> ## Documentation Index > Fetch the complete documentation index at: https://private-7c7dfe99-mintlify-86180b7b.mintlify.site/llms.txt > Use this file to discover all available pages before exploring further. # Ролевое управление доступом (RBAC) > Настройте ролевое управление доступом в ClickStack, чтобы управлять разрешениями участников команды для панелей мониторинга, сохранённых поисков, источников, оповещений и других объектов. export const Image = ({img, alt, size}) => { return {alt} ; }; ClickStack поддерживает ролевое управление доступом (RBAC), поэтому вы можете определять пользовательские роли с детально настроенными разрешениями для [панелей мониторинга](/ru/clickstack/features/dashboards/overview), [сохранённых поисков](/ru/clickstack/features/search), источников, [оповещений](/ru/clickstack/features/alerts), вебхуков и блокнотов. Разрешения работают на двух уровнях: доступ на уровне ресурсов (нет доступа, чтение или управление для каждого типа ресурса) и необязательные детализированные правила, ограничивающие доступ к отдельным ресурсам по имени, тегу или ID. В ClickStack есть три встроенные роли, и вы можете создавать пользовательские роли под потребности своей команды. **Только в Управляемом ClickStack** RBAC доступен только в развертываниях Управляемого ClickStack.
## Предварительные требования для доступа пользователей
Аутентификация в ClickStack выполняется через ClickHouse Cloud. Прежде чем вы сможете назначать роли ClickStack, каждый пользователь должен: 1. **Быть приглашён в вашу организацию ClickHouse Cloud.** Администратор организации приглашает пользователей из консоли Cloud. Подробнее см. в разделе [Manage cloud users](/ru/products/cloud/guides/security/cloud-access-management/manage-cloud-users). 2. **Иметь доступ к SQL Console в сервисе.** Перейдите в **Settings** → **SQL Console Access** вашего сервиса и задайте подходящий уровень разрешений: | Доступ к Cloud SQL Console | Доступ к ClickStack | | ----------------------------------------- | --------------------------------------------------------------------------------------------- | | **SQL Console Admin** (Полный доступ) | Полный доступ к ClickStack. Требуется для включения [alerts](/ru/clickstack/features/alerts). | | **SQL Console Read Only** (Только чтение) | Может просматривать данные обсервабилити и создавать панели мониторинга. | | **No access** | Не имеет доступа к ClickStack. | После того как пользователь получит доступ к Cloud, он появится на странице ClickStack **Team Settings**, где вы сможете назначить ему роль ClickStack. Страница ClickHouse Cloud Users and roles Страница ClickStack Team Settings с участниками команды и их ролями
## Встроенные роли
ClickStack включает три системные роли. Их нельзя редактировать или удалять. Роль Admin по умолчанию назначается создателю команды. | Разрешение | Admin | Участник | Только для чтения | | ----------------------------------------- | :---: | :------: | :---------------: | | Чтение всех ресурсов | ✓ | ✓ | ✓ | | Управление панелями мониторинга | ✓ | ✓ | | | Управление сохранёнными поисками | ✓ | ✓ | | | Управление источниками | ✓ | ✓ | | | Управление оповещениями | ✓ | ✓ | | | Управление вебхуками | ✓ | ✓ | | | Управление блокнотами | ✓ | ✓ | | | Изменение настроек команды | ✓ | ✓ | | | Создание и удаление команд | ✓ | | | | Управление пользователями и приглашениями | ✓ | | |
## Назначение ролей участникам команды
На странице **Team Settings** показаны все участники команды и их текущие роли. Чтобы изменить роль, нажмите **Edit** рядом с именем пользователя и выберите новую роль. У каждого пользователя может быть только одна роль.
### Роль по умолчанию для новых пользователей
Вы можете задать роль по умолчанию для новых пользователей в разделе [Политики безопасности](#security-policies). Пользователям, которые автоматически добавляются в команду, эта роль назначается автоматически.
## Создание пользовательской роли
### Перейдите в Team Settings Откройте **Team Settings** и прокрутите страницу до раздела **RBAC Roles**. Роли RBAC ### Добавьте новую роль Нажмите **+ Add Role**. Введите **Role Name** и при необходимости добавьте **Description**. ### Настройте разрешения и сохраните Задайте разрешения для роли, затем нажмите **Create Role**. Модальное окно Add Role Пользовательские роли отображаются рядом с системными ролями в разделе **RBAC Roles** с кнопками **Edit** и **Delete**.
