Токены служебных учетных записей StarterEnterpriseEnterprise +

Токены сервисных аккаунтов позволяют безопасно аутентифицироваться при работе с API dbt, назначая каждому токену узкий набор разрешений. Это обеспечивает более точное управление доступом к API. Хотя по своей сути они похожи на personal access tokens, токены сервисных аккаунтов принадлежат аккаунту, а не конкретному пользователю.

Токены сервисных аккаунтов можно использовать для системных интеграций, которые не выполняются от имени какого‑либо одного пользователя. Вы можете назначить токену сервисного аккаунта любые наборы разрешений, доступные в dbt. Доступность конкретных наборов может незначительно отличаться в зависимости от вашего тарифного плана:

• Планы Enterprise и Enterprise+ могут применять к сервисным токенам любые доступные наборы разрешений.
• Планы Developer и Starter могут применять к сервисным токенам набор разрешений Semantic Layer.
• Устаревшие планы Team (Legacy Team) могут применять к сервисным токенам наборы разрешений Account Admin, Member, Job Admin, Read-Only, Metadata и Semantic Layer.

Вы можете назначить столько наборов разрешений, сколько необходимо, одному токену. Для получения дополнительной информации о наборах разрешений см. "Корпоративные разрешения."

Генерация токенов сервисных аккаунтов

Вы можете создавать сервисные токены, если у вас есть лицензия Developer license и права администратора аккаунта permissions. Чтобы создать сервисный токен в dbt, выполните следующие шаги:

1. В dbt нажмите на название вашего аккаунта в левом боковом меню и выберите Account settings.
2. В левом сайдбаре нажмите Service Tokens.
3. Нажмите кнопку + New Token, чтобы сгенерировать новый токен.
4. После генерации токена вы больше не сможете просмотреть его повторно, поэтому обязательно сохраните его в безопасном месте.

Разрешения для токенов сервисных аккаунтов

Вы можете назначать токенам сервисных аккаунтов любой набор разрешений, доступный в dbt. При назначении набора разрешений токену вы также сможете выбрать, будут ли эти разрешения предоставлены для всех проектов в аккаунте или только для конкретных проектов.

Планы для команд, использующие токены сервисных аккаунтов

Следующие разрешения могут быть назначены токену сервисного аккаунта в плане для команд. Обратитесь к Корпоративным разрешениям для получения дополнительной информации об этих ролях.

• Account Admin — сервисные токены Account Admin имеют полный доступ read + write ко всей учётной записи, поэтому используйте их с осторожностью. В плане Team этот набор прав называется ролью "Owner role".
• Billing Admin
• Job Admin
• Metadata Only
• Member
• Read-only
• Semantic Layer Only

Корпоративные планы, использующие токены сервисных аккаунтов

Обратитесь к Корпоративным разрешениям для получения дополнительной информации об этих ролях.

• Account Admin — сервисные токены Account Admin имеют полный доступ read + write ко всей учетной записи, поэтому используйте их с осторожностью.
• Account Viewer
• Admin
• Analyst
• Billing Admin
• Database Admin
• Developer
• Git Admin
• Job Admin
• Job Runner
• Job Viewer
• Manage marketplace apps
• Metadata Only
• Semantic Layer Only
• Security Admin
• Stakeholder
• Team Admin

Обновление сервисных токенов

18 июля 2023 года dbt Labs изменила способ генерации и проверки токенов, чтобы повысить производительность. Эти улучшения применяются только к токенам, созданным после 18 июля 2023 года.

Старые токены остаются действительными, однако если они используются для высокочастотных вызовов API, мы рекомендуем выполнить их ротацию, чтобы снизить задержки.

Чтобы выполнить ротацию токена:

1. Перейдите в Account settings и нажмите Service tokens в левой боковой панели.
2. Убедитесь, что дата Created у токена — 18 июля 2023 года или раньше.
3. Нажмите + New Token в правом верхнем углу экрана. Убедитесь, что у нового токена те же разрешения, что и у старого.
4. Скопируйте новый токен и замените им старый во всех ваших системах. Сохраните токен в безопасном месте, так как после закрытия экрана создания он больше не будет доступен.
5. Удалите старый токен в dbt, нажав на иконку корзины. Выполняйте это действие только после того, как новый токен будет установлен, чтобы избежать перебоев в работе сервиса.

Часто задаваемые вопросы

Я получаю ошибку 403 'Запрещено: Доступ запрещен' при использовании сервисных токенов

Весь трафик сервисных токенов подлежит ограничениям по IP.

При использовании сервисного токена следующая ошибка 403 указывает на то, что IP-адрес не находится в списке разрешенных. Чтобы устранить это, вам следует добавить CIDR (сетевые адреса) вашей сторонней интеграции в ваш список разрешенных.

Ниже приведен пример ошибки 403:

        {
            "status": {
                "code": 403,
                "is_success": False,
                "user_message": ("Forbidden: Access denied"),
                "developer_message": None,
            },
            "data": {
                "account_id": <account_id>,
                "user_id": <user_id>,
                "is_service_token": <boolean describing if it's a service token request>,
                "account_access_denied": True,
            },
        }

Нашли ошибку?

Создать GitHub Issue