Управление доступом в Managed Service for Trino

Managed Service for Trino предоставляет унифицированный доступ к данным из множества источников: хранилищ, баз данных и внешних сервисов. Один кластер Managed Service for Trino может обслуживать множество разных пользователей и рабочих нагрузок. Управление доступом в Managed Service for Trino позволяет:

• Разграничить доступ к объектам кластера для пользователей и групп с разными ролями и задачами.
• Предотвратить несанкционированные операции с данными.
• Избежать злоупотребления системными ресурсами со стороны пользователей.

Вы можете управлять доступом в Managed Service for Trino при помощи правил доступа — декларативных описаний, которые определяют разрешенные и запрещенные операции над объектами кластера для пользователей и групп.

Структура правилСтруктура правил

Доступ пользователей к объектам кластера Managed Service for Trino определяется комбинацией двух видов правил:

• Правила верхнего уровня — контролируют доступ ко всем объектам каталога.
• Детализированные правила — контролируют доступ к отдельным схемам, таблицам, функциям, процедурам, запросам, системным свойствам сессии или свойствам сессии каталога.

Правило доступа содержит следующие группы параметров:

• Субъекты — пользователи или группы пользователей, к которым применяется правило.
• Объекты — объекты кластера Managed Service for Trino, к которым применяется правило. Могут задаваться как явно (например, функция с заданным именем), так и неявно (например, все функции, принадлежащие заданной схеме).
• Привилегии — какие действия разрешено выполнять пользователям над объектами.
• Дополнительные параметры — прочие параметры правила, например его описание.

При обращении пользователя к объекту проверяются все правила для объектов этого типа. Правила проверяются в порядке их объявления. Применяется первое найденное правило, которое соответствует паре «пользователь–объект».

Подробнее об управлении правилами доступа в Managed Service for Trino см. в инструкции.

Управление правиламиУправление правилами

В Managed Service for Trino правила доступа являются управляемым ресурсом кластера. Это позволяет управлять правилами при помощи Yandex Cloud CLI, Terraform и gRPC API. Вы можете задать правила доступа при создании нового кластера или изменении существующего кластера.

Изменение правил доступа не требует перезапуска узлов кластера Managed Service for Trino.

Автоматическая актуализация правилАвтоматическая актуализация правил

Managed Service for Trino поддерживает актуальность правил доступа при переименовании или удалении каталогов:

• Имена и идентификаторы каталогов проверяются на валидность. Если в имени или идентификаторе каталога есть ошибка, правило не будет создано.
• При переименовании каталога его имя автоматически изменится во всех правилах, в которых оно указано.
• При удалении каталога его имя и идентификатор автоматически удалятся из всех правил, в которых они указаны. При удалении единственного указанного в правиле каталога само правило автоматически удалится.