Управление доступом в Managed Service for SQL Server
В этом разделе вы узнаете:
- на какие ресурсы можно назначить роль;
- какие роли действуют в сервисе;
- какие роли необходимы для того или иного действия.
Об управлении доступом
Все операции в Yandex Cloud проверяются в сервисе Identity and Access Management. Если у субъекта нет необходимых разрешений, сервис вернет ошибку.
Чтобы выдать разрешения к ресурсу, назначьте роли на этот ресурс субъекту, который будет выполнять операции. Роли можно назначить аккаунту на Яндексе, сервисному аккаунту или системной группе. Подробнее читайте в разделе Как устроено управление доступом в Yandex Cloud.
Назначать роли на ресурс могут те, у кого есть роль admin
или resource-manager.clouds.owner
на этот ресурс.
На какие ресурсы можно назначить роль
Как и в других сервисах, роль можно назначить на облако, каталог или сервисный аккаунт. Роли, назначенные на облако или каталог, действуют и на вложенные ресурсы.
Чтобы разрешить доступ к ресурсам сервиса Managed Service for SQL Server (кластеры и хосты БД, резервные копии кластеров, базы данных и их пользователи), назначьте пользователю нужные роли на каталог или облако, в котором эти ресурсы лежат.
Какие роли действуют в сервисе
На диаграмме показано, какие роли есть в сервисе и как они наследуют разрешения друг друга. Например, в editor
входят все разрешения viewer
. После диаграммы дано описание каждой роли.
Роли, действующие в сервисе:
Сервисные роли
Роль | Разрешения |
---|---|
mdb.admin |
Позволяет создавать и изменять кластеры управляемых баз данных. |
Роли других сервисов Yandex Cloud
Роль | Разрешения |
---|---|
resource-manager.clouds.owner |
Дает полный доступ к облаку и ресурсам в нем. Можно назначить только на облако. |
resource-manager.clouds.member |
Роль, необходимая для доступа к ресурсам в облаке всем, кроме владельцев облака и сервисных аккаунтов. |
vpc.publicAdmin |
Позволяет управлять внешней связностью. Важно: если сеть и подсеть находятся в разных каталогах, то наличие этой роли проверяется на том каталоге, в котором находится сеть. Подробнее см. Роли Virtual Private Cloud. |
Примитивные роли
Роль | Разрешения |
---|---|
admin |
Позволяет управлять ресурсами и доступом к ним. |
editor |
Позволяет управлять ресурсами (создавать, изменять и удалять их). |
viewer |
Позволяет только просматривать информацию о ресурсах. |
Какие роли мне необходимы
В таблице ниже перечислено, какие роли нужны для выполнения указанного действия. Вы всегда можете назначить роль, которая дает более широкие разрешения, нежели указанная. Например, назначить editor
вместо viewer
.
Действие | Методы | Необходимые роли |
---|---|---|
Просмотр информации | ||
Просмотр информации о кластере и связанных ресурсах | get , list |
viewer на каталог с кластером |
Управление ресурсами | ||
Создание кластеров и бэкапов в каталоге | create |
mdb.admin или editor на каталог |
Создание кластеров с хостами, для которых включен публичный доступ | create |
Либо vpc.publicAdmin вместе с mdb.admin , либо editor на каталог |
Изменение, удаление кластеров и связанных ресурсов | update , delete |
mdb.admin или editor на каталог с кластером |
Управление доступом к ресурсам | ||
Добавление, изменение, удаление пользователей в кластере | create , update , delete |
editor на каталог с кластером |
Управление доступом к базам данных в кластере | grantPermission , revokePermission |
editor на каталог с кластером |
Назначение роли, отзыв роли и просмотр назначенных ролей на каталог или облако | setAccessBindings , updateAccessBindings , listAccessBindings |
admin на этот каталог или облако |