Корпоративные разрешения EnterpriseEnterprise +

Доступно для тарифов уровня Enterprise

Эта возможность доступна в тарифных планах dbt Enterprise и Enterprise+. Если вы хотите узнать больше, свяжитесь с нами по адресу sales@getdbt.com.

Планы dbt Enterprise и Enterprise+ поддерживают ряд готовых наборов разрешений, которые помогают управлять контролем доступа в рамках аккаунта dbt. Подробнее см. документацию по контролю доступа, где описана ролевая модель управления доступом (RBAC).

Наборы разрешений

Следующие наборы разрешений доступны для назначения во всех аккаунтах dbt уровня Enterprise. Их можно назначать группам dbt, а затем — пользователям. Одна группа dbt может быть связана с несколькими наборами разрешений. Приоритет имеют назначения с более широким доступом.

Доступ к возможностям и функциональности dbt разделён на наборы разрешений уровня account-level и project-level. Разрешения уровня аккаунта в основном предназначены для администрирования аккаунта (приглашение пользователей, настройка SSO, создание групп). Разрешения уровня проекта предназначены для настройки и поддержки самих проектов (настройка окружений, доступ к IDE, запуск джобов). Наборы разрешений уровня аккаунта могут давать доступ к возможностям проекта, а наборы уровня проекта — к возможностям аккаунта. Чтобы сравнить наборы и их доступ, см. таблицы разрешений.

 Account admin

Набор разрешений Account admin — это наивысший уровень доступа и контроля над вашим аккаунтом и проектами dbt. Мы рекомендуем ограничить количество пользователей и групп, которым назначен этот набор.

Ключевые особенности:

• Account admin — это набор уровня аккаунта.
• Неограниченный доступ ко всем возможностям.
• Набор разрешений по умолчанию для каждого пользователя, создающего новый аккаунт dbt.
• Набор разрешений по умолчанию, назначаемый группе Owner.

 Admin

Набор разрешений Admin предназначен для администрирования проектов, но с ограниченным доступом на уровне аккаунта для приглашения и назначения пользователей.

Ключевые особенности:

• Admin — это набор уровня проекта.
• Неограниченный доступ к существующим проектам, но без возможности создавать новые проекты.
• Может приглашать новых участников и назначать доступ, но не может создавать группы.
• Имеет доступ к Catalog.

 Analyst

Набор разрешений Analyst предназначен для пользователей, которым нужно запускать и анализировать модели dbt в IDE, но которые не могут создавать или редактировать что-либо за пределами IDE.

Ключевые особенности:

• Analyst — это набор уровня проекта.
• Полный доступ к IDE и возможность настраивать персональные учётные данные для адаптеров и Git.
• Доступ только для чтения к конфигурациям окружений.
• Может просматривать джобы, но не может их редактировать.
• Имеет доступ к Catalog.

 Billing admin

Набор разрешений Billing admin позволяет просматривать информацию об использовании продукта, которая влияет на итоговую стоимость dbt (например, количество запусков моделей).

Ключевые особенности:

• Billing admin — это набор уровня аккаунта.
• Неограниченный доступ к разделу Billing в Account settings.
• Доступ на чтение к публичным моделям.
• Другого доступа нет.

 Database admin

Database admin управляет конфигурациями между dbt и базовыми базами данных.

Ключевые особенности:

• Database admin — это набор уровня проекта.
• Может настраивать и поддерживать переменные окружения и конфигурации Semantic Layer.
• Полезно в сценариях, когда администраторам хранилища данных нужен доступ к dbt только для настройки соединений.
• Доступ только для чтения к соединениям, Git-репозиторию, настройкам джобов и запусков.
• Имеет доступ к Catalog.

 Developer

Набор разрешений Developer предназначен для пользователей, которые разрабатывают и поддерживают dbt‑модели и управляют поведением в продакшене. Это основной набор разрешений для работы в IDE, и его не следует путать с лицензией Developer.

Ключевые особенности:

• Developer — это набор уровня проекта.
• Может создавать, редактировать и тестировать dbt‑код в IDE.
• Доступ только для чтения к базовым конфигурациям окружений, джобов, запусков и Git.
• Пользователи самостоятельно управляют своими учётными данными для хранилищ данных и Git.
• Имеет доступ к Catalog.

 Fusion admin

Этот набор разрешений используется исключительно для того, чтобы пользователи могли взаимодействовать с процессами обновления Fusion. Мы рекомендуем ограничить это разрешение пользователями и проектами, готовыми к Fusion.

