Связаться с экспертомПопробовать бесплатно
Создавайте контент и получайте гранты!Готовы написать своё руководство? Участвуйте в контент-программе и получайте гранты на работу с облачными сервисами!
Подробнее о программе
Проект Яндекса
© 2026 ООО «Яндекс.Облако»

Управление пользователями в Sharded PostgreSQL

Статья создана
Обновлена 19 марта 2026 г.

Вы можете добавлять и удалять пользователей, а также управлять их индивидуальными настройками.

Получить список пользователей

  1. Перейдите в сервис Yandex Managed Service for Sharded PostgreSQL.
  2. Нажмите на имя нужного кластера, затем выберите вкладку Пользователи.

  1. Получите IAM-токен для аутентификации в API и поместите токен в переменную среды окружения:

    export IAM_TOKEN="<IAM-токен>"

  2. Воспользуйтесь методом User.List и выполните запрос, например с помощью cURL:

    curl \
  --request GET \
  --header "Authorization: Bearer $IAM_TOKEN" \
  --url 'https://mdb.api.cloud.yandex.net/managed-spqr/v1/clusters/<идентификатор_кластера>/users'

  3. Убедитесь, что запрос был выполнен успешно, изучив ответ сервера.

  1. Получите IAM-токен для аутентификации в API и поместите токен в переменную среды окружения:

    export IAM_TOKEN="<IAM-токен>"

  2. Клонируйте репозиторий cloudapi:

    cd ~/ && git clone --depth=1 https://github.com/yandex-cloud/cloudapi

    Далее предполагается, что содержимое репозитория находится в директории ~/cloudapi/.

  3. Воспользуйтесь вызовом UserService.List и выполните запрос, например с помощью gRPCurl:

    grpcurl \
  -format json \
  -import-path ~/cloudapi/ \
  -import-path ~/cloudapi/third_party/googleapis/ \
  -proto ~/cloudapi/yandex/cloud/mdb/spqr/v1/user_service.proto \
  -rpc-header "Authorization: Bearer $IAM_TOKEN" \
  -d '{
        "cluster_id": "<идентификатор_кластера>"
      }' \
  mdb.api.cloud.yandex.net:443 \
  yandex.cloud.mdb.spqr.v1.UserService.List

  4. Убедитесь, что запрос был выполнен успешно, изучив ответ сервера.

Получить информацию о пользователе

  1. Получите IAM-токен для аутентификации в API и поместите токен в переменную среды окружения:

    export IAM_TOKEN="<IAM-токен>"

  2. Воспользуйтесь методом User.Get и выполните запрос, например с помощью cURL:

    curl \
  --request GET \
  --header "Authorization: Bearer $IAM_TOKEN" \
  --url 'https://mdb.api.cloud.yandex.net/managed-spqr/v1/clusters/<идентификатор_кластера>/users/<имя_пользователя>'

  3. Убедитесь, что запрос был выполнен успешно, изучив ответ сервера.

  1. Получите IAM-токен для аутентификации в API и поместите токен в переменную среды окружения:

    export IAM_TOKEN="<IAM-токен>"

  2. Клонируйте репозиторий cloudapi:

    cd ~/ && git clone --depth=1 https://github.com/yandex-cloud/cloudapi

    Далее предполагается, что содержимое репозитория находится в директории ~/cloudapi/.

  3. Воспользуйтесь вызовом UserService.Get и выполните запрос, например с помощью gRPCurl:

    grpcurl \
  -format json \
  -import-path ~/cloudapi/ \
  -import-path ~/cloudapi/third_party/googleapis/ \
  -proto ~/cloudapi/yandex/cloud/mdb/spqr/v1/user_service.proto \
  -rpc-header "Authorization: Bearer $IAM_TOKEN" \
  -d '{
        "cluster_id": "<идентификатор_кластера>",
        "user_name": "<имя_пользователя>"
      }' \
  mdb.api.cloud.yandex.net:443 \
  yandex.cloud.mdb.spqr.v1.UserService.Get

  4. Убедитесь, что запрос был выполнен успешно, изучив ответ сервера.

Создать пользователя

  1. Перейдите в сервис Yandex Managed Service for Sharded PostgreSQL.

  2. Нажмите на имя нужного кластера, затем выберите вкладку Пользователи.

