Перейти к содержанию

Разрешения на папки SQL-фрагментов

В этой статье рассматриваются папки фрагментов SQL, которые позволяют организовать и установить разрешения на фрагменты SQL.

Разрешения на папки не следует рассматривать с точки зрения функции безопасности, а скорее как функцию, которая помогает организовать и стандартизировать фрагменты. Хотя папки отличаются и являются отдельными элементами, отличными от коллекций, они обеспечивают организационную функцию: коллекции собирают разрешения на дашборды и запросы; папки собирают разрешения на фрагменты. Для получения дополнительной информации см. обсуждение разрешений ниже.

Папки

Папки работают похоже на то, как они работают в файловой системе. Вы можете добавлять фрагменты в папки и помещать папки внутрь других папок. Вы можете вложить столько папок, сколько ваш экземпляр Glarus BI сможет обработать (или сколько позволят законы физики).

Верхняя папка — это папка по умолчанию в боковой панели фрагментов. Это корневая папка, содержащая все другие папки и фрагменты.

Создание новой папки для фрагментов SQL

Вы можете создать папку фрагментов SQL из меню Фрагменты в SQL-редакторе.

Создание каталога для фрагментов

  1. Нажмите на значок меню Фрагменты (пиктограмма фрагмента выглядит как блок текста или кода с тремя неравными горизонтальными линиями).

  2. Нажмите на значок + и выберите Новая папка.

  3. Назовите папку и при желании добавьте описание или расположите папку в существующей папке (опция Папка должна быть в).

Модальное окно создания папки

Создание нового фрагмента SQL

Add a snippet enterprise modal

Местоположение по умолчанию — это Верхняя папка, которая является корневой папкой для всех фрагментов и других папок. Вы можете добавить фрагмент в папку в любое время (или переместить фрагмент в другую папку, если у вас есть разрешение на редактирование обеих папок).

Обратите внимание, что названия фрагментов должны быть уникальными; папки не влияют на это требование.

Разрешения

Только администраторы могут устанавливать видимость и редактируемость фрагментов, расположив их в папках, а затем предоставляя группам один из трёх уровней разрешений в отношении этих папок. Если вы знакомы с разрешениями коллекций, то функциональность похожа. Для получения дополнительной информации о том, как работают разрешения коллекций и папок, см. ниже раздел "Как работают разрешения папок".

Изменение разрешений на папку

Администраторы могут установить разрешения для папки, нажав на троеточие (…) рядом с папкой и выбрав Изменить разрешения.

Вы также можете изменить текущую выбранную папку, наведя курсор на верхнюю часть боковой панели фрагментов, нажав на троеточие (…) слева от знака +, и выбрав Изменить разрешения. Когда вы находитесь в Верхней папке, выбор троеточия (…) в верхней части боковой панели даст администраторам возможность установить разрешения для всех фрагментов, папок и подпапок.

Изменяя разрешения для папки, у которой есть подпапки, у вас есть возможность распространить эти разрешения на подпапки, переключив параметр Также изменить подпапки.

Опции для разрешений на папку

Change permissions

Есть три варианта для изменения разрешений на папку фрагментов SQL:

  • Доступ на редактирование (иконка зеленой галочки). Настройка по умолчанию. Когда создаётся папка, все пользователи (которые имеют разрешения на редактирование SQL для по крайней мере одной базы данных) могут просматривать, редактировать и архивировать или разархивировать фрагменты в папке.

  • Доступ на просмотр (иконка желтого глаза). Пользователи в группах с доступом на просмотр могут просматривать фрагменты в папке, но не редактировать или архивировать/разархивировать их. Они, конечно, могут копировать код фрагмента и создавать новые фрагменты, без каких-либо последствий для существующих фрагментов.

  • Отозвать доступ (иконка красного Х). Пользователи в группах, не имеющих разрешения на редактирование или просмотр папки фрагментов, не увидят эти фрагменты в боковой панели и никакие фрагменты в этой папке не появятся в предложениях автодополнения для этих пользователей. Обратите внимание, что если у людей есть доступ к запросу со фрагментом, к которому у них нет разрешения, они Всё ещё смогут получить результаты из этого запроса. См. абзац ниже о том, как работают права доступа к папкам

Архивирование не влияет на разрешения

Архивирование или разархивирование фрагментов не влияет на разрешения для фрагментов. Например, если только одна группа, например, группа Бухгалтерия, имеет разрешения на редактирование папки, то только люди в группе Бухгалтерия (и админы) смогут архивировать и разархивирование фрагменты в этой папке, так как архивирование и разархивирование считается редактированием фрагмента.

Как работают разрешения на папки

Права доступа к папкам фрагментов работают в сочетании с правами доступа к данным и коллекциям. Они аддитивные, то есть более широкие права доступа отменяют менее широкие. Более подробное описание установки прав доступа можно найти в разделе Установка разрешений.

Права доступа к папкам фрагментов требуют больше усилий для распаковки, так как права доступа к папкам фрагментов должны работать в сочетании с правами доступа к данным и коллекциям.

Основное правило: данные являются более чувствительными, чем код, поэтому права, которые применяются к данным, будут иметь преимущество над правами, которые применяются к коду. Давайте рассмотрим пример, чтобы показать, как это работает на практике.

Пример разрешений

Представьте следующий сценарий: группа может иметь разрешения на коллекцию, которая содержит запрос, который использует фрагмент, находящийся в папке, к которой группа не имеет разрешения. Или другими словами пользователи этой группы имеют право на запуск запросов в коллекции, но не имеют права доступа к фрагменту одного из запросов. Как Glarus BI решит конфликт в этом случае?

За три шага:

  1. Люди в этой группе могут запустить запрос и получить результаты. У них есть разрешение на просмотр этих данных (результатов запроса), поэтому они должны быть в состоянии видеть эти данные. Разрешение группы на коллекцию имеет преимущество над разрешениями на папку (код фрагмента).

  2. Фрагмент не появится в боковой панели "Фрагмент". Несмотря на то, что пользователи в этой группе могут выполнить запрос без проблем, они всё ещё не имеют разрешения на папку фрагмента, поэтому они не смогут видеть или редактировать этот фрагмент (или папку фрагмента) в боковой панели Фрагмент.

  3. Люди с доступом к SQL-запросам всё ещё могут запустить фрагмент, если они знают его название, независимо от разрешения на папку фрагмента. Они не смогут просматривать или редактировать фрагмент, но могут включить его в запрос, если знают его имя, например, {% raw %}{{snippet: Пример фрагмента У меня недостаточно разрешений, но я всё равно могу использовать этот фрагмент }}{% endraw %}."

Принимая во внимание то, как работают разрешения на папки фрагментов, мы рекомендуем использовать папки фрагментов как дополнительный инструмент организации фрагментов, а не как способ ограничения доступа к SQL-коду, который содержат эти фрагменты. Используйте разрешения на папки, чтобы команды могли работать со своими аналитическими доменами и ограничивайте разрешения на редактирование фрагментов в вашей организации, чтобы держать SQL-код аккуратным и очищенным от ошибок.

Дополнительное чтение