Роли и права доступа в консоли
Роли организации
См. раздел Управление пользователями в облаке для получения инструкций по назначению ролей организации.
В ClickHouse доступны четыре роли уровня организации для управления пользователями. Только роль Admin имеет доступ к сервисам по умолчанию. Все остальные роли должны сочетаться с ролями уровня сервиса для взаимодействия с сервисами.
| Роль | Описание |
|---|---|
| Admin | Выполняет все административные действия в организации и управляет всеми настройками. Эта роль по умолчанию назначается первому пользователю в организации и автоматически имеет права доступа Service Admin на все сервисы. |
| Billing | Просматривает данные об использовании и счетах, а также управляет способами оплаты. |
| Org API reader | Право доступа API на управление настройками и пользователями уровня организации, без доступа к сервисам. |
| Member | Только вход в систему с возможностью управлять настройками личного профиля. По умолчанию назначается пользователям SAML SSO. |
Сервисные роли
См. раздел Управление пользователями в облаке для получения инструкций по назначению сервисных ролей.
Право доступа к сервису должно быть явно предоставлено администратором пользователям с ролями, отличными от роли admin. Роль Service admin предварительно настроена с административным доступом к SQL-консоли, но может быть изменена для ограничения или удаления прав доступа.
| Роль | Описание |
|---|---|
| Service reader | Просмотр сервисов и настроек. |
| Service admin | Управление настройками сервиса. |
| Service API reader | Право доступа API на чтение настроек сервиса для всех сервисов. |
| Service API admin | Право доступа API на управление настройками сервиса для всех сервисов. |
| Basic service API reader | Право доступа API на использование конечных точек API запросов. |
Роли SQL-консоли
См. раздел Управление назначениями ролей SQL-консоли для получения инструкций по назначению ролей SQL-консоли.
| Role | Description |
|---|---|
| SQL console read only | Доступ только для чтения к базам данных в пределах сервиса. |
| SQL console admin | Административный доступ к базам данных в пределах сервиса, эквивалентный роли Default базы данных. |
Права доступа к консоли
В таблице ниже описаны права доступа для консоли ClickHouse и SQL-консоли. Более подробная информация доступна по ссылкам в заголовках каждой категории.
| Permission | Description |
|---|---|
| Organization (подробнее) | Права доступа на уровне организации |
| control-plane:organization:view | Просмотр сведений об организации и метаданных в режиме только чтения. |
| control-plane:organization:manage | Управление настройками организации и пользователями. |
| Billing (подробнее) | Управление биллингом и счетами |
| control-plane:organization:manage-billing | Управление настройками биллинга, способами оплаты и счетами. |
| control-plane:organization:view-billing | Просмотр потребления и счетов. |
| API keys (подробнее) | Управление API-ключами организации |
| control-plane:organization:view-api-keys | Просмотр API-ключей организации. |
| control-plane:organization:create-api-keys | Создание новых API-ключей для организации. |
| control-plane:organization:update-api-keys | Обновление существующих API-ключей и их разрешений. |
| control-plane:organization:delete-api-keys | Отзыв или удаление API-ключей. |
| Support (подробнее) | Управление обращениями в поддержку |
| control-plane:support:manage | Создание обращений в поддержку, управление ими и взаимодействием со службой поддержки ClickHouse. |
| Service (general) | Общие права доступа на уровне сервиса |
| control-plane:service:view | Просмотр метаданных, настроек и состояния сервиса. |
| control-plane:service:manage | Управление конфигурацией сервиса и операциями его жизненного цикла. |
| Backups (подробнее) | Резервные копии сервиса и точки восстановления |
| control-plane:service:view-backups | Просмотр резервных копий и точек восстановления сервиса. |
| control-plane:service:manage-backups | Создание резервных копий сервиса, управление ими и восстановление из них. |
| IP access list (подробнее) | Управление списками доступа по IP и сетевой фильтрацией |
| control-plane:service:manage-ip-access-list | Управление списками доступа по IP и сетевой фильтрацией для сервиса. |
| Generative AI (подробнее) | Настройка функций генеративного ИИ |
| control-plane:service:manage-generative-ai | Настройка и управление функциями и параметрами генеративного ИИ для сервиса. |
| Query API endpoints (подробнее) | Конечные точки Query API |
| control-plane:service:view-query-api-endpoints | Просмотр конечных точек Query API и их конфигурации. |
| control-plane:service:manage-query-api-endpoints | Создание конечных точек Query API и управление ими. |
| Private endpoints (подробнее) | Приватные сети и конечные точки |
| control-plane:service:view-private-endpoints | Просмотр конфигурации приватных конечных точек для сервиса. |
| control-plane:service:manage-private-endpoints | Создание приватных конечных точек и приватных сетей, а также управление ими. |
| ClickPipes (подробнее) | Интеграция ClickPipes |
| control-plane:service:manage-clickpipes | Управление интеграцией ClickPipes и связанными настройками. |
| Scaling (подробнее) | Конфигурация масштабирования и автомасштабирования |
| control-plane:service:view-scaling-config | Просмотр конфигурации масштабирования и параметров автомасштабирования для сервиса. |
| control-plane:service:manage-scaling-config | Изменение конфигурации масштабирования и запуск операций масштабирования. |
| ClickStack (подробнее) | Интеграции ClickStack для обсервабилити |
| control-plane:service:manage-clickstack-api | Управление доступом к API ClickStack и связанными интеграциями. |
| SQL console role mapping (подробнее) | Управление назначениями ролей SQL-консоли |
| sql-console:database:access | Беспарольный доступ к базе данных через SQL-консоль (может использоваться только с sql-console-admin или sql-console-readonly) |
