Управление доступом в Data Streams

Для управления правами доступа в Data Streams используются роли.

Пользователь Yandex Cloud может выполнять только те операции над ресурсами, которые разрешены назначенными ему ролями. Пока у пользователя нет никаких ролей, почти все операции ему запрещены.

Чтобы разрешить доступ к ресурсам сервиса Yandex Data Streams (потоки данных, базы данных Yandex Managed Service for YDB, где хранятся потоки, и их пользователи), назначьте аккаунту на Яндексе, сервисному аккаунту, федеративным пользователям, группе пользователей, системной группе или публичной группе нужные роли из приведенного ниже списка. На данный момент роль может быть назначена только на родительский ресурс (каталог или облако), роли которого наследуются вложенными ресурсами.

Назначать роли на ресурс могут пользователи, у которых на этот ресурс есть роль yds.admin или одна из следующих ролей:

• admin;
• resource-manager.admin;
• organization-manager.admin;
• resource-manager.clouds.owner;
• organization-manager.organizations.owner.

Назначение ролейНазначение ролей

Чтобы назначить пользователю роль:

1. При необходимости добавьте нужного пользователя.
2. В консоли управления слева выберите облако.
3. Перейдите на вкладку Права доступа.
4. Нажмите кнопку Настроить доступ.
5. В открывшемся окне выберите раздел Пользовательские аккаунты.
6. Выберите пользователя из списка или воспользуйтесь поиском.
7. Нажмите кнопку Добавить роль и выберите роль в облаке.
8. Нажмите кнопку Сохранить.

Какие роли действуют в сервисеКакие роли действуют в сервисе

Ниже перечислены все роли, которые учитываются при проверке прав доступа в сервисе Data Streams.

Сервисные ролиСервисные роли

yds.auditoryds.auditor

Роль yds.auditor позволяет просматривать метаданные потоков данных Data Streams, устанавливать соединения c базами данных YDB, просматривать информацию о БД YDB и назначенных правах доступа к ним, а также о схемных объектах и резервных копиях БД YDB.

Пользователи с этой ролью могут:

• просматривать метаданные потоков данных Data Streams;
• устанавливать соединения c базами данных YDB;
• просматривать список баз данных и информацию о них, а также о назначенных правах доступа к базам данных YDB;
• просматривать информацию о резервных копиях баз данных YDB и назначенных правах доступа к таким резервным копиям;
• просматривать список схемных объектов БД YDB (таблиц, индексов и каталогов) и информацию о них;
• просматривать информацию о квотах сервиса Managed Service for YDB;
• просматривать информацию об облаке и каталоге.

Включает разрешения, предоставляемые ролью ydb.auditor.

yds.vieweryds.viewer

Роль yds.viewer позволяет читать данные из потоков данных Data Streams и просматривать их настройки, а также устанавливать соединения c БД YDB, выполнять запросы на чтение данных, просматривать информацию о БД YDB и назначенных правах доступа к ним.

Пользователи с этой ролью могут:

• просматривать метаданные потоков данных Data Streams и читать данные из таких потоков;
• устанавливать соединения c базами данных YDB и выполнять запросы на чтение данных;
• просматривать список баз данных YDB и информацию о них, а также о назначенных правах доступа к базам данных YDB;
• просматривать информацию о резервных копиях баз данных YDB и назначенных правах доступа к резервным копиям;
• просматривать список схемных объектов БД YDB (таблиц, индексов и каталогов) и информацию о них;
• просматривать информацию о квотах сервиса Managed Service for YDB;
• просматривать информацию об облаке и каталоге.

Включает разрешения, предоставляемые ролью ydb.viewer.

yds.writeryds.writer

Роль yds.writer позволяет записывать данные в потоки Data Streams, а также устанавливать соединения c базами данных YDB.

yds.editoryds.editor

Роль yds.editor позволяет создавать, изменять и удалять потоки данных Data Streams, а также выполнять чтение и запись данных в потоках.