  3. Нажмите кнопку Создать пользователя.

  4. Введите имя пользователя базы данных.

    Имя пользователя может содержать латинские буквы, цифры, дефис и подчеркивание, но должно начинаться с буквы (кроме сочетания pg_), цифры или подчеркивания. Максимальная длина имени 63 символа.

    Имена admin, repl, monitor, postgres, mdb_admin, mdb_monitor, mdb_replication зарезервированы. Создать пользователей с этими именами нельзя.

  5. Введите пароль. Длина пароля — от 8 до 128 символов.

  6. Задайте максимальное количество подключений пользователя к БД.

  7. Задайте количество повторных попыток соединения роутера с шардами.

  8. Выберите один или несколько грантов, которые будут назначены пользователю.

    Возможные значения:

    • reader
    • writer
    • admin
    • transfer

  9. Выберите тип защиты от удаления.

    Возможные значения:

    • Как у кластера
    • Включена
    • Выключена

  10. Выберите одну или несколько баз данных, к которым должен иметь доступ пользователь:

    1. В поле База данных нажмите значок справа от выпадающего списка.
    2. Выберите базу данных из выпадающего списка.
    3. Повторите два предыдущих шага, пока не будут выбраны все требуемые базы данных.
    4. Чтобы удалить базу, добавленную по ошибке, нажмите значок справа от имени базы.

  11. Нажмите кнопку Создать.

  1. Получите IAM-токен для аутентификации в API и поместите токен в переменную среды окружения:

    export IAM_TOKEN="<IAM-токен>"

  2. Воспользуйтесь методом User.Create и выполните запрос, например с помощью cURL:

    curl \
  --request POST \
  --header "Authorization: Bearer $IAM_TOKEN" \
  --url 'https://mdb.api.cloud.yandex.net/managed-spqr/v1/clusters/<идентификатор_кластера>/users' \
  --data '{
            "userSpec": {
              "name": "<имя_пользователя>",
              "password": "<пароль_пользователя>",
              "permissions": [
                {
                  "databaseName": "<имя_БД>"
                }
              ],
              "settings": {
                "connectionLimit": "<максимальное_количество_подключений_к_БД>",
                "connectionRetries": "<количество_попыток_соединения_с_шардами>"
              },
              "grants": [
                "<список_грантов>"
              ],
              "deletionProtection": "<защитить_пользователя_от_удаления>"
            }
          }'

    Где userSpec — настройки нового пользователя БД:

    • name — имя пользователя.

      Имя пользователя может содержать латинские буквы, цифры, дефис и подчеркивание, но должно начинаться с буквы (кроме сочетания pg_), цифры или подчеркивания. Максимальная длина имени 63 символа.

      Имена admin, repl, monitor, postgres, mdb_admin, mdb_monitor, mdb_replication зарезервированы. Создать пользователей с этими именами нельзя.

    • password — пароль пользователя. Длина пароля — от 8 до 128 символов.

    • permissions — список баз данных, к которым должен иметь доступ пользователь. Каждый элемент списка содержит параметр databaseName — имя БД.

    • settings — настройки подключения:

      • connLimit — максимальное количество подключений пользователя к БД.
      • connectionRetries — количество повторных попыток соединения роутера с шардами.

    • grants — список грантов, которые будут назначены пользователю.

      Возможные значения:

      • reader
      • writer
      • admin
      • transfer

    • deletionProtection — защита пользователя от удаления: true или false.

  3. Убедитесь, что запрос был выполнен успешно, изучив ответ сервера.

  1. Получите IAM-токен для аутентификации в API и поместите токен в переменную среды окружения:

    export IAM_TOKEN="<IAM-токен>"

  2. Клонируйте репозиторий cloudapi:

    cd ~/ && git clone --depth=1 https://github.com/yandex-cloud/cloudapi

    Далее предполагается, что содержимое репозитория находится в директории ~/cloudapi/.

