Управление доступом в Managed Service for YDB
Пользователь Yandex Cloud может выполнять только те операции над ресурсами, которые разрешены назначенными ему ролями. Пока у пользователя нет никаких ролей, почти все операции ему запрещены.
Чтобы разрешить доступ к ресурсам сервиса YDB (базы данных и их пользователи), назначьте аккаунту на Яндексе, сервисному аккаунту, федеративным пользователям, группе пользователей или системной группе нужные роли из приведенного ниже списка. Роль может быть назначена на родительский ресурс (каталог или облако), роли которого наследуются вложенными ресурсами.
Кроме того можно выдать роль на доступ к конкретной базе данных. Это позволит пользователю без каких-либо ролей в каталоге, где размещена база, получить доступ к самой базе данных в соответствии с выданной ролью.
Назначать роли на ресурс могут те, у кого есть роль admin
, resource-manager.clouds.owner
или organization-manager.organizations.owner
на этот ресурс.
Примечание
Подробнее о наследовании ролей читайте в разделе Наследование прав доступа документации сервиса Yandex Resource Manager.
Назначение ролей
Чтобы назначить пользователю роль:
- При необходимости добавьте нужного пользователя.
- В консоли управления
в списке слева выберите нужное облако. - Перейдите на вкладку Права доступа.
- Нажмите кнопку Назначить роли.
- В окне Настройка прав доступа нажмите кнопку
Выбрать пользователя. - Выберите пользователя из списка или воспользуйтесь поиском по пользователям.
- Нажмите кнопку
Добавить роль. - Выберите роль в облаке.
- Нажмите кнопку Сохранить.
На какие ресурсы можно назначить роль
Как и в других сервисах, роль можно назначить на облако, каталог или сервисный аккаунт. Роли, назначенные на облако или каталог, действуют и на вложенные ресурсы.
Кроме того, роль можно назначить на отдельные ресурсы сервиса. Список таких ресурсов зависит от интерфейсов Yandex Cloud, через которые назначаются роли:
- в консоли управления можно назначать роли только на СУБД YDB;
- через YC CLI или API Yandex Cloud — на СУБД и ее резервную копию.
Какие роли действуют в сервисе
Ниже перечислены все роли, которые учитываются при проверке прав доступа в сервисе Managed Service for YDB.
Сервисные роли
ydb.auditor
Роль ydb.auditor
позволяет выполнять следующие действия:
- Устанавливать соединения c БД.
- Просматривать список схемных объектов (таблиц, индексов и каталогов).
- Просматривать описание схемных объектов (таблиц, индексов и каталогов).
- Просматривать информацию о БД.
Также пользователю с данной ролью доступно получение списка каталогов в облаке и списка ресурсов в каталоге облака.
ydb.viewer
Роль ydb.viewer
позволяет выполнять следующие действия:
- Устанавливать соединения c БД.
- Просматривать список схемных объектов (таблиц, индексов и каталогов).
- Просматривать описание схемных объектов (таблиц, индексов и каталогов).
- Просматривать информацию о БД.
- Выполнять запросы на чтение данных.
Роль также позволяет получать список каталогов в облаке и список ресурсов в каталоге облака.
Все полномочия роли ydb.viewer
включены в состав роли viewer
.
ydb.editor
Роль ydb.editor
позволяет выполнять следующие действия:
- Управлять БД, например создать БД или изменить ее параметры.
- Создавать, изменять и удалять объекты схемы в БД (таблицы, индексы и каталоги).
- Выполнять запросы на запись данных.
Помимо этого роль ydb.editor
включает в себя все разрешения роли viewer
.
Все полномочия роли ydb.editor
включены в состав роли editor
.
ydb.admin
Состав полномочий роли ydb.admin
идентичен составу полномочий роли ydb.editor
.
ydb.kafkaApi.client
Роль ydb.kafkaApi.client
позволяет работать с ydb
по протоколу Kafka API с использованием plain-аутентификации через SSL-соединение.
Примитивные роли
auditor
Роль auditor
дает разрешения на чтение конфигурации и метаданных сервисов без возможности доступа к данным.
Например, роль auditor
позволяет выполнять следующие операции:
- Просмотр информации о ресурсе.
- Просмотр метаданных ресурса.
- Просмотр списка операций с ресурсом.
Примечание
Роль auditor
в настоящее время недоступна в сервисах:
- Yandex Data Streams;
- Yandex Query.
viewer
Роль viewer
дает разрешения на чтение к ресурсам.
Роль viewer
включает все разрешения, которые дает роль auditor
. В отличие от роли auditor
, роль viewer
предоставляет возможность доступа к данным сервиса в режиме чтения.
Например, роль viewer
позволяет выполнять следующие операции:
- Просмотр информации о ресурсе.
- Получение списка вложенных ресурсов, например списка виртуальных машин в каталоге.
- Просмотр списка операций с ресурсом.
editor
Роль editor
дает разрешения на все операции для управления ресурсом, кроме назначения ролей другим пользователям. Роль editor
включает все разрешения, которые дает роль viewer
.
Например, роль editor
позволяет выполнять следующие операции:
- Создание ресурса.
- Обновление ресурса.
- Удаление ресурса.
admin
Роль admin
дает все разрешения для управления ресурсом, включая назначение ролей другим пользователям. Можно назначать любые роли за исключением resource-manager.clouds.owner
.
Роль admin
включает все разрешения, которые дает роль editor
.
Например, роль admin
позволяет выполнять следующие операции:
- Установить права доступа к ресурсу.
- Изменить права доступа к ресурсу.