Разрешения на данные¶
В этом подразделе описаны разрешения на базы данных, схемы и таблицы. Если требуется, обратитесь к статье "Введение в разрешения", чтобы понять роль разрешений на данные в общей системе разрешений.
Настройка разрешений на базу данных, схему или таблицу¶
Если у вас есть несколько групп и несколько баз данных, вы можете контролировать доступ к ним, перейдя в Управление > Разрешения. Вы увидите интерактивную таблицу, которая отображает все ваши базы данных и все ваши группы, а также уровень доступа, который имеют ваши группы для каждой базы данных.
Чтобы настроить разрешения:
Способ 1. Нажмите Cmd/Ctrl + K, напишите «Разрешения» в поиск и щёлкните по первому элементу, который ссылается на раздел в Управлении.
Способ 2. Нажмите шестерёнку > Управление > Разрешения > вкладка Данные.
Вы можете задавать разрешения, выбирая группу (подраздел Группы) или базу данных (подраздел Базы данных), — результат будет одинаковый.
Набор разрешений¶
Вы можете назначить разрешения для базы данных, схемы и таблицы на:
Предупреждение
Прежде чем применять более точные разрешения, заблокируйте доступ группе "Все пользователи". Перед тем как выдавать более точные разрешения, убедитесь, что по умолчанию никто не видит данные. Так как каждый пользователь автоматически входит в группу "Все пользователи", начните с того, чтобы заблокировать этой группе доступ к данным.
В Управление > Разрешения > Данные установите для группы "Все пользователи" значение "Заблокирован" для базы данных.
Далее вы сможете выборочно выдавать права другим группам.
Разрешения на просмотр данных¶
Разрешение на просмотр данных определяет, какие данные пользователи могут видеть при просмотре запросов, дашбордов, моделей и метрик. Оно также определяет, доступен ли группе обзор моделей и метрик в боковой панели слева. Чтобы просматривать базы данных, группе также понадобятся разрешения уровня "Создание запросов" для соответствующих данных.
Уровни разрешений:
- Возможен
- Детальный (Granular)
- Безопасность строк и столбцов
- Через роль БД (Impersonated)
- Заблокирован (Blocked)
Разрешения «просмотр» применяются на разных уровнях вашей базы данных:
| Разрешение «просмотр» | База данных | Схема | Таблица |
|---|---|---|---|
| Возможен | ✅ | ✅ | ✅ |
| Детальный | ✅ | ✅ | ❌ |
| Изолированный | ❌ | ❌ | ✅ |
| Через роль БД | ✅ | ❌ | ❌ |
| Заблокирован | ✅ | ✅ | ✅ |
Примечание
Разрешение «Детальный» не является в строгом смысле разрешением — это скорее индикатор, что на более низких уровнях есть ограничения на доступ к данным. Например, вы можете выбрать «Детальный» на уровне схемы и «Изолированный» на уровне одной из таблиц этой схемы. «Детальный» на уровне схемы покажет, что внутри, в таблицах, настроены ограничения для выбранной группы.
За то, какие именно запросы, модели и дашборды группа может просматривать, отвечают разрешения на коллекции.
Разрешение «Просмотр данных: Возможен»¶
Значение Возможен означает, что группа может просматривать все данные источника — при условии, что у неё есть разрешения на коллекции, чтобы видеть запросы, модели и дашборды.
Чтобы видеть данные на панели навигации в Обзор > Базы данных, группе также понадобятся разрешения на создание запросов.
Разрешение «Просмотр данных: Детальны黶
Это вид разрешения позволяет разграничить видимость схем и таблиц для выбранной группы пользователей. Доступен только на уровне базы данных и схемы. Если выбрать его в списке, произойдёт переход на уровень ниже, чтобы задать уровень доступа к схеме и затем к таблице.
Если вы выбираете «Детальный» доступ к схеме, для таблиц этой схемы будет доступно два совместимых вида: Возможен и Изолированный.
Разрешение «Просмотр данных: Изолированный достуﻶ
Этот вид разрешения позволяет настроить построчный доступ к выбранной таблице на основе атрибутов пользователя и группы (RLS). Доступен только на уровне таблицы.
