Управление доступом в Managed Service for Trino

Managed Service for Trino поддерживает гибкое разграничение доступа отдельных пользователей или их групп к объектам кластера. Разграничить доступ можно с помощью назначения правил доступа.

Состав правилСостав правил

Каждое правило доступа в Managed Service for Trino содержит следующие виды параметров:

• Субъекты — пользователи или группы пользователей, к которым применяется правило.
• Объекты — к каким объектам применяется правило.
  Объекты могут быть заданы с помощью комбинации нескольких параметров (например имя объекта и каталог, в котором он находится).
• Привилегии — какие действия разрешено выполнять пользователям над объектами.
• Дополнительные параметры — прочие параметры правила, например его описание.

Виды правилВиды правил

Доступ пользователей к объектам кластера определяется комбинацией двух видов правил:

• Правила верхнего уровня — контролируют доступ ко всем объектам каталога сразу.
• Детализированные правила — контролируют доступ к отдельным схемам, таблицам, функциям, процедурам, запросам, системным свойствам сессии или свойствам сессии каталога.

Действия с правиламиДействия с правилами

В Managed Service for Trino вы можете:

• Получить информацию о существующих правилах доступа.
• Назначить правила доступа для:
  • всех объектов каталога,
  • схем,
  • таблиц,
  • пользовательских функций и процедур,
  • запросов,
  • системных свойств сессии,
  • свойств сессии каталога.
• Удалить все правила доступа в кластере.

Использование имен и идентификаторовИспользование имен и идентификаторов

Используемые в правилах имена и идентификаторы объектов имеют следующие особенности:

• Имена схем, функций, процедур, таблиц, системных свойств сессии или свойств сессии каталога не проверяются на валидность. Ошибка в имени не помешает созданию правила, но приведет к его некорректной работе.
• Имена и идентификаторы каталогов проверяются на валидность. Если в имени или идентификаторе каталога есть ошибка, правило не будет создано.
• При переименовании каталога его имя автоматически изменится во всех правилах, в которых оно указано.
• При удалении каталога его имя и идентификатор автоматически удалятся из всех правил, в которых они указаны. При удалении единственного указанного в правиле каталога само правило автоматически удалится.