> ## Documentation Index > Fetch the complete documentation index at: https://private-7c7dfe99-mintlify-8c05c8a2.mintlify.site/llms.txt > Use this file to discover all available pages before exploring further. # ロールベースアクセス制御(RBAC) > ClickStack でロールベースアクセス制御を設定し、ダッシュボード、保存済み検索、ログソース、アラートなどに対するチームの権限を管理します。 export const Image = ({img, alt, size}) => { return {alt} ; }; ClickStack にはロールベースのアクセス制御 (RBAC) が用意されており、[ダッシュボード](/ja/clickstack/features/dashboards/overview)、[保存済み検索](/ja/clickstack/features/search)、ログソース、[アラート](/ja/clickstack/features/alerts)、webhook、ノートブックに対して、きめ細かな権限を持つカスタムロールを定義できます。権限は 2 つのレベルで適用されます。1 つはリソースレベルのアクセス (リソースタイプごとにアクセスなし、読み取り、管理) で、もう 1 つは名前、タグ、または ID によって個々のリソースへのアクセスを制限する、任意の詳細なルールです。ClickStack には 3 つの組み込みロールが用意されており、チームのニーズに合わせてカスタムロールを作成できます。 **Managed ClickStack のみ** RBAC は Managed ClickStack デプロイメントでのみ利用できます。
## ユーザーアクセスの前提条件
ClickStack は ClickHouse Cloud を通じて認証されます。ClickStack のロールを割り当てる前に、各ユーザーは次の条件を満たしている必要があります。 1. **ClickHouse Cloud 組織に招待されていること。** 組織の Admin は Cloud Console からユーザーを招待します。詳しくは [クラウドユーザーの管理](/ja/products/cloud/guides/security/cloud-access-management/manage-cloud-users) を参照してください。 2. **サービスで SQL Console へのアクセス権を持っていること。** サービスの **Settings** → **SQL Console Access** に移動し、適切な権限レベルを設定します。 | Cloud SQL Console access | ClickStack access | | ------------------------------------- | --------------------------------------------------------------------------- | | **SQL Console Admin** (Full Access) | ClickStack へのフルアクセス。[alerts](/ja/clickstack/features/alerts) を有効にするために必要です。 | | **SQL Console Read Only** (Read Only) | オブザーバビリティデータを表示し、ダッシュボードを作成できます。 | | **No access** | ClickStack にアクセスできません。 | ユーザーが Cloud へのアクセス権を持つと、ClickStack の **Team Settings** ページに表示され、そこで ClickStack のロールを割り当てられるようになります。 ClickHouse Cloud Users and roles ページ チームメンバーとそのロールが表示された ClickStack Team Settings ページ
## 組み込みロール
ClickStack には、3 つのシステムロールが用意されています。これらは編集や削除ができません。Admin ロールは、デフォルトでチーム作成者に割り当てられます。 | 権限 | Admin | Member | ReadOnly | | ----------- | :---: | :----: | :------: | | すべてのリソースを閲覧 | ✓ | ✓ | ✓ | | ダッシュボードを管理 | ✓ | ✓ | | | 保存済み検索を管理 | ✓ | ✓ | | | ログソースを管理 | ✓ | ✓ | | | アラートを管理 | ✓ | ✓ | | | ウェブフックを管理 | ✓ | ✓ | | | ノートブックを管理 | ✓ | ✓ | | | チーム設定を変更 | ✓ | ✓ | | | チームを作成/削除 | ✓ | | | | ユーザーと招待を管理 | ✓ | | |
## チームメンバーへのロールの割り当て
**Team Settings** ページには、すべてのチームメンバーとそれぞれの現在のロールが一覧表示されます。ロールを変更するには、ユーザー名の横にある **Edit** をクリックし、新しいロールを選択します。各ユーザーに割り当てられるロールは1つだけです。
### 新規ユーザーのデフォルトロール
[セキュリティポリシー](#security-policies)で、新規ユーザーのデフォルトロールを設定できます。チームに自動参加した新規ユーザーには、このロールが自動的に割り当てられます。
