Управление доступом в Managed Service for MongoDB
В этом разделе вы узнаете:
- на какие ресурсы можно назначить роль;
- какие роли действуют в сервисе;
- какие роли необходимы для того или иного действия.
Об управлении доступом
Все операции в Yandex Cloud проверяются в сервисе Yandex Identity and Access Management. Если у субъекта нет необходимых разрешений, сервис вернет ошибку.
Чтобы выдать разрешения к ресурсу, назначьте роли на этот ресурс субъекту, который будет выполнять операции. Роли можно назначить аккаунту на Яндексе, сервисному аккаунту, федеративным пользователям, группе пользователей или системной группе. Подробнее читайте в разделе Как устроено управление доступом в Yandex Cloud.
Назначать роли на ресурс могут те, у кого есть роль admin или resource-manager.clouds.owner на этот ресурс.
На какие ресурсы можно назначить роль
Как и в других сервисах, роль можно назначить на облако, каталог или сервисный аккаунт. Роли, назначенные на облако или каталог, действуют и на вложенные ресурсы.
Чтобы разрешить доступ к ресурсам сервиса Managed Service for MongoDB (кластеры и хосты БД, резервные копии кластеров, базы данных и их пользователи), назначьте пользователю нужные роли на каталог или облако, в котором эти ресурсы лежат.
Какие роли действуют в сервисе
На диаграмме показано, какие роли есть в сервисе и как они наследуют разрешения друг друга. Например, в editor входят все разрешения viewer. После диаграммы дано описание каждой роли.
Роли, действующие в сервисе:
Сервисные роли
| Роль | Разрешения |
|---|---|
mdb.admin |
Позволяет создавать и изменять кластеры управляемых баз данных. |
mdb.viewer |
Позволяет просматривать информацию об управляемых базах данных кластера и логах их работы. |
mdb.auditor |
Позволяет просматривать информацию об управляемых базах данных кластера (кроме логов их работы). |
Роли других сервисов Yandex Cloud
| Роль | Разрешения |
|---|---|
resource-manager.clouds.owner |
Дает полный доступ к облаку и ресурсам в нем. Можно назначить только на облако. |
resource-manager.clouds.member |
Роль, необходимая для доступа к ресурсам в облаке всем, кроме владельцев облака и сервисных аккаунтов. |
vpc.publicAdmin |
Позволяет управлять внешней связностью. Важно: если сеть и подсеть находятся в разных каталогах, то наличие этой роли проверяется на том каталоге, в котором находится сеть. Подробнее см. Роли Virtual Private Cloud. |
Примитивные роли
| Роль | Разрешения |
|---|---|
admin |
Позволяет управлять ресурсами и доступом к ним. |
editor |
Позволяет управлять ресурсами (создавать, изменять и удалять их). |
viewer |
Позволяет только просматривать информацию о ресурсах. |
Какие роли мне необходимы
В таблице ниже перечислено, какие роли нужны для выполнения указанного действия. Вы всегда можете назначить роль, которая дает более широкие разрешения, нежели указанная. Например, назначить editor вместо viewer.
| Действие | Методы | Необходимые роли |
|---|---|---|
| Просмотр информации | ||
| Просмотр информации о кластере и связанных ресурсах | get, list |
viewer на каталог с кластером |
| Управление ресурсами | ||
| Создание кластеров и бэкапов в каталоге | create |
mdb.admin или editor на каталог |
| Создание кластеров с хостами, для которых включен публичный доступ | create |
Либо vpc.publicAdmin вместе с mdb.admin, либо editor на каталог |
| Изменение, удаление кластеров и связанных ресурсов | update, delete |
mdb.admin или editor на каталог с кластером |
| Управление доступом к ресурсам | ||
| Добавление, изменение, удаление пользователей в кластере | create, update, delete |
editor на каталог с кластером |
| Назначение роли, отзыв роли и просмотр назначенных ролей на каталог или облако | setAccessBindings, updateAccessBindings, listAccessBindings |
admin на этот каталог или облако |