Подключиться
Yandex Managed Service for MySQL

Управление правами пользователей

Статья создана

Вы можете управлять правами пользователей на уровне отдельной базы данных, изменяя привилегии пользователей.

Важно

Чтобы изменить права пользователей на уровне всего кластера или отдельной базы данных, используйте интерфейсы Yandex.Cloud. Изменения, внесенные командами SQL, не сохраняются.

Подробнее см. в разделе Права пользователей.

Изменить привилегии пользователя

  1. Перейдите на страницу каталога и выберите сервис Managed Service for MySQL.
  2. Нажмите на имя нужного кластера и выберите вкладку Пользователи.
  3. Нажмите значок и выберите пункт Настроить.
  4. При необходимости добавьте пользователю нужные базы данных:
    1. Нажмите кнопку Добавить базу данных.
    2. Выберите базу данных из выпадающего списка.
    3. Повторите два предыдущих шага, пока не будут выбраны все требуемые базы данных.
    4. Чтобы отозвать доступ к определенной базе, удалите ее из перечня, нажав значок справа от имени базы данных.
  5. Задайте нужные привилегии пользователя для каждой из баз данных пользователя:
    1. Нажмите значок в столбце Привилегии.
    2. Выберите привилегию, которую вы хотите добавить пользователю из выпадающего списка.
    3. Повторите два предыдущих шага, пока не будут добавлены все требуемые привилегии.
  6. Чтобы отозвать привилегию, нажмите значок справа от ее имени.
  7. Нажмите кнопку Сохранить.

Если у вас еще нет интерфейса командной строки Yandex.Cloud, установите и инициализируйте его.

По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name или --folder-id.

  • Добавить привилегии пользователю:

    yc managed-mysql user grant-permission <имя пользователя> \
  --cluster-name <имя кластера> \
  --database <имя базы данных> \
  --permissions <набор привилегий через запятую>

    Имя кластера можно запросить со списком кластеров в каталоге, имя базы данных — со списком баз данных в кластере, имя пользователя — со списком пользователей в кластере.

  • Отозвать привилегии у пользователя:

    yc managed-mysql user revoke-permission <имя пользователя> \
  --cluster-name <имя кластера> \
  --database <имя базы данных> \
  --permissions <набор привилегий через запятую>

    Чтобы добавить или отозвать привилегию ALL_PRIVILEGES, передайте в качестве названия синоним ALL.

Воспользуйтесь методом API update и передайте в запросе:

Важно

Этот метод API сбросит все настройки пользователя, которые не были явно переданы в запросе, на значения по умолчанию. Чтобы избежать этого, обязательно передайте название поля подлежащего изменению (в данном случае — permissions) в параметре updateMask.

  1. Откройте актуальный конфигурационный файл Terraform с планом инфраструктуры.

    О том, как создать такой файл, см. в разделе Создание MySQL-кластера.

  2. В описании кластера найдите блок user с описанием нужного пользователя и измените список его привилегий для требуемой БД в параметре roles:

    resource "yandex_mdb_mysql_cluster" "<имя кластера>" {
  ...
  user {
    name     = "<имя пользователя>"
    password = "<пароль>"
    permission {
      database_name = "<имя БД, к которой пользователь должен иметь доступ>"
      roles         = [<список привилегий пользователя по отношению к БД>]
      ...
    }
    ...
  }
}

  3. Проверьте корректность настроек.

    1. В командной строке перейдите в каталог, в котором вы создали конфигурационный файл.

    2. Выполните проверку с помощью команды:

      terraform plan

    Если конфигурация описана верно, в терминале отобразится список изменяемых ресурсов и их параметров. Если в конфигурации есть ошибки, Terraform на них укажет. Это проверочный этап: ресурсы не будут изменены.

  4. Подтвердите изменение ресурсов.

    1. Если в конфигурации нет ошибок, выполните команду:

      terraform apply

    2. Подтвердите изменение ресурсов.

Подробнее см. в документации провайдера Terraform.

Примеры

Создать пользователя с правами только на чтение

Чтобы в существующем кластере cluster1 создать нового пользователя user2 с паролем SecretPassword и доступом к базе данных db1 только для чтения:

Создайте пользователя с именем user2. При создании пользователя:

  1. Добавьте базу db1 в список баз данных.
  2. Добавьте привилегию SELECT для базы db1.

  1. Создайте пользователя user2:

    yc managed-mysql user create "user2" \
  --cluster-name "cluster1" \
  --password "SecretPassword"

  2. Добавьте привилегию SELECT для базы db1:

    yc managed-mysql users grant-permission "user2" \
  --cluster-name "cluster1" \
  --database "db1" \
  --permissions "SELECT"

  1. Откройте актуальный конфигурационный файл Terraform с планом инфраструктуры.

    О том, как создать такой файл, см. в разделе Создание MySQL-кластера.

  2. Добавьте в описание кластера cluster1 блок user:

    resource "yandex_mdb_mysql_cluster" "cluster1" {
  ...
  user {
    name     = "user2"
    password = "SecretPassword"
    permission {
      database_name = "db1"
      roles         = ["SELECT"]
    }
  }
  ...
}

  3. Проверьте корректность настроек.

    1. В командной строке перейдите в каталог, в котором вы создали конфигурационный файл.

    2. Выполните проверку с помощью команды:

      terraform plan

    Если конфигурация описана верно, в терминале отобразится список изменяемых ресурсов и их параметров. Если в конфигурации есть ошибки, Terraform на них укажет. Это проверочный этап: ресурсы не будут изменены.

  4. Подтвердите изменение ресурсов.

    1. Если в конфигурации нет ошибок, выполните команду:

      terraform apply

    2. Подтвердите изменение ресурсов.

Подробнее см. в документации провайдера Terraform.

В этой статье: