ClickStack поддерживает ролевое управление доступом (RBAC), поэтому вы можете определять пользовательские роли с детально настроенными разрешениями для панелей мониторинга, сохранённых поисков, источников, оповещений, вебхуков и блокнотов. Разрешения работают на двух уровнях: доступ на уровне ресурсов (нет доступа, чтение или управление для каждого типа ресурса) и необязательные детализированные правила, ограничивающие доступ к отдельным ресурсам по имени, тегу или ID. В ClickStack есть три встроенные роли, и вы можете создавать пользовательские роли под потребности своей команды.
Только в Управляемом ClickStackRBAC доступен только в развертываниях Управляемого ClickStack.
Предварительные требования для доступа пользователей
- Быть приглашён в вашу организацию ClickHouse Cloud. Администратор организации приглашает пользователей из консоли Cloud. Подробнее см. в разделе Manage cloud users.
- Иметь доступ к SQL Console в сервисе. Перейдите в Settings → SQL Console Access вашего сервиса и задайте подходящий уровень разрешений:
| Доступ к Cloud SQL Console | Доступ к ClickStack |
|---|
| SQL Console Admin (Полный доступ) | Полный доступ к ClickStack. Требуется для включения alerts. |
| SQL Console Read Only (Только чтение) | Может просматривать данные обсервабилити и создавать панели мониторинга. |
| No access | Не имеет доступа к ClickStack. |
Cloud Users and roles
ClickStack Team Settings
| Разрешение | Admin | Участник | Только для чтения |
|---|
| Чтение всех ресурсов | ✓ | ✓ | ✓ |
| Управление панелями мониторинга | ✓ | ✓ | |
| Управление сохранёнными поисками | ✓ | ✓ | |
| Управление источниками | ✓ | ✓ | |
| Управление оповещениями | ✓ | ✓ | |
| Управление вебхуками | ✓ | ✓ | |
| Управление блокнотами | ✓ | ✓ | |
| Изменение настроек команды | ✓ | ✓ | |
| Создание и удаление команд | ✓ | | |
| Управление пользователями и приглашениями | ✓ | | |
Назначение ролей участникам команды
Роль по умолчанию для новых пользователей
Создание пользовательской роли
Перейдите в Team Settings
Откройте Team Settings и прокрутите страницу до раздела RBAC Roles.Добавьте новую роль
Нажмите + Add Role. Введите Role Name и при необходимости добавьте Description.Настройте разрешения и сохраните
Задайте разрешения для роли, затем нажмите Create Role.| Уровень доступа | Что он позволяет |
|---|
| Нет доступа | Этот тип ресурсов полностью скрыт для роли. |
| Чтение | Просматривать ресурс и его конфигурацию, но не создавать, изменять или удалять его. |
| Управление | Полный контроль — создание, изменение и удаление ресурсов этого типа. |
- Панели мониторинга — сохранённые панели мониторинга и диаграммы.
- Сохранённые поиски — сохранённые запросы к логам/трейсам/событиям.
- Sources — конфигурации источников для ингестии.
- Alerts — правила оповещений и их настройки уведомлений.
- Webhooks — пункты назначения для исходящих уведомлений (например, Slack, PagerDuty и универсальные HTTP-конечные точки), в которые отправляются alerts. Это не относится к API ClickStack.
- Notebooks — совместные блокноты для расследований.
Административные разрешения
- Пользователи (Нет доступа · Ограниченный доступ) — определяет, может ли роль просматривать участников команды и их роли. Только пользователи с ролью Admin могут приглашать, удалять или изменять пользователей.
- Команда (Чтение · Управление) — определяет, может ли роль просматривать или изменять настройки уровня команды, такие как политики безопасности и конфигурация RBAC.
Детализированные правила доступа
Доступ по умолчанию и точная настройка
- Доступ по умолчанию — задаёт единый уровень доступа (Нет доступа, Чтение или Управление) для всех ресурсов этого типа.
- Точная настройка — позволяет задавать правила доступа, которые по условиям применяются к конкретным ресурсам. Для ресурсов, не подпадающих ни под одно правило, по умолчанию доступ отсутствует.
Чтобы переключить режим, нажмите на шеврон, чтобы развернуть тип ресурса в редакторе роли, а затем переключите режим управления доступом.
Каждое правило доступа состоит из условия и уровня доступа. Условия позволяют сопоставлять ресурсы по их свойствам:
| Поле условия | Операторы | Что сопоставляется | Пример |
|---|
| Name | is, contains | Отображаемое имя ресурса — например, заголовок панели мониторинга. | Name contains production — соответствует любой панели мониторинга, в заголовке которой есть “production”. |
| Tag | is, contains | Теги, назначенные ресурсу через панель тегов в правом верхнем углу страницы ресурса. Доступно только для панелей мониторинга, сохранённых поисков и блокнотов. | Tag is critical — соответствует ресурсам с тегом “critical”. |
| ID | is, contains | Идентификатор ресурса, который можно увидеть в адресной строке после открытия ресурса. | ID is abc123 — соответствует одному конкретному ресурсу. |
- Name
contains testing с уровнем доступа Read
- Tag
is testing с уровнем доступа Read
Панель мониторинга, соответствующая любому из этих правил, будет доступна.
Раздел Политики безопасности в Team Settings содержит дополнительные элементы управления.
Роль по умолчанию для новых пользователей определяет роль, которая автоматически назначается новым пользователям при присоединении к команде.
Generative AI позволяет включать или отключать функции на базе LLM (например, генерацию запросов на естественном языке), работающие через Anthropic или Amazon Bedrock. Если эта опция отключена, данные не отправляются внешним ИИ-провайдерам.
Последнее изменение 10 июня 2026 г.