  3. Воспользуйтесь вызовом UserService.Create и выполните запрос, например с помощью gRPCurl:

    grpcurl \
  -format json \
  -import-path ~/cloudapi/ \
  -import-path ~/cloudapi/third_party/googleapis/ \
  -proto ~/cloudapi/yandex/cloud/mdb/spqr/v1/user_service.proto \
  -rpc-header "Authorization: Bearer $IAM_TOKEN" \
  -d '{
        "cluster_id": "<идентификатор_кластера>",
        "user_spec": {
          "name": "<имя_пользователя>",
          "password": "<пароль_пользователя>",
          "permissions": [
            {
              "database_name": "<имя_БД>"
            }
          ],
          "settings": {
            "connection_limit": "<максимальное_количество_подключений_к_БД>",
            "connection_retries": "<количество_попыток_соединения_с_шардами>"
          },
          "grants": [
            "<список_грантов>"
          ],
          "deletion_protection": "<защитить_пользователя_от_удаления>"
        }
      }' \
  mdb.api.cloud.yandex.net:443 \
  yandex.cloud.mdb.spqr.v1.UserService.Create

    Где user_spec — настройки нового пользователя БД:

    • name — имя пользователя.

      Имя пользователя может содержать латинские буквы, цифры, дефис и подчеркивание, но должно начинаться с буквы (кроме сочетания pg_), цифры или подчеркивания. Максимальная длина имени 63 символа.

      Имена admin, repl, monitor, postgres, mdb_admin, mdb_monitor, mdb_replication зарезервированы. Создать пользователей с этими именами нельзя.

    • password — пароль пользователя. Длина пароля — от 8 до 128 символов.

    • permissions — список баз данных, к которым должен иметь доступ пользователь. Каждый элемент списка содержит параметр database_name — имя БД.

    • settings — настройки подключения:

      • connection_limit — максимальное количество подключений пользователя к БД.
      • connection_retries — количество повторных попыток соединения роутера с шардами.

    • grants — список грантов, которые будут назначены пользователю.

      Возможные значения:

      • reader
      • writer
      • admin
      • transfer

    • deletion_protection — защита пользователя от удаления: true или false.

  4. Убедитесь, что запрос был выполнен успешно, изучив ответ сервера.

Изменить настройки пользователя

  1. Перейдите в сервис Yandex Managed Service for Sharded PostgreSQL.

  2. Нажмите на имя нужного кластера, затем выберите вкладку Пользователи.

  3. Нажмите значок в строке нужного пользователя и выберите пункт Настроить.

  4. Измените максимальное количество подключений пользователя к БД.

  5. Измените количество повторных попыток соединения роутера с шардами.

  6. Настройте набор грантов, которые назначены пользователю.

    Возможные значения:

    • reader
    • writer
    • admin
    • transfer

  7. Настройте тип защиты от удаления.

    Возможные значения:

    • Как у кластера
    • Включена
    • Выключена

  8. Настройте права пользователя на доступ к базам данных:

    1. Чтобы предоставить доступ к базам данных:
      1. В поле База данных нажмите значок справа от выпадающего списка.
      2. Выберите базу данных из выпадающего списка.
      3. Повторите два предыдущих шага, пока не будут выбраны все требуемые БД.
    2. Чтобы отозвать доступ к базе данных, нажмите значок справа от имени БД.

  9. Нажмите кнопку Сохранить.

  1. Получите IAM-токен для аутентификации в API и поместите токен в переменную среды окружения:

    export IAM_TOKEN="<IAM-токен>"

  2. Воспользуйтесь методом User.Update и выполните запрос, например с помощью cURL:

    Важно

    Метод API переопределит все параметры изменяемого объекта, которые не были явно переданы в запросе, на значения по умолчанию. Чтобы избежать этого, перечислите настройки, которые вы хотите изменить, в параметре updateMask (одной строкой через запятую).

    curl \
  --request PATCH \
  --header "Authorization: Bearer $IAM_TOKEN" \
  --url 'https://mdb.api.cloud.yandex.net/managed-spqr/v1/clusters/<идентификатор_кластера>/users/<имя_пользователя>' \
  --data '{
            "updateMask": "<перечень_изменяемых_параметров>",
            "password": "<пароль_пользователя>",
            "permissions": [
              {
                "databaseName": "<имя_БД>"
              }
            ],
            "settings": {
              "connectionLimit": "<максимальное_количество_подключений_к_БД>",
              "connectionRetries": "<количество_попыток_соединения_с_шардами>"
            },
            "grants": [
              "<список_грантов>"
            ],
            "deletionProtection": "<защитить_пользователя_от_удаления>"
          }'

    Где:

    • updateMask — перечень изменяемых параметров в одну строку через запятую.

