仅限托管 ClickStackRBAC 仅在托管 ClickStack 部署中可用。
用户访问前置条件
- 已被邀请加入你的 ClickHouse Cloud 组织。 组织管理员可通过 Cloud 控制台邀请用户。详情请参阅 管理云用户。
- 拥有该服务的 SQL 控制台访问权限。 前往该服务的 设置 → SQL 控制台访问,并设置适当的权限级别:
用户获得 Cloud 访问权限后,就会显示在 ClickStack 团队设置 页面中,你可以在其中为其分配 ClickStack 角色。
- Cloud 用户和角色
- ClickStack 团队设置
内置角色
为团队成员分配角色
默认新用户角色
创建自定义角色
1
前往 团队设置
打开 团队设置,然后向下滚动到 RBAC Roles。2
添加新角色
点击 + Add Role。输入 Role Name,并可选填 Description。3
配置权限并保存
为该角色设置权限,然后点击 Create Role。角色权限
资源权限
你可以控制的资源类型包括:
- 仪表盘 — 已保存的仪表盘布局和图表。
- 已保存的搜索 — 已保存的日志/trace/事件查询。
- 数据源 — 摄取源配置。
- 告警 — 告警规则及其通知设置。
- Webhooks — 出站通知目标端 (例如 Slack、PagerDuty 和通用 HTTP 端点) ,告警会将通知发送到这些目标端。这里指的不是 ClickStack API。
- 笔记本 — 协作式调查笔记本。
管理权限
- 用户 (无权限 · 受限访问) — 控制该角色是否可以查看团队成员及其角色。只有 Admins 可以邀请、移除或更新用户。
- 团队 (只读 · 管理) — 控制该角色是否可以查看或修改团队级设置,例如安全策略和 RBAC 配置。
细粒度访问规则
默认访问与细粒度控制
- 默认访问 — 对该类型的所有资源统一应用一个访问级别 (无权限、只读或管理) 。
- 细粒度控制 — 允许你定义按条件匹配特定资源的访问规则。未匹配到任何规则的资源默认无权限。
配置访问规则
下图同时显示了 URL 栏中高亮显示的仪表盘 ID,以及标签面板 (右上角) 中可见的“TESTING”标签。
你可以为每种资源类型添加多条规则。系统会基于 OR 逻辑分别检查每条规则——只要资源匹配任意一条规则,即可访问。不匹配任何规则的资源则无法访问。
示例:要为某个角色授予测试仪表盘的只读访问权限,请展开仪表盘,切换到 细粒度控制,然后添加两条规则:
- 名称
containstesting,访问级别为 Read - 标签
istesting,访问级别为 Read