Разрешения на данные¶
Эта страница описывает разрешения на базы данных и таблицы.
Обзор разрешений¶
Если у вас есть несколько групп и несколько баз данных, вы можете контролировать доступ к ним, перейдя в Управление > Разрешения. Вы увидите интерактивную таблицу, которая отображает все ваши базы данных и все ваши группы, а также уровень доступа, который имеют ваши группы для каждой базы данных.
Где находятся настройки разрешений на данные¶
Чтобы настроить разрешения:
Способ 1. Нажмите Cmd/Ctrl + K, напишите "Разрешения" в поиск и щёлкните по первому элементу, который ссылается на раздел в Управлении.
Способ 2. Нажмите шестерёнку > Управление > Разрешения > вкладка Данные.
Вы можете задавать разрешения, выбирая группу (подраздел Группы) или базу данных (подраздел Базы данных), — результат будет одинаковый.
Группы разрешений¶
Вы можете задать разрешения для БД, схемы или таблицы на:
Предупреждение
Если вы обновляетесь с Glarus BI 0.49, ваши разрешения будут выглядеть иначе, но уровень доступа должен остаться прежним. Вы можете узнать дополнительные подробности: что изменилось и почему.
Разрешения на просмотр данных¶
Разрешения на просмотр данных позволяют настроить, что именно показывать пользователям, которые выполняют запросы, просматривают дашборды, модели и метрики, а также каким группам какие объекты доступны в "моделях" и "метриках" (в "Обзоре" слева, на панели навигации). Для просмотра баз данных там же группа должна иметь разрешения уровня "Создание запросов" для соответствующих объектов.
Виды разрешений:
- Возможен (Can view);
- Детальный (Granular);
- Изолированный (Sandboxed);
- Через роль БД (Impersonated);
- Заблокирован (Blocked).
Разрешения "просмотр" применяются на разных уровнях вашей базы данных:
| Разрешение "просмотр" | База данных | Схема | Таблица |
|---|---|---|---|
| Возможен | ✅ | ✅ | ✅ |
| Детальный | ✅ | ✅ | ❌ |
| Изолированный | ❌ | ❌ | ✅ |
| Через роль БД | ✅ | ❌ | ❌ |
| Заблокирован | ✅ | ✅ | ✅ |
Примечание
Разрешение "Детальный" не является в строгом смысле разрешением — это скорее индикатор, что на более низких уровнях есть ограничения на доступ к данным. Например, вы можете выбрать "Детальный" на уровне схемы и "Изолированный" на уровне одной из таблиц этой схемы. "Детальный" на уровне схемы покажет, что внутри, в таблицах, настроены ограничения для выбранной группы.
Ограничения на просмотр конкретных запросов, моделей дашбордов находятся в настройках коллекции.
Разрешение "Просмотр данных: Возможен"¶
Пользователи, которые включены в группу, могут просматривать все данные выбранного источника — в соответствии также с настройками коллекции.
Чтобы увидеть данные на панели навигации в Обзор > Базы данных также требуется разрешение на создание запросов.
Разрешение "Просмотр данных: Детальный"¶
Это вид разрешения позволяет разграничить видимость схем и таблиц для выбранной группы пользователей. Доступен только для таблиц и схем. Если выбрать его в списке, произойдёт переход на уровень ниже, чтобы задать уровень доступа к схеме и затем к таблице.
Если вы выбираете "Детальный" доступ к схеме, для таблиц этой схемы будет доступно два совместимых вида: Возможен и Изолированный.
Разрешение "Просмотр данных: Изолированный доступ"¶
Этот вид разрешения позволяет настроить построчный доступ к выбранной таблице на основе атрибутов пользователя и группы (RLS). Доступен только на уровне таблицы.
Разрешение "Просмотр данных: Через роль БД"¶
Позволяет задействовать роль базы данных для ограничения доступа к данным. Доступен только на уровне базы данных. Система будет полагаться на настройки доступа в СУБД. Применим не для всех поддерживаемых СУБД.
См. Доступ через роль БД для более детальной информации.
Разрешение "Просмотр данных: Доступ заблокирован"¶
Закрывает пользователям группы просмотр базы данных, схемы или таблицы — в соответствии с уровнем, на котором вы включаете этот вид разрешения. Даже если запрос находится в коллекции, к которой у пользователей группы есть доступ, но источник данных заблокирован, пользователи в группе не смогут получить результат выполнения запроса и соответствующие визуализации (если не состоят в другой группе, которой не заблокирован доступ к источнику данных).
Вид разрешения "Заблокирован" всегда запрещает группе просматривать результаты запросов, написанных в редакторе прямых запросов, независимо от запрашиваемой таблицы этой же базы данных. Поэтому достаточно заблокировать одну таблицу в базе, чтобы пользователи группы не смогли составить прямой запрос к любой таблице этой базы данных и получить результаты. Это связано с деталями технической реализации системы.
Если пользователь состоит и в заблокированной группе, и в группе, где доступ не заблокирован, более разрешительный доступ будет иметь приоритет, и пользователь сможет составить и выполнить прямой запрос.
Разрешения на создание запросов¶
Определяют, могут ли пользователи выбранной группы создавать новых запросы к выбранным источникам данных. Создание запросов подразумевает и интерактивные возможности, фильтрацию данных и другие действия, которые могут повлиять на результат. Также этот набор разрешений определяет доступность базы данных на панели навигации слева в Обзор > Базы данных.
Для получения возможности выдачи разрешений на создание запросов выбранной группе ей уже должны быть выданы разрешения на просмотр данных.
Конструктор запросов и прямой запрос¶
Группе разрешён как конструктор запросов, так и редактор прямых запросов.
Только конструктор запросов¶
Группе разрешён только конструктор запросов. Редактор прямых запросов использовать для этого источника данных не выйдет.
Детальный¶
Возможность детализировать разрешения на создание запросов на нижележащем уровне (то есть задать его для конкретных схем или таблиц).
Конфликт разрешений с группой "Все пользователи"¶
Если вы видите модальное окно с сообщением о конфликте разрешений с группой "Все пользователи", система сообщает вам, что люди в группе «Все пользователи» (то есть все в вашей Glarus BI) имеют более высокий уровень доступа к базе данных, схеме или таблице, для которой вы устанавливаете разрешения. Применение таких настроек не приведёт к фактическому ограничению доступа. Чтобы ограничить вашу текущую группу до выбранного вами уровня разрешений, группе «Все пользователи» нужно ограничить доступ к этому источнику данных.