## カスタムロールの作成
### Team Settings に移動する **Team Settings** を開き、**RBAC Roles** までスクロールします。 RBAC Roles ### 新しいロールを追加する **+ Add Role** をクリックします。**Role Name** を入力し、必要に応じて **Description** を追加します。 ### 権限を設定して保存する ロールの権限を設定して、**Create Role** をクリックします。 Add Role モーダル カスタムロールは、RBAC Roles セクションにシステムロールと並んで表示され、**Edit** と **Delete** のコントロールが利用できます。
## ロールの権限
### リソース権限
各ロールでは、リソースタイプごとにアクセスレベルを付与できます。アクセスレベルは次の 3 つです。 | アクセスレベル | 許可される内容 | | ---------- | ---------------------------------- | | **アクセスなし** | そのリソースタイプは、そのロールでは完全に非表示になります。 | | **閲覧** | リソースとその設定は表示できますが、作成、編集、削除はできません。 | | **管理** | フルコントロール — その種類のリソースを作成、編集、削除できます。 | 制御できるリソースタイプは次のとおりです。 * **[ダッシュボード](/ja/clickstack/features/dashboards/overview)** — 保存されたダッシュボードレイアウトとチャート。 * **[保存済み検索](/ja/clickstack/features/search)** — 保存されたログ、トレース、イベントのクエリ。 * **ログソース** — インジェスト用のログソース設定。 * **[アラート](/ja/clickstack/features/alerts)** — アラートルールとその通知設定。 * **Webhook** — 送信先の通知先 (Slack、PagerDuty、汎用 HTTP エンドポイントなど) で、[alerts](/ja/clickstack/features/alerts) が通知を配信します。これは ClickStack API を指すものではありません。 * **Notebooks** — 共同で調査を行うためのノートブック。
### 管理権限
リソース権限に加えて、各ロールには 2 つの管理設定があります。 * **Users** (アクセスなし · 制限付きアクセス) — ロールがチームメンバーとそのロールを表示できるかどうかを制御します。ユーザーの招待、削除、更新を行えるのは Admin のみです。 * **チーム** (閲覧 · 管理) — セキュリティポリシーや RBAC 設定など、チームレベルの設定をロールが表示または変更できるかどうかを制御します。
### きめ細かなアクセスルール
ダッシュボード、保存済み検索、SOURCES、ノートブックでは、カテゴリ内の個々のリソースへのアクセスを制限できるきめ細かな制御をサポートしています。リソース種別全体に一括でアクセス権を付与するのではなく、ロールがアクセスできる対象を特定のリソースに限定したい場合に使用します。
#### デフォルトアクセスと詳細な制御
各リソースタイプには、**アクセス制御モード**があります。 * **デフォルトアクセス** — そのタイプのすべてのリソースに、単一のアクセスレベル (アクセスなし、読み取り、または管理) を適用します。 * **詳細な制御** — 条件に一致する特定のリソースに対するアクセスルールを定義できます。どのルールにも一致しないリソースは、デフォルトでアクセスなしになります。 モードを切り替えるには、ロールエディタでリソースタイプを展開するシェブロンをクリックし、**アクセス制御モード**を切り替えます。 ロールエディタでのデフォルトアクセスと詳細な制御のモード
#### アクセスルールの設定
各アクセスルールは、**条件** と **アクセスレベル** で構成されます。条件は、リソースのプロパティに基づいて一致を判定します。 条件のツールチップ: Name または Tag(タイトルで確認)や ID(URL で確認)でリソースを照合 | 条件フィールド | 演算子 | 一致対象 | 例 | | -------- | ---------------- | ------------------------------------------------------------------------------ | ------------------------------------------------------------------ | | **Name** | `is`, `contains` | リソースの表示名。たとえばダッシュボードのタイトルです。 | Name contains `production` — タイトルに「production」を含む任意のダッシュボードに一致します。 | | **Tag** | `is`, `contains` | リソース画面右上のタグパネルでリソースに割り当てられたタグです。Dashboards、Saved Searches、Notebooks でのみ使用できます。 | Tag is `critical` — 「critical」タグが付いたリソースに一致します。 | | **ID** | `is`, `contains` | リソースを開いたときに URL バーに表示されるリソース識別子です。 | ID is `abc123` — 特定の 1 つのリソースに一致します。 | 次のスクリーンショットでは、URL バーでダッシュボード ID が強調表示され、タグパネル (右上) に「TESTING」タグが表示されています。 URL バーにリソース ID が表示され、右上にタグがあるダッシュボード リソースタイプごとに複数のルールを追加できます。各ルールは OR ロジックで個別に評価されるため、**いずれか** のルールに一致すれば、そのリソースにアクセスできます。どのルールにも一致しないリソースにはアクセスできません。 OR ロジックを使用したアクセスルールのツールチップ **例**: ロールに testing ダッシュボードへの読み取り専用アクセスを付与するには、Dashboards を展開し、Fine-Grained Controls に切り替えて、2 つのルールを追加します。 * **Name** `contains` `testing`、アクセスレベル **Read** * **Tag** `is` `testing`、アクセスレベル **Read** いずれかのルールに一致するダッシュボードにアクセスできます。 OR で結合された 2 つのきめ細かなアクセスルール: Name contains testing で Read アクセス、Tag is testing で Read アクセス
## セキュリティポリシー
**Team Settings** の **Security Policies** セクションでは、追加の制御設定を行えます。 **Default New User Role** では、チームに参加した新規ユーザーに自動で割り当てるロールを設定します。 **Generative AI** では、Anthropic または Amazon Bedrock を利用する LLM ベースの機能 (自然言語クエリ生成など) を有効または無効にできます。無効にすると、データは AI プロバイダーに送信されません。 セキュリティポリシー