Управление доступом в Data Streams
Для управления правами доступа в Data Streams используются роли.
Пользователь Yandex Cloud может выполнять только те операции над ресурсами, которые разрешены назначенными ему ролями. Пока у пользователя нет никаких ролей, почти все операции ему запрещены.
Чтобы разрешить доступ к ресурсам сервиса Yandex Data Streams (потоки данных, базы данных Yandex Managed Service for YDB, где хранятся потоки, и их пользователи), назначьте аккаунту на Яндексе, сервисному аккаунту, федеративным пользователям, группе пользователей или системной группе нужные роли из приведенного ниже списка. На данный момент роль может быть назначена только на родительский ресурс (каталог или облако), роли которого наследуются вложенными ресурсами.
Назначать роли на ресурс могут те, у кого есть роль admin
, resource-manager.clouds.owner
или organization-manager.organizations.owner
на этот ресурс.
Примечание
Подробнее о наследовании ролей читайте в разделе Наследование прав доступа документации сервиса Yandex Resource Manager.
Назначение ролей
Чтобы назначить пользователю роль:
- При необходимости добавьте нужного пользователя.
- В консоли управления
в списке слева выберите нужное облако. - Перейдите на вкладку Права доступа.
- Нажмите кнопку Назначить роли.
- В окне Настройка прав доступа нажмите кнопку
Выбрать пользователя. - Выберите пользователя из списка или воспользуйтесь поиском по пользователям.
- Нажмите кнопку
Добавить роль. - Выберите роль в облаке.
- Нажмите кнопку Сохранить.
Какие роли действуют в сервисе
Ниже перечислены все роли, которые учитываются при проверке прав доступа в сервисе Data Streams.
Сервисные роли
yds.viewer
Пользователь с ролью yds.viewer
может читать данные из потоков данных Data Streams и просматривать их настройки. Помимо этого роль yds.viewer
включает в себя все разрешения роли ydb.viewer
.
yds.writer
Роль yds.writer
разрешает запись в поток Data Streams.
yds.editor
Роль yds.editor
разрешает создание, изменение и удаление потока, а также чтение и запись в поток Data Streams.
yds.admin
Пользователь с ролью yds.admin
может управлять правами доступа к ресурсам, например разрешить другим пользователям создавать потоки данных Data Streams или просматривать информацию о них.
Помимо этого роль yds.admin
включает в себя все разрешения роли ydb.admin
.
Примитивные роли
viewer
Пользователь с ролью viewer
может просматривать информацию о ресурсах, например посмотреть список потоков данных, баз данных, где созданы потоки, и их свойств.
editor
Пользователь с ролью editor
может управлять любыми ресурсами, например создать поток данных или его удалить. Кроме этого, данная роль позволяет записывать данные из приложений в потоки данных.
Помимо этого роль editor
включает в себя все разрешения роли viewer
.
admin
Пользователь с ролью admin
может управлять правами доступа к ресурсам, например разрешить другим пользователям создавать потоки данных или просматривать информацию о них.
Помимо этого роль admin
включает в себя все разрешения роли editor
.