## Разрешения роли
### Разрешения на ресурсы
Каждая роль задаёт уровень доступа для каждого типа ресурсов. Всего предусмотрено три уровня: | Уровень доступа | Что он позволяет | | --------------- | ----------------------------------------------------------------------------------- | | **Нет доступа** | Этот тип ресурсов полностью скрыт для роли. | | **Чтение** | Просматривать ресурс и его конфигурацию, но не создавать, изменять или удалять его. | | **Управление** | Полный контроль — создание, изменение и удаление ресурсов этого типа. | Доступ можно настраивать для следующих типов ресурсов: * **[Панели мониторинга](/ru/clickstack/features/dashboards/overview)** — сохранённые панели мониторинга и диаграммы. * **[Сохранённые поиски](/ru/clickstack/features/search)** — сохранённые запросы к логам/трейсам/событиям. * **Sources** — конфигурации источников для ингестии. * **[Alerts](/ru/clickstack/features/alerts)** — правила оповещений и их настройки уведомлений. * **Webhooks** — пункты назначения для исходящих уведомлений (например, Slack, PagerDuty и универсальные HTTP-конечные точки), в которые отправляются [alerts](/ru/clickstack/features/alerts). Это не относится к API ClickStack. * **Notebooks** — совместные блокноты для расследований.
### Административные разрешения
Помимо разрешений на ресурсы, каждая роль включает два административных параметра: * **Пользователи** (Нет доступа · Ограниченный доступ) — определяет, может ли роль просматривать участников команды и их роли. Только пользователи с ролью Admin могут приглашать, удалять или изменять пользователей. * **Команда** (Чтение · Управление) — определяет, может ли роль просматривать или изменять настройки уровня команды, такие как политики безопасности и конфигурация RBAC.
### Детализированные правила доступа
панели мониторинга, сохранённые поиски, Sources и блокноты поддерживают детальную настройку прав доступа, позволяющую ограничивать доступ к отдельным ресурсам внутри категории. Используйте её, когда нужно ограничить роль доступом только к определённым ресурсам, а не выдавать общий доступ ко всему типу ресурсов.
#### Доступ по умолчанию и точная настройка
У каждого типа ресурса есть **режим управления доступом**: * **Доступ по умолчанию** — задаёт единый уровень доступа (Нет доступа, Чтение или Управление) для всех ресурсов этого типа. * **Точная настройка** — позволяет задавать правила доступа, которые по условиям применяются к конкретным ресурсам. Для ресурсов, не подпадающих ни под одно правило, по умолчанию доступ отсутствует. Чтобы переключить режим, нажмите на шеврон, чтобы развернуть тип ресурса в редакторе роли, а затем переключите **режим управления доступом**. Режимы «Доступ по умолчанию» и «Точная настройка» в редакторе роли
#### Настройка правил доступа
Каждое правило доступа состоит из **условия** и **уровня доступа**. Условия позволяют сопоставлять ресурсы по их свойствам: Подсказка по условию: сопоставляйте ресурсы по имени или тегу (показаны в заголовке) либо по ID (указан в URL) | Поле условия | Операторы | Что сопоставляется | Пример | | ------------ | ---------------- | -------------------------------------------------------------------------------------------------------------------------------------------------------------- | ----------------------------------------------------------------------------------------------------------- | | **Name** | `is`, `contains` | Отображаемое имя ресурса — например, заголовок панели мониторинга. | Name contains `production` — соответствует любой панели мониторинга, в заголовке которой есть "production". | | **Tag** | `is`, `contains` | Теги, назначенные ресурсу через панель тегов в правом верхнем углу страницы ресурса. Доступно только для панелей мониторинга, сохранённых поисков и блокнотов. | Tag is `critical` — соответствует ресурсам с тегом "critical". | | **ID** | `is`, `contains` | Идентификатор ресурса, который можно увидеть в адресной строке после открытия ресурса. | ID is `abc123` — соответствует одному конкретному ресурсу. | На следующем снимке экрана показаны выделенный в адресной строке ID панели мониторинга и тег "TESTING" на панели тегов (в правом верхнем углу). Панель мониторинга, на которой показаны ID ресурса в адресной строке и тег в правом верхнем углу Для каждого типа ресурса можно добавить несколько правил. Каждое правило проверяется независимо по логике OR — ресурс доступен, если он соответствует **хотя бы одному** правилу. Ресурсы, не соответствующие ни одному правилу, недоступны. Подсказка по правилам доступа с логикой OR **Пример**: Чтобы предоставить роли доступ только для чтения к тестовым панелям мониторинга, раскройте панели мониторинга, переключитесь на точную настройку и добавьте два правила: * **Name** `contains` `testing` с уровнем доступа **Read** * **Tag** `is` `testing` с уровнем доступа **Read** Панель мониторинга, соответствующая любому из этих правил, будет доступна. Два детализированных правила доступа, объединённых по OR: Name contains testing с доступом Read и Tag is testing с доступом Read
## Политики безопасности
Раздел **Политики безопасности** в **Team Settings** содержит дополнительные элементы управления. **Роль по умолчанию для новых пользователей** определяет роль, которая автоматически назначается новым пользователям при присоединении к команде. **Generative AI** позволяет включать или отключать функции на базе LLM (например, генерацию запросов на естественном языке), работающие через Anthropic или Amazon Bedrock. Если эта опция отключена, данные не отправляются внешним ИИ-провайдерам. Политики безопасности