Подробнее см. документацию dbt platform Fusion upgrade.

 Git admin

Git admin управляет интеграциями с Git‑репозиториями и клонированием.

Ключевые особенности:

• Git admin — это набор уровня проекта.
• Может создавать новые Git‑интеграции и переменные окружения.
• Может редактировать настройки проекта.
• Доступ только для чтения к настройкам аккаунта (включая пользователей и группы).
• Нет доступа к IDE.
• Имеет доступ к Catalog.

 Job admin

Job admin — это административный набор разрешений для пользователей, которые создают, запускают и управляют джобами в dbt.

Ключевые особенности:

• Job admin — это набор уровня проекта.
• Может создавать и редактировать джобы, запуски, переменные окружения и конфигурации хранилищ данных.
• Может настраивать проектные интеграции, включая Tableau lineage.
• Доступ только для чтения к конфигурациям проекта.
• Доступ только для чтения к соединениям и публичным моделям.
• Имеет доступ к Catalog.

 Job runner

Job runner — это специализированный набор разрешений для пользователей, которым нужно запускать джобы и просматривать результаты их выполнения.

Ключевые особенности:

• Job runner — это набор уровня проекта.
• Может запускать джобы.
• Имеет доступ только для чтения к джобам, включая статус и результаты.
• Другого доступа к возможностям dbt нет.

 Job viewer

Job viewer позволяет пользователям отслеживать и просматривать выполнение джобов в dbt. Пользователи с этой ролью могут видеть статус джобов, логи и результаты, но не могут запускать или изменять их.

Ключевые особенности:

• Job viewer — это набор уровня проекта.
• Доступ только для чтения к результатам джобов, статусу и логам.
• Другого доступа к возможностям dbt нет.
• Имеет доступ к Catalog.

 Manage marketplace apps

Manage marketplace apps — это специализированный набор разрешений, связанный с приложениями маркетплейса dbt. Обычно используется для Snowflake Native App.

Ключевые особенности:

• Manage marketplace apps — это набор уровня аккаунта.
• Используется исключительно для интеграций приложений маркетплейса.
• Не предназначен для общего назначения пользователям или группам.

 Metadata (Discovery API only)

Набор разрешений Metadata предназначен для интеграций Discovery API с доступом только для чтения.

Ключевые особенности:

• Metadata — это набор уровня проекта.
• Предоставляет доступ только для чтения к метаданным, связанным с dbt‑моделями, запусками, источниками и тестами.
• Нет доступа к изменению, выполнению или управлению джобами dbt, репозиториями или пользователями.
• Другого доступа к возможностям dbt нет.

 Project creator

Набор разрешений Project creator позволяет создавать, настраивать и инициализировать новые проекты. Рекомендуется для администраторов команд, которые будут владеть проектом.

Ключевые особенности:

• Project creator — это набор уровня аккаунта.
• Единственный набор разрешений, помимо Account admin, который может создавать проекты.
• Ограниченный доступ к настройкам аккаунта. Project creator может создавать и редактировать соединения, приглашать пользователей, создавать группы и назначать лицензии.
• Неограниченный доступ к конфигурациям проектов.
• Имеет доступ к Catalog.

 Security admin

Security admin имеет ограниченный доступ к настройкам и политикам безопасности аккаунта dbt. Этот набор предназначен для сотрудников служб безопасности, которым необходимо обеспечивать соответствие требованиям безопасности и контролировать внедрение лучших практик безопасности на уровне аккаунта. Тип лицензии IT включает этот набор разрешений по умолчанию.

Ключевые особенности:

• Security admin — это набор уровня аккаунта.
• Может создавать и редактировать пользователей и группы, а также назначать лицензии.
• Может создавать и редактировать настройки аутентификации и SSO.
• Может создавать и редактировать IP‑ограничения и service tokens, а также управлять контролем доступа пользователей.
• Нет доступа к джобам, запускам, окружениям или IDE.

 Semantic Layer

Специализированный набор разрешений с жёстко ограниченным доступом — только для выполнения запросов к Semantic Layer с использованием service token.

Ключевые особенности:

• Semantic Layer — это набор уровня проекта.
• Может только выполнять запросы к Semantic Layer.
• Другого доступа к возможностям dbt нет.

 Stakeholder and Read-Only

Stakeholder и Read-Only — это идентичные наборы разрешений, похожие на Viewer, но без доступа к чувствительному контенту, такому как настройки аккаунта, биллинг или журналы аудита. Полезны для ролей, которым нужно наблюдать за проектами и их конфигурациями.

