ClickStack에는 역할 기반 접근 제어(RBAC)가 포함되어 있어 대시보드, 저장된 검색, SOURCES, 알림, 웹훅, 노트북에 대해 세분화된 권한을 가진 사용자 지정 역할을 정의할 수 있습니다. 권한은 두 가지 수준으로 작동합니다. 즉, 리소스 수준 접근 권한(리소스 유형별 접근 없음, 읽기 또는 관리)과 이름, 태그 또는 ID를 기준으로 개별 리소스에 대한 접근을 제한하는 선택적 세분화 규칙입니다. ClickStack에는 기본 제공 역할 3개가 포함되어 있으며, 팀의 요구에 맞는 사용자 지정 역할을 만들 수 있습니다.
Managed ClickStack 전용RBAC는 Managed ClickStack 배포에서만 사용할 수 있습니다.
- ClickHouse Cloud 조직에 초대되어 있어야 합니다. 조직 관리자는 Cloud Console에서 사용자를 초대합니다. 자세한 내용은 Manage cloud users를 참조하십시오.
- 서비스에서 SQL 콘솔 액세스 권한이 있어야 합니다. 해당 서비스의 설정 → SQL 콘솔 액세스로 이동한 다음, 적절한 권한 수준을 설정하십시오:
| Cloud SQL 콘솔 액세스 | ClickStack 액세스 |
|---|
| SQL 콘솔 관리자 (전체 액세스) | ClickStack에 완전히 액세스할 수 있습니다. 알림을 활성화하려면 이 권한이 필요합니다. |
| SQL 콘솔 읽기 전용 (읽기 전용) | 관측성 데이터를 조회하고 대시보드를 만들 수 있습니다. |
| 액세스 없음 | ClickStack에 액세스할 수 없습니다. |
Cloud Users and roles
ClickStack Team Settings
| 권한 | 관리자 | 멤버 | 읽기 전용 |
|---|
| 모든 리소스 읽기 | ✓ | ✓ | ✓ |
| 대시보드 관리 | ✓ | ✓ | |
| 저장된 검색 관리 | ✓ | ✓ | |
| SOURCES 관리 | ✓ | ✓ | |
| 알림 관리 | ✓ | ✓ | |
| 웹훅 관리 | ✓ | ✓ | |
| 노트북 관리 | ✓ | ✓ | |
| 팀 설정 변경 | ✓ | ✓ | |
| 팀 생성/삭제 | ✓ | | |
| 사용자 및 초대 관리 | ✓ | | |
Team Settings로 이동
Team Settings를 열고 RBAC Roles 섹션으로 스크롤합니다.새 역할 추가
+ Add Role를 클릭합니다. Role Name을 입력하고, 필요하면 Description을 추가합니다.권한 구성 및 저장
역할에 대한 권한을 설정한 다음 Create Role를 클릭합니다.| 접근 수준 | 허용되는 작업 |
|---|
| 접근 없음 | 해당 리소스 유형이 역할에서 완전히 숨겨집니다. |
| 읽기 | 리소스와 해당 구성을 볼 수 있지만 생성, 편집 또는 삭제는 할 수 없습니다. |
| 관리 | 전체 제어 — 해당 유형의 리소스를 생성, 편집 및 삭제할 수 있습니다. |
- 대시보드 — 저장된 대시보드 레이아웃과 차트입니다.
- 저장된 검색 — 저장된 로그/트레이스/이벤트 쿼리입니다.
- SOURCES — 수집 소스 구성입니다.
- 알림 — 알림 규칙과 해당 알림 설정입니다.
- 웹훅 — 알림이 전달하는 외부 알림 대상(예: Slack, PagerDuty, 일반 HTTP 엔드포인트)입니다. 이는 ClickStack API를 의미하지 않습니다.
- 노트북 — 협업용 조사 노트북입니다.
리소스 권한 외에도 각 역할에는 2가지 관리 설정이 포함됩니다:
- 사용자 (액세스 없음 · 제한된 액세스) — 역할이 팀 구성원과 해당 구성원의 역할을 볼 수 있는지 제어합니다. 사용자를 초대, 제거 또는 업데이트할 수 있는 권한은 관리자에게만 있습니다.
- 팀 (읽기 · 관리) — 역할이 보안 정책 및 RBAC 구성과 같은 팀 수준의 설정을 보거나 수정할 수 있는지 제어합니다.
대시보드, 저장된 검색, SOURCES 및 노트북은 범주 내 개별 리소스에 대한 액세스를 제한하는 세분화된 제어를 지원합니다. 전체 리소스 유형에 대한 포괄적인 액세스 권한을 부여하는 대신 역할을 특정 리소스로 제한해야 할 때 사용하십시오.
각 리소스 유형에는 액세스 제어 모드가 있습니다.
- 기본 액세스 — 해당 유형의 모든 리소스에 단일 액세스 수준(액세스 없음, 읽기 또는 관리)을 적용합니다.
- 세분화된 제어 — 조건에 따라 특정 리소스에 일치하는 액세스 규칙을 정의할 수 있습니다. 어떤 규칙에도 일치하지 않는 리소스에는 기본적으로 액세스 권한이 부여되지 않습니다.
모드를 전환하려면 역할 편집기에서 셰브론을 클릭해 리소스 유형을 펼친 다음 액세스 제어 모드를 전환하십시오.
각 액세스 규칙은 조건과 액세스 수준으로 이루어집니다. 조건은 리소스의 속성을 기준으로 리소스를 식별합니다.
| 조건 필드 | 연산자 | 일치 대상 | 예시 |
|---|
| Name | is, contains | 리소스의 표시 이름입니다. 예를 들어 대시보드 제목이 이에 해당합니다. | Name contains production — 제목에 “production”이 포함된 모든 대시보드와 일치합니다. |
| Tag | is, contains | 리소스 보기의 오른쪽 상단 태그 패널을 통해 리소스에 할당된 태그입니다. 대시보드, 저장된 검색, 노트북에서만 사용할 수 있습니다. | Tag is critical — “critical” 태그가 지정된 리소스와 일치합니다. |
| ID | is, contains | 리소스를 열었을 때 URL 표시줄에서 확인할 수 있는 리소스 식별자입니다. | ID is abc123 — 특정 리소스 하나와 일치합니다. |
- Name
contains testing 및 액세스 수준 Read
- Tag
is testing 및 액세스 수준 Read
두 규칙 중 하나라도 일치하는 대시보드에는 액세스할 수 있습니다.
Team Settings의 Security Policies 섹션에서는 추가 제어 옵션을 제공합니다.
Default New User Role은 팀에 새로 참여하는 사용자에게 자동으로 할당할 역할을 설정합니다.
Generative AI를 사용하면 Anthropic 또는 Amazon Bedrock으로 구동되는 LLM 기반 기능(예: 자연어 쿼리 생성)을 활성화하거나 비활성화할 수 있습니다. 비활성화하면 데이터가 AI 프로바이더로 전송되지 않습니다.
