Управление правами пользователей

Статья создана

Изменить привилегии пользователя
Примеры
- Создать пользователя с правами только на чтение

Вы можете управлять правами пользователей на уровне отдельной базы данных, изменяя привилегии пользователей.

Важно

Чтобы изменить права пользователей на уровне всего кластера или отдельной базы данных, используйте интерфейсы Yandex Cloud. Изменения, внесенные командами SQL, не сохраняются.

Подробнее см. в разделе Права пользователей.

Изменить привилегии пользователя

Консоль управления

CLI

Terraform

API

Перейдите на страницу каталога и выберите сервис Managed Service for MySQL.
Нажмите на имя нужного кластера и выберите вкладку Пользователи.
Нажмите значок и выберите пункт Настроить.
При необходимости добавьте пользователю нужные базы данных:
1. Нажмите кнопку Добавить базу данных.
2. Выберите базу данных из выпадающего списка.
3. Повторите два предыдущих шага, пока не будут выбраны все требуемые базы данных.
4. Чтобы отозвать доступ к определенной базе, удалите ее из перечня, нажав значок справа от имени базы данных.
Задайте нужные привилегии пользователя для каждой из баз данных пользователя:
1. Нажмите значок в столбце Роли.
2. Выберите привилегию, которую вы хотите добавить пользователю из выпадающего списка.
3. Повторите два предыдущих шага, пока не будут добавлены все требуемые привилегии.
Чтобы отозвать привилегию, нажмите значок справа от ее имени.
Нажмите кнопку Сохранить.

Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.

По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name или --folder-id.

Добавить привилегии пользователю:
```
yc managed-mysql user grant-permission <имя пользователя> \
  --cluster-name <имя кластера> \
  --database <имя базы данных> \
  --permissions <набор привилегий через запятую>
```
Имя кластера можно запросить со списком кластеров в каталоге, имя базы данных — со списком баз данных в кластере, имя пользователя — со списком пользователей в кластере.

Отозвать привилегии у пользователя:

yc managed-mysql user revoke-permission <имя пользователя> \
  --cluster-name <имя кластера> \
  --database <имя базы данных> \
  --permissions <набор привилегий через запятую>

Чтобы добавить или отозвать привилегию ALL_PRIVILEGES, передайте в качестве названия синоним ALL.

Откройте актуальный конфигурационный файл Terraform с планом инфраструктуры.

О том, как создать такой файл, см. в разделе Создание MySQL-кластера.

В описании кластера найдите блок user с описанием нужного пользователя и измените список его привилегий для требуемой БД в параметре roles:

resource "yandex_mdb_mysql_cluster" "<имя кластера>" {
  ...
  user {
    name     = "<имя пользователя>"
    password = "<пароль>"
    permission {
      database_name = "<имя БД, к которой пользователь должен иметь доступ>"
      roles         = [<список привилегий пользователя по отношению к БД>]
      ...
    }
    ...
  }
}

Проверьте корректность настроек.
1. В командной строке перейдите в каталог, в котором расположены актуальные конфигурационные файлы Terraform с планом инфраструктуры.
2. Выполните команду:
```
terraform validate
```
  Если в файлах конфигурации есть ошибки, Terraform на них укажет.
Подтвердите изменение ресурсов.
1. Выполните команду для просмотра планируемых изменений:
```
terraform plan
```
  Если конфигурации ресурсов описаны верно, в терминале отобразится список изменяемых ресурсов и их параметров. Это проверочный этап: ресурсы не будут изменены.
2. Если вас устраивают планируемые изменения, внесите их:
  1. Выполните команду:
```
terraform apply
```
  2. Подтвердите изменение ресурсов.
  3. Дождитесь завершения операции.

Подробнее см. в документации провайдера Terraform.

Ограничения по времени

Провайдер Terraform ограничивает время на выполнение операций с кластером Managed Service for MySQL:

создание кластера, в том числе путем восстановления из резервной копии, — 15 минут;
изменение кластера — 60 минут;
удаление кластера — 15 минут.

Операции, длящиеся дольше указанного времени, прерываются.

Как изменить эти ограничения?

Добавьте к описанию кластера блок timeouts, например:

resource "yandex_mdb_mysql_cluster" "<имя кластера>" {
  ...
  timeouts {
    create = "1h30m" # Полтора часа
    update = "2h"    # 2 часа
    delete = "30m"   # 30 минут
  }
}

Воспользуйтесь методом API update и передайте в запросе:

Идентификатор кластера, в котором находится пользователь в параметре clusterId. Чтобы узнать идентификатор, получите список кластеров в каталоге.
Имя пользователя в параметре userName. Чтобы узнать имя, получите список пользователей в кластере.
Имя базы данных, для которой вы хотите изменить список привилегий пользователя, в параметре permissions.databaseName. Чтобы узнать имя, получите список баз данных в кластере.
Массив нового списка привилегий пользователя в параметре permissions.roles.
Список полей конфигурации пользователя, подлежащих изменению (в данном случае — permissions), в параметре updateMask.

Важно

Этот метод API сбросит все параметры изменяемого объекта, которые не были явно переданы в запросе, на значения по умолчанию. Чтобы избежать этого, перечислите настройки, которые вы хотите изменить, в параметре updateMask (одной строкой через запятую).

Примеры

Создать пользователя с правами только на чтение

Чтобы в существующем кластере cluster1 создать нового пользователя user2 с паролем SecretPassword и доступом к базе данных db1 только для чтения:

Консоль управления

CLI

Terraform

Создайте пользователя с именем user2. При создании пользователя:

Добавьте базу db1 в список баз данных.
Добавьте роль SELECT для базы db1.

Создайте пользователя user2:

yc managed-mysql user create "user2" \
  --cluster-name "cluster1" \
  --password "SecretPassword"

Добавьте роль SELECT для базы db1:

yc managed-mysql users grant-permission "user2" \
  --cluster-name "cluster1" \
  --database "db1" \
  --permissions "SELECT"

Откройте актуальный конфигурационный файл Terraform с планом инфраструктуры.

О том, как создать такой файл, см. в разделе Создание MySQL-кластера.

Добавьте в описание кластера cluster1 блок user:

resource "yandex_mdb_mysql_cluster" "cluster1" {
  ...
  user {
    name     = "user2"
    password = "SecretPassword"
    permission {
      database_name = "db1"
      roles         = ["SELECT"]
    }
  }
  ...
}

Проверьте корректность настроек.
1. В командной строке перейдите в каталог, в котором расположены актуальные конфигурационные файлы Terraform с планом инфраструктуры.
2. Выполните команду:
```
terraform validate
```
  Если в файлах конфигурации есть ошибки, Terraform на них укажет.
Подтвердите изменение ресурсов.
1. Выполните команду для просмотра планируемых изменений:
```
terraform plan
```
  Если конфигурации ресурсов описаны верно, в терминале отобразится список изменяемых ресурсов и их параметров. Это проверочный этап: ресурсы не будут изменены.
2. Если вас устраивают планируемые изменения, внесите их:
  1. Выполните команду:
```
terraform apply
```
  2. Подтвердите изменение ресурсов.
  3. Дождитесь завершения операции.

Подробнее см. в документации провайдера Terraform.

Управление правами пользователей

Изменить привилегии пользователя

Примеры

Создать пользователя с правами только на чтение

Была ли статья полезна?