | ✓ | ✓ | |
| Criar/excluir equipes | ✓ | | |
| Gerenciar usuários e convites | ✓ | | |
Atribuir funções aos membros da equipe
Função padrão para novos usuários
Criando uma função personalizada
Navegue até Team Settings
Abra Team Settings e role até RBAC Roles.Adicione uma nova função
Clique em + Add Role. Insira um Role Name e, opcionalmente, adicione uma Description.Defina as permissões da função e, em seguida, clique em Create Role. | Nível de acesso | O que permite |
|---|
| Sem acesso | O tipo de recurso fica totalmente oculto para a função. |
| Leitura | Visualizar o recurso e sua configuração, mas sem poder criá-lo, editá-lo ou excluí-lo. |
| Gerenciar | Controle total — criar, editar e excluir recursos desse tipo. |
- Dashboards — layouts e gráficos de dashboard salvos.
- Saved searches — consultas persistidas de logs/traces/eventos.
- Sources — configurações de fontes de ingestão.
- Alerts — regras de alerta e respectivas configurações de notificação.
- Webhooks — destinos de notificação de saída (como Slack, PagerDuty e endpoints HTTP genéricos) para os quais os alerts são enviados. Isso não se refere à API do ClickStack.
- Notebooks — notebooks colaborativos de investigação.
Permissões administrativas
- Usuários (Sem acesso · Acesso limitado) — controla se a função pode visualizar os membros da equipe e suas funções. Somente Admins podem convidar, remover ou atualizar usuários.
- Equipe (Leitura · Gerenciamento) — controla se a função pode visualizar ou modificar as configurações da equipe, como políticas de segurança e configuração de RBAC.
Regras de acesso granular
Acesso padrão vs. controles granulares
- Acesso padrão — aplica um único nível de acesso (Sem acesso, Leitura ou Gerenciar) a todos os recursos desse tipo.
- Controles granulares — permite definir regras de acesso com base em condições para recursos específicos. Os recursos que não corresponderem a nenhuma regra ficarão, por padrão, sem acesso.
Para alternar entre os modos, clique na seta para expandir um tipo de recurso no editor da função e, em seguida, alterne o Modo de controle de acesso.
Configurando regras de acesso
| Campo da condição | Operadores | O que corresponde | Exemplo |
|---|
| Name | is, contains | O nome de exibição do recurso — por exemplo, o título do dashboard. | Name contains production — corresponde a qualquer dashboard com “production” no título. |
| Tag | is, contains | Tags atribuídas ao recurso pelo painel de tags no canto superior direito da visualização do recurso. Disponível apenas para Dashboards, Saved Searches e Notebooks. | Tag is critical — corresponde a recursos com a tag “critical”. |
| ID | is, contains | O identificador do recurso, encontrado na barra de URL quando você abre o recurso. | ID is abc123 — corresponde a um único recurso específico. |
- Name
contains testing com nível de acesso Read
- Tag
is testing com nível de acesso Read
Um dashboard que corresponda a qualquer uma das regras fica acessível.
A seção Security Policies em Team Settings oferece controles adicionais.
Default New User Role define automaticamente a função atribuída aos novos usuários que entram na equipe.
Generative AI permite ativar ou desativar recursos baseados em LLM (como a geração de consultas em linguagem natural) viabilizados pela Anthropic ou pelo Amazon Bedrock. Quando desativada, nenhum dado é enviado a provedores de IA.