Пользователи с этой ролью могут:

• просматривать информацию о потоках данных, а также создавать, изменять и удалять потоки данных;
• выполнять чтение и запись данных в потоках Data Streams;
• просматривать список баз данных YDB и информацию о них и назначенных правах доступа к ним, а также создавать, запускать, останавливать, изменять и удалять базы данных YDB;
• устанавливать соединения c базами данных YDB и выполнять запросы на чтение и запись данных;
• просматривать информацию о резервных копиях баз данных YDB и назначенных правах доступа к резервным копиям, а также создавать резервные копии, удалять их и восстанавливать базы данных YDB из резервных копий;
• просматривать список схемных объектов БД YDB (таблиц, индексов и каталогов) и информацию о них, а также создавать, изменять и удалять схемные объекты БД YDB;
• просматривать информацию о квотах сервиса Managed Service for YDB;
• просматривать информацию об облаке и каталоге.

Включает разрешения, предоставляемые ролями ydb.editor и yds.writer.

yds.adminyds.admin

Роль yds.admin позволяет создавать, изменять и удалять потоки данных Data Streams, а также выполнять чтение и запись данных в потоках.

Пользователи с этой ролью могут:

• просматривать информацию о потоках данных, а также создавать, изменять и удалять потоки данных;
• выполнять чтение и запись данных в потоках Data Streams;
• просматривать список баз данных YDB и информацию о них, а также создавать, запускать, останавливать, изменять и удалять базы данных YDB;
• просматривать информацию о назначенных правах доступа к базам данных YDB и изменять такие права доступа;
• устанавливать соединения c базами данных YDB и выполнять запросы на чтение и запись данных;
• просматривать информацию о резервных копиях баз данных YDB, а также создавать резервные копии, удалять их и восстанавливать базы данных YDB из резервных копий;
• просматривать информацию о назначенных правах доступа к резервным копиям и изменять такие права доступа;
• просматривать список схемных объектов БД YDB (таблиц, индексов и каталогов) и информацию о них, а также создавать, изменять и удалять схемные объекты БД YDB;
• просматривать информацию о квотах сервиса Managed Service for YDB;
• просматривать информацию об облаке и каталоге.

Включает разрешения, предоставляемые ролью ydb.admin.

Примитивные ролиПримитивные роли

Примитивные роли позволяют пользователям совершать действия во всех сервисах Yandex Cloud.

auditorauditor

Роль auditor предоставляет разрешения на чтение конфигурации и метаданных любых ресурсов Yandex Cloud без возможности доступа к данным.

Например, пользователи с этой ролью могут:

• просматривать информацию о ресурсе;
• просматривать метаданные ресурса;
• просматривать список операций с ресурсом.

Роль auditor — наиболее безопасная роль, исключающая доступ к данным сервисов. Роль подходит для пользователей, которым необходим минимальный уровень доступа к ресурсам Yandex Cloud.

viewerviewer

Роль viewer предоставляет разрешения на чтение информации о любых ресурсах Yandex Cloud.

Включает разрешения, предоставляемые ролью auditor.

В отличие от роли auditor, роль viewer предоставляет доступ к данным сервисов в режиме чтения.

editoreditor

Роль editor предоставляет разрешения на управление любыми ресурсами Yandex Cloud, кроме назначения ролей другим пользователям, передачи прав владения организацией и ее удаления, а также удаления ключей шифрования Key Management Service.

Например, пользователи с этой ролью могут создавать, изменять и удалять ресурсы.

Включает разрешения, предоставляемые ролью viewer.

adminadmin

Роль admin позволяет назначать любые роли, кроме resource-manager.clouds.owner и organization-manager.organizations.owner, а также предоставляет разрешения на управление любыми ресурсами Yandex Cloud, кроме передачи прав владения организацией и ее удаления.

Прежде чем назначить роль admin на организацию, облако или платежный аккаунт, ознакомьтесь с информацией о защите привилегированных аккаунтов.

Включает разрешения, предоставляемые ролью editor.

Вместо примитивных ролей мы рекомендуем использовать роли сервисов. Такой подход позволит более гранулярно управлять доступом и обеспечить соблюдение принципа минимальных привилегий.

Подробнее о примитивных ролях см. в справочнике ролей Yandex Cloud.