ClickStack inclut le contrôle d’accès basé sur les rôles (RBAC), afin que vous puissiez définir des rôles personnalisés avec des autorisations fines sur les tableaux de bord, les recherches enregistrées, les sources, les alertes, les webhooks et les notebooks. Les autorisations s’appliquent à deux niveaux : l’accès au niveau des ressources (aucun accès, lecture ou gestion par type de ressource) et des règles fines facultatives qui restreignent l’accès à des ressources individuelles par nom, tag ou ID. ClickStack inclut trois rôles intégrés, et vous pouvez créer des rôles personnalisés adaptés aux besoins de votre équipe.
Managed ClickStack uniquementLe RBAC est disponible uniquement dans les déploiements Managed ClickStack.
Prérequis d’accès des utilisateurs
- Être invité dans votre organisation ClickHouse Cloud. Un administrateur de l’organisation invite les utilisateurs depuis le Cloud Console. Consultez Manage cloud users pour en savoir plus.
- Disposer d’un accès à SQL Console sur le service. Accédez à Settings → SQL Console Access de votre service et définissez le niveau d’autorisation approprié :
| Accès à Cloud SQL Console | Accès ClickStack |
|---|
| SQL Console Admin (Accès complet) | Accès complet à ClickStack. Requis pour activer les alerts. |
| SQL Console Read Only (Lecture seule) | Permet de consulter les données d’observabilité et de créer des tableaux de bord. |
| No access | Impossible d’accéder à ClickStack. |
| Permission | Admin | Member | ReadOnly |
|---|
| Lire toutes les ressources | ✓ | ✓ | ✓ |
| Gérer les tableaux de bord | ✓ | ✓ | |
| Gérer les recherches enregistrées | ✓ | ✓ | |
| Gérer les sources | ✓ | ✓ | |
| Gérer les alertes | ✓ | ✓ | |
| Gérer les webhooks | ✓ | ✓ | |
| Gérer les notebooks | ✓ | ✓ | |
| Mettre à jour les paramètres de l’équipe | ✓ | ✓ | |
| Créer/supprimer des équipes | ✓ | | |
| Gérer les utilisateurs et les invitations | ✓ | | |
Attribution des rôles aux membres de l’équipe
Rôle par défaut des nouveaux utilisateurs
Création d’un rôle personnalisé
Accéder à Team Settings
Ouvrez Team Settings et faites défiler la page jusqu’à RBAC Roles.Ajouter un nouveau rôle
Cliquez sur + Add Role. Saisissez un Role Name et, si vous le souhaitez, ajoutez une Description.Définissez les autorisations du rôle, puis cliquez sur Create Role. Autorisations des ressources
| Niveau d’accès | Ce qu’il permet |
|---|
| Aucun accès | Le type de ressource est entièrement masqué pour le rôle. |
| Lecture | Permet de voir la ressource et sa configuration, mais pas de la créer, la modifier ou la supprimer. |
| Gestion | Contrôle total — créer, modifier et supprimer des ressources de ce type. |
- Dashboards — tableaux de bord enregistrés et graphiques.
- Recherches enregistrées — requêtes persistantes sur les logs, les traces et les événements.
- Sources — configurations des sources d’ingestion.
- Alertes — règles d’alerte et leurs paramètres de notification.
- Webhooks — destinations de notification sortantes (comme Slack, PagerDuty et des endpoints HTTP génériques) auxquelles les alertes sont envoyées. Cela ne fait pas référence à l’API ClickStack.
- Notebooks — notebooks d’investigation collaboratifs.
Autorisations administratives
- Users (No Access · Accès limité) — détermine si le rôle peut voir les membres de l’équipe et leurs rôles. Seuls les Admins peuvent inviter, retirer ou modifier des utilisateurs.
- Team (Read · Gérer) — détermine si le rôle peut consulter ou modifier les paramètres de l’équipe, tels que les politiques de sécurité et la configuration RBAC.
Règles d’accès granulaires
Accès par défaut ou contrôles granulaires
- Accès par défaut — applique un seul niveau d’accès (Aucun accès, Lecture ou Gestion) à toutes les ressources de ce type.
- Contrôles granulaires — permettent de définir des règles d’accès qui ciblent des ressources spécifiques selon une condition. Les ressources qui ne correspondent à aucune règle n’ont, par défaut, aucun accès.
Pour changer de mode, cliquez sur le chevron pour développer un type de ressource dans l’éditeur de rôle, puis utilisez la bascule du mode de contrôle d’accès.
Configuration des règles d’accès
| Champ de condition | Opérateurs | Correspondance | Exemple |
|---|
| Name | is, contains | Le nom d’affichage de la ressource — par exemple, le titre du dashboard. | Le nom contient production — correspond à n’importe quel dashboard dont le titre contient “production”. |
| Tag | is, contains | Les tags attribués à la ressource via le panneau de tags dans l’angle supérieur droit de la vue de la ressource. Disponible uniquement pour tableaux de bord, Saved Searches et Notebooks. | Le tag est critical — correspond aux ressources marquées “critical”. |
| ID | is, contains | L’identifiant de la ressource, visible dans la barre d’URL lorsque vous ouvrez la ressource. | L’ID est abc123 — correspond à une ressource spécifique. |
- Name
contains testing avec le niveau d’accès Read
- Tag
is testing avec le niveau d’accès Read
Un dashboard qui correspond à l’une ou l’autre de ces règles est accessible.
La section Security Policies de Team Settings offre des contrôles supplémentaires.
Default New User Role définit le rôle automatiquement attribué aux nouveaux utilisateurs qui rejoignent l’équipe.
Generative AI permet d’activer ou de désactiver les fonctionnalités basées sur les LLM (comme la génération de requêtes en langage naturel) fournies par Anthropic ou Amazon Bedrock. Lorsqu’elle est désactivée, aucune donnée n’est envoyée aux AI providers.