    • password — новый пароль. Длина пароля — от 8 до 128 символов.

    • permissions — список баз данных, к которым должен иметь доступ пользователь. Каждый элемент списка содержит параметр databaseName — имя БД.

    • settings — настройки подключения:

      • connLimit — максимальное количество подключений пользователя к БД.
      • connectionRetries — количество повторных попыток соединения роутера с шардами.

    • grants — список грантов, которые будут назначены пользователю.

      Возможные значения:

      • reader
      • writer
      • admin
      • transfer

    • deletionProtection — защита пользователя от удаления: true или false.

  3. Убедитесь, что запрос был выполнен успешно, изучив ответ сервера.

  1. Получите IAM-токен для аутентификации в API и поместите токен в переменную среды окружения:

    export IAM_TOKEN="<IAM-токен>"

  2. Клонируйте репозиторий cloudapi:

    cd ~/ && git clone --depth=1 https://github.com/yandex-cloud/cloudapi

    Далее предполагается, что содержимое репозитория находится в директории ~/cloudapi/.

  3. Воспользуйтесь вызовом UserService.Update и выполните запрос, например с помощью gRPCurl:

    Важно

    Метод API переопределит все параметры изменяемого объекта, которые не были явно переданы в запросе, на значения по умолчанию. Чтобы избежать этого, перечислите настройки, которые вы хотите изменить, в параметре update_mask (в виде массива строк paths[]).

    Формат перечисления настроек
    "update_mask": {
    "paths": [
        "<настройка_1>",
        "<настройка_2>",
        ...
        "<настройка_N>"
    ]
}

    grpcurl \
  -format json \
  -import-path ~/cloudapi/ \
  -import-path ~/cloudapi/third_party/googleapis/ \
  -proto ~/cloudapi/yandex/cloud/mdb/spqr/v1/user_service.proto \
  -rpc-header "Authorization: Bearer $IAM_TOKEN" \
  -d '{
        "cluster_id": "<идентификатор_кластера>",
        "user_name": "<имя_пользователя>",
        "update_mask": {
          "paths": [
            "<массив_изменяемых_параметров>"
          ]
        },
        "password": "<пароль_пользователя>",
        "permissions": [
          {
            "database_name": "<имя_БД>"
          }
        ],
        "settings": {
          "connection_limit": "<максимальное_количество_подключений_к_БД>",
          "connection_retries": "<количество_попыток_соединения_с_шардами>"
        },
        "grants": [
          "<список_грантов>"
        ],
        "deletion_protection": "<защитить_пользователя_от_удаления>"
      }' \
  mdb.api.cloud.yandex.net:443 \
  yandex.cloud.mdb.spqr.v1.UserService.Update

    Где:

    • update_mask — перечень изменяемых параметров в виде массива строк paths[].

    • password — пароль пользователя. Длина пароля — от 8 до 128 символов.

    • permissions — список баз данных, к которым должен иметь доступ пользователь. Каждый элемент списка содержит параметр database_name — имя БД.

    • settings — настройки подключения:

      • connection_limit — максимальное количество подключений пользователя к БД.
      • connection_retries — количество повторных попыток соединения роутера с шардами.

    • grants — список грантов, которые будут назначены пользователю.

      Возможные значения:

      • reader
      • writer
      • admin
      • transfer

    • deletion_protection — защита пользователя от удаления: true или false.

  4. Убедитесь, что запрос был выполнен успешно, изучив ответ сервера.

Изменить пароль пользователя

  1. Перейдите в сервис Yandex Managed Service for Sharded PostgreSQL.
  2. Нажмите на имя нужного кластера, затем выберите вкладку Пользователи.
  3. Нажмите значок в строке нужного пользователя и выберите пункт Изменить пароль.
  4. Введите новый пароль. Длина пароля — от 8 до 128 символов.
  5. Нажмите кнопку Изменить.