Ключевые особенности:

• Stakeholder — это набор уровня проекта.
• Доступ только для чтения к проектам, окружениям, джобам и запускам.
• Доступ только для чтения к информации о пользователях и группах.
• Имеет доступ к Catalog.
• Нет доступа к IDE.
• Ограниченный доступ к журналу аудита, без чувствительной информации, такой как пользовательские настройки и изменения на уровне аккаунта.

 Team admin

Team admin — это административный набор разрешений, предназначенный для руководителей команд или аналогичных ролей. Он предоставляет возможность управлять проектами команды.

Ключевые особенности:

• Team admin — это набор уровня проекта.
• Доступ к управлению проектами для команды пользователей. Ограниченный объём доступа может быть расширен через разрешения на уровне окружений.
• Доступ только для чтения ко многим настройкам аккаунта (за исключением чувствительного контента, такого как биллинг и провайдеры аутентификации).
• Имеет доступ к Catalog.

 Viewer

Набор разрешений Viewer предоставляет доступ только для чтения к аккаунту dbt. Полезен для любых ролей, которым требуется обзор состояния аккаунта dbt без возможности создавать или изменять конфигурации.

Набор Viewer часто используется вместе с типом лицензии Read-only.

Ключевые особенности:

• Viewer — это набор уровня аккаунта.
• Доступ только для чтения ко всем настройкам, проектам, окружениям и запускам.
• Доступ только для чтения к журналам аудита, включая чувствительную информацию на уровне аккаунта.
• Нет доступа к IDE.
• Имеет доступ к Catalog.

Типы лицензий переопределяют разрешения групп

Типы пользовательских лицензий всегда имеют приоритет над наборами разрешений, назначенными через группы. Например, пользователь с лицензией Read-Only не может выполнять административные действия, даже если он состоит в группе Account Admin.

Это гарантирует, что ограничения, связанные с лицензией, всегда применяются независимо от членства в группах.

Разрешения:

• Разрешения на уровне аккаунта — Разрешения, связанные с управлением аккаунтом dbt Cloud. Например, выставление счетов и настройки аккаунта.

• Разрешения на уровне проекта — Разрешения, связанные с проектами в dbt Cloud. Например, репозитории и доступ к dbt Cloud IDE или dbt Cloud CLI.

• Разрешения уровня аккаунта — Разрешения, связанные с управлением аккаунтом dbt. Например, биллинг и настройки аккаунта.

• Разрешения уровня проекта — Разрешения, связанные с проектами в dbt. Например, репозитории и доступ к Studio IDE или Cloud CLI.

примечание

Некоторые наборы разрешений имеют доступ только для чтения к настройкам окружений. Этот доступ может быть переопределён более привилегированным доступом, если пользователь назначен в группу с настроенным Environment write access.

Разрешения аккаунта

Наборы разрешений уровня аккаунта позволяют управлять аккаунтом dbt и его настройками (например, создавать service tokens, приглашать пользователей и настраивать SSO). Они также предоставляют разрешения на уровне проектов. Набор разрешений Account Admin является наивысшим уровнем доступа, который можно назначить.

• (W)rite — Создание нового или изменение существующего. Включает отправку, создание, удаление, распределение, изменение и разработку.

• (R)ead — Может просматривать, но не может создавать или изменять какие-либо поля.

• (W)rite — Создание новых или изменение существующих. Включает send, create, delete, allocate, modify и develop.

• (R)ead — Можно просматривать, но нельзя создавать или изменять какие‑либо поля.

Доступ к аккаунту для разрешений аккаунта

Разрешение на уровне аккаунта	Администратор аккаунта	Администратор биллинга	Управление приложениями маркетплейса	Создатель проектов	Администратор безопасности	Наблюдатель
Настройки аккаунта*	W	-	-	R	R	R
Журналы аудита	R	-	-	-	R	R
Провайдер аутентификации	W	-	-	-	W	R
Биллинг	W	W	-	-	-	R
Подключения	W	-	-	W	-	-
Группы	W	-	-	R	W	R
Приглашения	W	-	-	W	W	R
Ограничения по IP	W	-	-	-	W	R
Лицензии	W	-	-	W	W	R
Приложение маркетплейса	-	-	W	-	-	-
Участники	W	-	-	W	W	R
Проект (создание)	W	-	-	W	-	-
Публичные модели	R	R	-	R	R	R
Сервисные токены	W	-	-	-	R	R
Вебхуки	W	-	-	-	-	-

Loading table...

Loading table...