Назначение привилегий и ролей пользователям

Статья создана

Изменить список ролей пользователя
Выдать привилегию пользователю
Отозвать привилегию у пользователя
Примеры
- Добавить пользователя с правами только на чтение
Описание предопределенных ролей

Атомарные полномочия в SQL Server называются привилегиями, группы полномочий — ролями. Managed Service for SQL Server поддерживает предопределенные роли. Подробнее об организации прав доступа читайте documentation for SQL Server.

Пользователь, создаваемый вместе с кластером Managed Service for SQL Server, автоматически получает роль владельца (DB_OWNER) первой базы данных в кластере. После этого вы можете создавать других пользователей и настраивать их права по своему усмотрению:

Изменить список ролей пользователя.
Выдать привилегию пользователю.
Отозвать привилегию у пользователя.

Изменить список ролей пользователя

Для назначения роли пользователю используйте консоль управления или API Yandex Cloud: назначение роли запросом GRANT отменится при следующей операции с базой.

Консоль управления

CLI

Terraform

API

Перейдите на страницу каталога и выберите сервис Managed Service for SQL Server.
Нажмите на имя нужного кластера и выберите вкладку Пользователи.
Нажмите значок и выберите пункт Настроить.
При необходимости добавьте пользователю нужные базы данных:
1. Нажмите кнопку Добавить базу данных.
2. Выберите базу данных из выпадающего списка.
3. Повторите два предыдущих шага, пока не будут выбраны все требуемые базы данных.
4. Чтобы отозвать доступ к определенной базе, удалите ее из перечня, нажав значок справа от имени базы данных.
Задайте нужные роли пользователя для каждой из баз данных пользователя:
1. Нажмите значок в столбце Роли.
2. Выберите роль, которую вы хотите добавить пользователю из выпадающего списка.
3. Повторите два предыдущих шага, пока не будут добавлены все требуемые роли.
Чтобы отозвать роль, нажмите значок справа от ее имени.
Нажмите кнопку Сохранить.

Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.

По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name или --folder-id.

Чтобы назначить роли пользователю кластера, передайте список нужных ролей в параметре --grant-permission. Имеющиеся роли будут полностью перезаписаны: если вы хотите дополнить или уменьшить имеющийся список, сначала запросите текущие роли с информацией о пользователе командой yc managed-sqlserver user get.

Чтобы назначить роли, выполните команду:

yc managed-sqlserver user grant-permission <имя пользователя> \
   --cluster-name=<имя кластера> \
   --database=<имя базы данных> \
   --roles=<список ролей>

Где:

--cluster-name — имя кластера.
Имя кластера можно запросить со списком кластеров в каталоге.
--database — имя базы данных, к которой у пользователя есть доступ.
Пошаговые инструкции по предоставлению доступа к базам данных представлены в разделе Управление пользователями.
--roles — список ролей, предоставляемых пользователю.

Откройте актуальный конфигурационный файл Terraform с планом инфраструктуры.

О том, как создать такой файл, см. в разделе Создание кластера SQL Server.
Найдите в описании кластера Managed Service for SQL Server блок user для нужного пользователя.
Измените значение поля roles в блоках permission для нужных баз данных.
```
resource "yandex_mdb_sqlserver_cluster" "<имя кластера>" {
  ...
  user {
    ...
    permission {
      database_name = "<имя базы>"
      roles         = ["<список ролей пользователя>"]
    }
    ...
  }
}
```
Список предопределенных ролей пользователя см. ниже. В конфигурационном файле с планом инфраструктуры их следует указывать без префикса, например, OWNER, DDLADMIN, DATAREADER.
Проверьте корректность настроек.
1. В командной строке перейдите в каталог, в котором расположены актуальные конфигурационные файлы Terraform с планом инфраструктуры.
2. Выполните команду:
```
terraform validate
```
  Если в файлах конфигурации есть ошибки, Terraform на них укажет.
Подтвердите изменение ресурсов.
1. Выполните команду для просмотра планируемых изменений:
```
terraform plan
```
  Если конфигурации ресурсов описаны верно, в терминале отобразится список изменяемых ресурсов и их параметров. Это проверочный этап: ресурсы не будут изменены.
2. Если вас устраивают планируемые изменения, внесите их:
  1. Выполните команду:
```
terraform apply
```
  2. Подтвердите изменение ресурсов.
  3. Дождитесь завершения операции.

Подробнее см. в документации провайдера Terraform.

Воспользуйтесь методом API update и передайте в запросе:

Идентификатор кластера, в котором находится пользователь в параметре clusterId. Чтобы узнать идентификатор, получите список кластеров в каталоге.
Имя пользователя в параметре userName. Чтобы узнать имя, получите список пользователей в кластере.
Имя базы данных, для которой вы хотите изменить список ролей пользователя в параметре permissions.databaseName. Чтобы узнать имя, получите список баз данных в кластере.
Массив нового списка ролей пользователя в параметре permissions.roles.
Список полей конфигурации пользователя подлежащих изменению (в данном случае — permissions) в параметре updateMask.

Важно

Этот метод API сбросит все настройки пользователя, которые не были явно переданы в запросе, на значения по умолчанию. Чтобы избежать этого, обязательно передайте название поля подлежащего изменению (в данном случае — permissions) в параметре updateMask.

Выдать привилегию пользователю

Подключитесь к базе данных с помощью учетной записи владельца базы данных.
Выполните команду GRANT. Подробное описание синтаксиса команды смотрите в documentation for SQL Server.

Отозвать привилегию у пользователя

Подключитесь к базе данных с помощью учетной записи владельца базы данных.
Выполните команду REVOKE. Подробное описание синтаксиса команды смотрите в documentation for SQL Server.

Примеры

Добавить пользователя с правами только на чтение

Консоль управления

Terraform

Чтобы добавить в существующий кластер нового пользователя user2 с доступом только на чтение к базе данных db1:

Создайте пользователя с именем user2. При этом выберите базы данных, к которым должен иметь доступ пользователь.
Подключитесь к базе данных db1 с помощью учетной записи владельца БД.
Чтобы выдать права доступа только к таблице Products в схеме по умолчанию dbo, выполните команду:
```
GRANT SELECT ON dbo.Products TO user2;
GO
```
Чтобы выдать права доступа ко всем таблицам схемы myschema, выполните команду:
```
GRANT SELECT, INSERT, UPDATE, DELETE ON SCHEMA::myschema TO user2;
GO
```

Для отзыва выданных привилегий выполните команды:

REVOKE SELECT ON dbo.Products FROM user2;
REVOKE SELECT, INSERT, UPDATE, DELETE ON SCHEMA::myschema FROM user2;
GO