Skip to content

Политики доступа

Политики доступа определяют, что пользователи могут делать с объектами Каталога данных. В сочетании с ролями политики доступа помогают гибко настраивать доступ к различному функционалу для пользователей.

Настройки, предварительные условия, разрешения

Manage Policies Privilege позволяет пользователям создавать, редактировать и удалять все политики доступа к Каталогу данных. Данную привилегию следует предоставлять только тем пользователям, которые будут выступать в качестве администраторов платформы.

Типы политик

В Каталоге данных есть 2 типа политик: Политика платформы (Platform Policies) и политика метаданных (Metadata Policies).

Политики платформы (Platform Policies).

Политика платформы позволяет назначать пользователям привилегии Каталога данных верхнего уровня. К ним относятся права на:

  • управление пользователями и группами,
  • просмотр страницы аналитики,
  • управление самими политиками.

Например: Команда управления данными должна иметь возможность управлять пользователями и группами, просматривать аналитику платформы. Тогда для этой Команды управления назначается политика платформы, которая включает в себя данные привилегии уровня платформы. Подробнее узнать про привилегии уровня платформы можно по ссылке.

Политики метаданных (Metadata Policies).

Политика метаданных позволяет назначать пользователям привилегии направленные на изменение атрибутов объектов каталога, например:

  • редактирование документации и ссылок,
  • добавление владельцев к графикам, датасетам,
  • добавление тегов к терминам,

Например: Владельцам датасетов должно быть разрешено редактирование документации, но не тегов. Или Data Steward (распорядитель данных) должен иметь доступ к редактированию тегов для любого дашборда, но редактирование других метаданных для него недоступно.

Создание политики

Политики можно создавать в разделе Политики (Policies), перейти к разделу можно через Settings > Permissions > Policies. Чтобы создать новую политику, нажмите Create new policy.

Политики

Создание политики включает три этапа: выбор типа политики, настройка привилегий или прав, которые будут предоставлены пользователям системы, и определение субъектов или пользователей, на которых эта политика будет распространяться.

Создание политики платформы

Шаг 1. Укажите имя и описание

На первом шаге мы выбираем тип политики и определяем имя и описание для новой политики.

Создание политики платформы

Хорошие имена политик описывают высокоуровневую цель политики. Например, политика с названием «Просмотр аналитики Каталога данных — команда управления данными» будет отличным способом описать политику платформы, которая предоставляет возможности просмотра аналитики любому члену команды управления данными. При желании вы можете предоставить текстовое описание в разделе описание (Description), чтобы добавить более подробные сведения о цели политики.

Шаг 2. Настройте привилегии

На втором шаге необходимо выбрать привилегии, которые будет предоставлять эта политика платформы. Привилегии платформы чаще всего предоставляют доступ к выполнению административных функций в системе, например просмотру аналитики.

Создание политики платформы

Полный список этих привилегий и их функции можно найти в Привилегии уровня платформы.

Шаг 3. Выберите субъектов политики

На этом шаге мы можем выбрать пользователей или группы, которым будут предоставлены привилегии, указанные в этой политике. Для этого найдите и выберите пользователей или группы, к которым должна применяться политика.

Назначение политики пользователю

Выбор субъектов политики

Назначение политики группе

Выбор субъектов политики

Создание политики метаданных

Шаг 1. Укажите имя и описание

На первом шаге мы выбираем тип политики — политика метаданных, и определяем имя и описание для новой политики. Хорошие имена политик описывают высокоуровневую цель политики. Например, политика с названием «Полные привилегии редактирования набора данных — Проектирование платформы данных» будет отличным способом описать политику метаданных, которая предоставляет все возможности редактирования метаданных любому лицу в группе «Платформа данных».

Выбор субъектов политики

При желании вы можете предоставить текстовое описание, чтобы добавить более подробную информацию о цели политики в поле Описание (Description).

Шаг 2. Настройка привилегий

На втором шаге мы можем выбрать типы объектов (Resource Type) и объекты (Resource), для которых политика будет предоставлять доступ.

Тип объектов (Resource type). Для начала мы должны определить для каких объектов должны быть предоставлены привилегии (т. е. область действия). Для этого в поле тип объекта (Resource type), выберите один или несколько типов объектов, к которым будет применяться политика. Если оставить поле пустым, в область действия попадут все типы объектов.

Выбор субъектов политики

Например, если необходимо предоставить доступ только для датасетов (Datasets), то выбираем это значение в поле тип объекта (Resource type). Объекты, к которым можно предоставить доступ в Каталоге данных:

  1. Datasets
  2. Dashboards
  3. Charts
  4. Data Pipelines
  5. Data Tasks
  6. Tags
  7. Containers
  8. Domains
  9. Glossary Terms
  10. Glossary Term Groups
  11. Groups
  12. Users
  13. Notebook
  14. Data Platform Instance
  15. ERModelRelationship
  16. Structured Properties

Объект (Resource). Далее мы можем выполнить поиск определенных объектов, к которым политика должна предоставить привилегии, это могут быть определенные таблицы, продукты, домены и прочие объекты. Если оставить поле пустым, все объекты (Resource) выбранных типов типов (Resource type) будут включены в область действия. Например, если мы хотим предоставить доступ только к датасету suppliers_department, то выбираем его напрямую.

Объекты

Теги (Select Tags) Также политику можно применить к определенному тегу. В таком случае объекты, помеченные данным тегом будут попадать под влияние данной политики. Если теги не выбраны. политика не будет распространяться с помощью тегов.

Политики

Домены (Select Domains). Также можно ограничить область действия Политики объектами, которые находятся в определенном Домене. Если оставить поле пустым, в область действия попадут объекты (Resource Type) из всех Доменов. Например, если мы хотим предоставить доступ только к датасетам, входящим в Домен «Финансы», то поле следует заполнить значением «Финансы».

Политики

Привилегии (Privileges). Привилегии метаданных предоставляют доступ к изменению, созданию, удалению определенных объектов. Ознакомиться со всеми типами привилегий можно на странице Привилегий уровня метаданных.

Политики

Шаг 3. Выбор субъектов политики

На этом шаге можно выбрать субъектов (пользователей, группы), которым следует предоставить данную политику. Чтобы добавить субъект, найдите и выберите пользователей (Users) или группы (Groups) в соответствующих полях.

Политики

Также можно предоставить привилегии владельцам объектов. Эта расширенная функциональность позволяет администраторам Каталога данных контролировать, какие действия могут или не могут выполняться владельцами объектов Каталога данных. Для добавления этой привилегии необходимо выбрать Toggle и в появившемся поле выбрать Тип Владельца (Ownership Types), на которого данная политика будет распространяться. Если оставить данное поле пустым, то политики будут применяться к любому типу владельца.

Политики

Типы владельцев объектов в системе создаются администратором, поэтому доступные типы владельцев будут перечислены в выпадающем списке. Узнать про Типы владельцев в системе и о том, как они связаны можно здесь.

Редактирование политики

Для изменения существующей политики нажмите кнопку Изменить рядом с политикой, которую необходимо изменить. В открывшемся окне редактирования на первой странице можно изменить тип политики, на второй — настроить привилегии или права, а на третьей — указать субъектов или пользователей, на которых будет распространяться эта политика. После внесения изменений и нажмите Save. При сохранении политики может потребоваться до 2-х минут, чтобы изменения вступили в силу.

Домены

Удаление политики

Чтобы удалить политику, нажмите на значок корзины, расположенный в списке политик. Это приведет к удалению и деактивации политики. При удалении политики может потребоваться до 2-x минут, чтобы изменения вступили в силу. После удаления политика исчезает из списка и её невозможно восстановить.

Деактивация политики

Кроме удаления, Каталог данных также предлагает возможность деактивации политики. Это особенно полезно, если вам нужно временно отключить определенную политику, но вы не хотите удалять её полностью. Чтобы деактивировать политику, нажмите кнопку Deactivate; в таком случае статус политики изменится на Inactive. При изменении состояния политики может потребоваться до 2 минут для применения изменений.

Деактивированные политики также можно редактировать, а при необходимости активировать снова. Для этого необходимо нажать Activate рядом с необходимой политикой. При изменении состояния политики может потребоваться до 2 минут для применения изменений.

Домены

Политики по умолчанию

Каталог данных предоставляет набор готовых политик сразу после развертывания. Эти политики будут обозначены в интерфейсе серым цветом, и их нельзя редактировать, удалять или деактивировать. Политики по умолчанию необходимы для предотвращения случайного удаления всех политик и их блокировки. Это позволяет пользователям, настраивающим Каталог данных, без проблем управлять политиками доступа.