  1. Получите IAM-токен для аутентификации в API и поместите токен в переменную среды окружения:

    export IAM_TOKEN="<IAM-токен>"

  2. Воспользуйтесь методом User.Update и выполните запрос, например с помощью cURL:

    Важно

    Метод API переопределит все параметры изменяемого объекта, которые не были явно переданы в запросе, на значения по умолчанию. Чтобы избежать этого, перечислите настройки, которые вы хотите изменить, в параметре updateMask (одной строкой через запятую).

    curl \
  --request PATCH \
  --header "Authorization: Bearer $IAM_TOKEN" \
  --url 'https://mdb.api.cloud.yandex.net/managed-spqr/v1/clusters/<идентификатор_кластера>/users/<имя_пользователя>' \
  --data '{
            "updateMask": "password",
            "password": "<новый_пароль>"
          }'

    Где:

    • updateMask — перечень изменяемых параметров в одну строку через запятую.

      В данном случае передается только один параметр.

    • password — новый пароль. Длина пароля — от 8 до 128 символов.

  3. Убедитесь, что запрос был выполнен успешно, изучив ответ сервера.

  1. Получите IAM-токен для аутентификации в API и поместите токен в переменную среды окружения:

    export IAM_TOKEN="<IAM-токен>"

  2. Клонируйте репозиторий cloudapi:

    cd ~/ && git clone --depth=1 https://github.com/yandex-cloud/cloudapi

    Далее предполагается, что содержимое репозитория находится в директории ~/cloudapi/.

  3. Воспользуйтесь вызовом UserService.Update и выполните запрос, например с помощью gRPCurl:

    Важно

    Метод API переопределит все параметры изменяемого объекта, которые не были явно переданы в запросе, на значения по умолчанию. Чтобы избежать этого, перечислите настройки, которые вы хотите изменить, в параметре update_mask (в виде массива строк paths[]).

    Формат перечисления настроек
    "update_mask": {
    "paths": [
        "<настройка_1>",
        "<настройка_2>",
        ...
        "<настройка_N>"
    ]
}

    grpcurl \
  -format json \
  -import-path ~/cloudapi/ \
  -import-path ~/cloudapi/third_party/googleapis/ \
  -proto ~/cloudapi/yandex/cloud/mdb/spqr/v1/user_service.proto \
  -rpc-header "Authorization: Bearer $IAM_TOKEN" \
  -d '{
        "cluster_id": "<идентификатор_кластера>",
        "user_name": "<имя_пользователя>",
        "update_mask": {
          "paths": [
            "password"
          ]
        },
        "password": "<новый_пароль>"
      }' \
  mdb.api.cloud.yandex.net:443 \
  yandex.cloud.mdb.spqr.v1.UserService.Update

    Где:

    • update_mask — перечень изменяемых параметров в виде массива строк paths[].

      В данном случае передается только один параметр.

    • password — новый пароль. Длина пароля — от 8 до 128 символов.

  4. Убедитесь, что запрос был выполнен успешно, изучив ответ сервера.

Настроить защиту от удаления

  1. Перейдите в сервис Yandex Managed Service for Sharded PostgreSQL.
  2. Нажмите на имя нужного кластера, затем выберите вкладку Пользователи.
  3. Нажмите значок в строке нужного пользователя и выберите пункт Настроить.
  4. Измените тип защиты от удаления в поле Защита от удаления.
  5. Нажмите кнопку Сохранить.

  1. Получите IAM-токен для аутентификации в API и поместите токен в переменную среды окружения:

    export IAM_TOKEN="<IAM-токен>"

  2. Воспользуйтесь методом User.Update и выполните запрос, например с помощью cURL:

    Важно

    Метод API переопределит все параметры изменяемого объекта, которые не были явно переданы в запросе, на значения по умолчанию. Чтобы избежать этого, перечислите настройки, которые вы хотите изменить, в параметре updateMask (одной строкой через запятую).

    curl \
  --request PATCH \
  --header "Authorization: Bearer $IAM_TOKEN" \
  --url 'https://mdb.api.cloud.yandex.net/managed-spqr/v1/clusters/<идентификатор_кластера>/users/<имя_пользователя>' \
  --data '{
            "updateMask": "deletionProtection",
            "deletionProtection": "<защитить_пользователя_от_удаления>"
          }'

    Где:

    • updateMask — перечень изменяемых параметров в одну строку через запятую.

      В данном случае передается только один параметр.

    • deletionProtection — защита пользователя от удаления: true или false.

