Подключиться
Войти
Yandex Managed Service for MongoDB

Управление доступом

Пользователь Яндекс.Облака может выполнять только те операции над ресурсами, которые разрешены назначенными ему ролями. Пока у пользователя нет никаких ролей, почти все операции ему запрещены.

Чтобы разрешить доступ к ресурсам сервиса Managed Service for MongoDB (кластеры и хосты БД, резервные копии кластеров, базы данных и их пользователи), назначьте пользователю нужные роли из приведенного ниже списка. На данный момент роль может быть назначена только на родительский ресурс (каталог или облако), роли которого наследуются вложенными ресурсами.

Примечание

Подробнее о наследовании ролей читайте в разделе Наследование прав доступа документации сервиса Yandex Resource Manager.

Назначение ролей

Чтобы назначить пользователю роль:

  1. Откройте страницу Управление доступом для выбранного облака. Если необходимо, переключитесь на другое облако.

  2. Выберите пользователя, которому хотите назначить роль, нажмите значок image и выберите Настроить роли.

  3. Для добавления роли на облако нажмите значок image в блоке Роли на облако <имя облака>.

    Для добавления роли на каталог, выберите каталог и нажмите Назначить роль в блоке Роли в каталогах.

  4. Выберите роль из списка.

Роли

Ниже перечислены все роли, которые учитываются при проверке прав доступа в сервисе Managed Service for MongoDB.

Сервисные роли

Сервисные роли — роли, дающие доступ к ресурсам определенного сервиса.

resource-manager.clouds.member

При добавлении нового пользователя в облако ему автоматически назначается роль участника облака — resource-manager.clouds.member.

Эта роль необходима для доступа к ресурсам в облаке всем, кроме владельцев облака, сервисных аккаунтов и системной группы allAuthenticatedUsers.

Сама по себе эта роль не дает права выполнять какие-либо операции и используется только в сочетании с другими ролями, например с admin, editor или viewer.

Важная информация

Чтобы пользователь смог работать в облаке через консоль управления, назначьте ему роли resource-manager.clouds.member и viewer на облако. Если назначить на облако только роль участника облака, а остальные роли назначить на вложенные ресурсы, пользователь сможет выполнять операции с ресурсами только с помощью API или CLI.

resource-manager.clouds.owner

Роль resource-manager.clouds.owner назначается на облако и делает пользователя владельцем облака. Владелец может выполнять любые операции с облаком и ресурсами в нем.

Только владелец облака может назначать и удалять у пользователей роль resource-manager.clouds.owner.

У облака должен быть хотя бы один владелец. Единственный владелец облака не сможет отнять эту роль у себя.

Примитивные роли

Примитивные роли можно назначать на любой ресурс в любом сервисе.

viewer

Пользователь с ролью viewer может просматривать информацию о ресурсах, например посмотреть список хостов или получить информацию о кластере БД.

editor

Пользователь с ролью editor может управлять любыми ресурсами, например создать кластер БД, создать или удалить хост в кластере.

Помимо этого роль editor включает в себя все разрешения роли viewer.

admin

Пользователь с ролью admin может управлять правами доступа к ресурсам, например разрешить другим пользователям создавать кластеры БД или просматривать информацию о них.

Помимо этого роль admin включает в себя все разрешения роли editor.