メインコンテンツへスキップ
ClickStack にはロールベースのアクセス制御 (RBAC) が用意されており、ダッシュボード保存済み検索、ログソース、アラート、webhook、ノートブックに対して、きめ細かな権限を持つカスタムロールを定義できます。権限は 2 つのレベルで適用されます。1 つはリソースレベルのアクセス (リソースタイプごとにアクセスなし、読み取り、管理) で、もう 1 つは名前、タグ、または ID によって個々のリソースへのアクセスを制限する、任意の詳細なルールです。ClickStack には 3 つの組み込みロールが用意されており、チームのニーズに合わせてカスタムロールを作成できます。
Managed ClickStack のみRBAC は Managed ClickStack デプロイメントでのみ利用できます。

ユーザーアクセスの前提条件

ClickStack は ClickHouse Cloud を通じて認証されます。ClickStack のロールを割り当てる前に、各ユーザーは次の条件を満たしている必要があります。
  1. ClickHouse Cloud 組織に招待されていること。 組織の Admin は Cloud Console からユーザーを招待します。詳しくは クラウドユーザーの管理 を参照してください。
  2. サービスで SQL Console へのアクセス権を持っていること。 サービスの SettingsSQL Console Access に移動し、適切な権限レベルを設定します。
ユーザーが Cloud へのアクセス権を持つと、ClickStack の Team Settings ページに表示され、そこで ClickStack のロールを割り当てられるようになります。

組み込みロール

ClickStack には、3 つのシステムロールが用意されています。これらは編集や削除ができません。Admin ロールは、デフォルトでチーム作成者に割り当てられます。

チームメンバーへのロールの割り当て

Team Settings ページには、すべてのチームメンバーとそれぞれの現在のロールが一覧表示されます。ロールを変更するには、ユーザー名の横にある Edit をクリックし、新しいロールを選択します。各ユーザーに割り当てられるロールは1つだけです。

新規ユーザーのデフォルトロール

セキュリティポリシーで、新規ユーザーのデフォルトロールを設定できます。チームに自動参加した新規ユーザーには、このロールが自動的に割り当てられます。

カスタムロールの作成

1

Team Settings に移動する

Team Settings を開き、RBAC Roles までスクロールします。
2

新しいロールを追加する

+ Add Role をクリックします。Role Name を入力し、必要に応じて Description を追加します。
3

権限を設定して保存する

ロールの権限を設定して、Create Role をクリックします。
カスタムロールは、RBAC Roles セクションにシステムロールと並んで表示され、EditDelete のコントロールが利用できます。

ロールの権限

リソース権限

各ロールでは、リソースタイプごとにアクセスレベルを付与できます。アクセスレベルは次の 3 つです。 制御できるリソースタイプは次のとおりです。
  • ダッシュボード — 保存されたダッシュボードレイアウトとチャート。
  • 保存済み検索 — 保存されたログ、トレース、イベントのクエリ。
  • ログソース — インジェスト用のログソース設定。
  • アラート — アラートルールとその通知設定。
  • Webhook — 送信先の通知先 (Slack、PagerDuty、汎用 HTTP エンドポイントなど) で、alerts が通知を配信します。これは ClickStack API を指すものではありません。
  • Notebooks — 共同で調査を行うためのノートブック。

管理権限

リソース権限に加えて、各ロールには 2 つの管理設定があります。
  • Users (アクセスなし · 制限付きアクセス) — ロールがチームメンバーとそのロールを表示できるかどうかを制御します。ユーザーの招待、削除、更新を行えるのは Admin のみです。
  • チーム (閲覧 · 管理) — セキュリティポリシーや RBAC 設定など、チームレベルの設定をロールが表示または変更できるかどうかを制御します。

きめ細かなアクセスルール

ダッシュボード、保存済み検索、SOURCES、ノートブックでは、カテゴリ内の個々のリソースへのアクセスを制限できるきめ細かな制御をサポートしています。リソース種別全体に一括でアクセス権を付与するのではなく、ロールがアクセスできる対象を特定のリソースに限定したい場合に使用します。

デフォルトアクセスと詳細な制御

各リソースタイプには、アクセス制御モードがあります。
  • デフォルトアクセス — そのタイプのすべてのリソースに、単一のアクセスレベル (アクセスなし、読み取り、または管理) を適用します。
  • 詳細な制御 — 条件に一致する特定のリソースに対するアクセスルールを定義できます。どのルールにも一致しないリソースは、デフォルトでアクセスなしになります。
モードを切り替えるには、ロールエディタでリソースタイプを展開するシェブロンをクリックし、アクセス制御モードを切り替えます。

アクセスルールの設定

各アクセスルールは、条件アクセスレベル で構成されます。条件は、リソースのプロパティに基づいて一致を判定します。 次のスクリーンショットでは、URL バーでダッシュボード ID が強調表示され、タグパネル (右上) に「TESTING」タグが表示されています。 リソースタイプごとに複数のルールを追加できます。各ルールは OR ロジックで個別に評価されるため、いずれか のルールに一致すれば、そのリソースにアクセスできます。どのルールにも一致しないリソースにはアクセスできません。 : ロールに testing ダッシュボードへの読み取り専用アクセスを付与するには、Dashboards を展開し、Fine-Grained Controls に切り替えて、2 つのルールを追加します。
  • Name contains testing、アクセスレベル Read
  • Tag is testing、アクセスレベル Read
いずれかのルールに一致するダッシュボードにアクセスできます。

セキュリティポリシー

Team SettingsSecurity Policies セクションでは、追加の制御設定を行えます。 Default New User Role では、チームに参加した新規ユーザーに自動で割り当てるロールを設定します。 Generative AI では、Anthropic または Amazon Bedrock を利用する LLM ベースの機能 (自然言語クエリ生成など) を有効または無効にできます。無効にすると、データは AI プロバイダーに送信されません。
最終更新日 2026年7月2日