Разрешение «Просмотр данных: Через роль БД»¶
Позволяет задействовать роль базы данных для ограничения доступа к данным. Доступен только на уровне базы данных. Система будет полагаться на настройки доступа в СУБД. Применим не для всех поддерживаемых СУБД.
Разрешение «Просмотр данных: Заблокирован»¶
Значение Заблокирован гарантирует, что пользователи в группе не смогут видеть данные из этой базы данных, схемы или таблицы — независимо от разрешений на уровне коллекций.
Разрешение "Заблокирован" можно назначить на уровне базы данных, схемы или таблицы. Оно делает разрешения на коллекции недостаточными для просмотра запроса. Например, даже если запрос находится в коллекции, к которой у группы есть доступ, но запрос использует источник данных, который заблокирован для этой группы, пользователи в этой группе не смогут просматривать этот запрос — если только они не состоят в другой группе с разрешениями на этот источник данных.
Вид разрешения «Заблокирован» всегда запрещает группе просматривать результаты запросов, написанных в редакторе прямых запросов, независимо от запрашиваемой таблицы этой же базы данных. Если вы заблокируете хотя бы одну таблицу, группа не сможет видеть результаты SQL‑запросов к любым таблицам той же базы данных. Причина в том, что Glarus BI не разбирает детали прямых запросов и не может надёжно определить, разрешены ли данные, к которым обращается прямой (в том числе, SQL) запрос к таблице.
Если пользователь из группы с "Заблокирован" также состоит в другой группе, где "Просмотр данных" установлен в значение "Возможен", то более разрешительный доступ имеет приоритет, и пользователь сможет просматривать этот запрос.
Разрешения на создание запросов¶
Определяют, могут ли пользователи выбранной группы создавать новых запросы к выбранным источникам данных. Создание запросов подразумевает и интерактивные возможности, фильтрацию данных и другие действия, которые могут повлиять на результат. Также этот набор разрешений определяет доступность базы данных на панели навигации слева в Обзор > Базы данных.
Для получения возможности выдачи разрешений на создание запросов выбранной группе ей уже должны быть выданы разрешения на просмотр данных.
Конструктор запросов и прямой запрос¶
Группе разрешён как конструктор запросов, так и редактор прямых запросов.
Предупреждение
Получая редактор прямых запросов, пользователи могут повышать полномочия на уровне СУБД, модифицировать и удалять данные, используя прямой код к СУБД и обходя ограничения Glarus BI (если учётная запись СУБД это позволяет). Убедитесь в том, что сервисный пользователь СУБД, указанный в настройках подключения, не имеет соответствующих полномочий.
Если просмотр данных заблокирован или частично ограничен хотя бы для одной таблицы в базе данных, то для этой группы будут отключены прямые запросы для всех таблиц этой базы данных. Это связано с тем, что Glarus BI не может разбирать прямые запросы и не может надёжно определять, используют ли эти запросы таблицы с ограниченным доступом.
Только конструктор запросов¶
Группе разрешён только конструктор запросов. Редактор прямых запросов использовать для этого источника данных не выйдет.
Детальный¶
Возможность детализировать разрешения на создание запросов на нижележащем уровне (то есть задать его для конкретных схем или таблиц).
Конфликт разрешений с группой «Все пользовател軶
Если вы видите модальное окно с сообщением о конфликте разрешений с группой «Все пользователи», система сообщает вам, что люди в группе «Все пользователи» (то есть все в вашей Glarus BI) имеют более высокий уровень доступа к базе данных, схеме или таблице, для которой вы устанавливаете разрешения. Применение таких настроек не приведёт к фактическому ограничению доступа. Чтобы ограничить вашу текущую группу до выбранного вами уровня разрешений, группе «Все пользователи» нужно ограничить доступ к этому источнику данных.
Подсказка
Чтобы снизить вероятность ошибок при управлении правами доступа, рекомендуем по умолчанию использовать уровень доступа «Просмотр: Заблокирован» для группы «Все пользователи», а для доступа к объектам БД выдавать разрешения для отдельных групп пользователей. Это позволит избежать случайного получения данных пользователями через доступ к коллекциям с визуализациями.