  3. Убедитесь, что запрос был выполнен успешно, изучив ответ сервера.

  1. Получите IAM-токен для аутентификации в API и поместите токен в переменную среды окружения:

    export IAM_TOKEN="<IAM-токен>"

  2. Клонируйте репозиторий cloudapi:

    cd ~/ && git clone --depth=1 https://github.com/yandex-cloud/cloudapi

    Далее предполагается, что содержимое репозитория находится в директории ~/cloudapi/.

  3. Воспользуйтесь вызовом UserService.Update и выполните запрос, например с помощью gRPCurl:

    Важно

    Метод API переопределит все параметры изменяемого объекта, которые не были явно переданы в запросе, на значения по умолчанию. Чтобы избежать этого, перечислите настройки, которые вы хотите изменить, в параметре update_mask (в виде массива строк paths[]).

    Формат перечисления настроек
    "update_mask": {
    "paths": [
        "<настройка_1>",
        "<настройка_2>",
        ...
        "<настройка_N>"
    ]
}

    grpcurl \
  -format json \
  -import-path ~/cloudapi/ \
  -import-path ~/cloudapi/third_party/googleapis/ \
  -proto ~/cloudapi/yandex/cloud/mdb/spqr/v1/user_service.proto \
  -rpc-header "Authorization: Bearer $IAM_TOKEN" \
  -d '{
        "cluster_id": "<идентификатор_кластера>",
        "user_name": "<имя_пользователя>",
        "update_mask": {
          "paths": [
            "deletion_protection"
          ]
        },
        "deletion_protection": "<защитить_пользователя_от_удаления>"
      }' \
  mdb.api.cloud.yandex.net:443 \
  yandex.cloud.mdb.spqr.v1.UserService.Update

    Где:

    • update_mask — перечень изменяемых параметров в виде массива строк paths[].

      В данном случае передается только один параметр.

    • deletion_protection — защита пользователя от удаления: true или false.

  4. Убедитесь, что запрос был выполнен успешно, изучив ответ сервера.

Удалить пользователя

Пользователь может быть защищен от удаления. Чтобы удалить такого пользователя, сперва снимите защиту.

Чтобы удалить пользователя:

  1. Перейдите в сервис Yandex Managed Service for Sharded PostgreSQL.
  2. Нажмите на имя нужного кластера, затем выберите вкладку Пользователи.
  3. Нажмите значок в строке нужного пользователя и выберите пункт Удалить.
  4. Подтвердите удаление.

  1. Получите IAM-токен для аутентификации в API и поместите токен в переменную среды окружения:

    export IAM_TOKEN="<IAM-токен>"

  2. Воспользуйтесь методом User.Delete и выполните запрос, например с помощью cURL:

    curl \
  --request DELETE \
  --header "Authorization: Bearer $IAM_TOKEN" \
  --url 'https://mdb.api.cloud.yandex.net/managed-spqr/v1/clusters/<идентификатор_кластера>/users/<имя_пользователя>'

  3. Убедитесь, что запрос был выполнен успешно, изучив ответ сервера.

  1. Получите IAM-токен для аутентификации в API и поместите токен в переменную среды окружения:

    export IAM_TOKEN="<IAM-токен>"

  2. Клонируйте репозиторий cloudapi:

    cd ~/ && git clone --depth=1 https://github.com/yandex-cloud/cloudapi

    Далее предполагается, что содержимое репозитория находится в директории ~/cloudapi/.

  3. Воспользуйтесь вызовом UserService.Delete и выполните запрос, например с помощью gRPCurl:

    grpcurl \
  -format json \
  -import-path ~/cloudapi/ \
  -import-path ~/cloudapi/third_party/googleapis/ \
  -proto ~/cloudapi/yandex/cloud/mdb/spqr/v1/user_service.proto \
  -rpc-header "Authorization: Bearer $IAM_TOKEN" \
  -d '{
        "cluster_id": "<идентификатор_кластера>",
        "user_name": "<имя_пользователя>"
      }' \
  mdb.api.cloud.yandex.net:443 \
  yandex.cloud.mdb.spqr.v1.UserService.Delete

  4. Убедитесь, что запрос был выполнен успешно, изучив ответ сервера.

Предыдущая
Удаление кластера
Следующая
Управление базами данных